Комментарии 8
Присоединяюсь к благодарностям.
Несколько лет назад мигрировали с apache на nginx на наших серверах после одного DDOS, под которым apache сжирал процессор и память на 100%. Тогда куча ботов отправляли GET запрос на 80 порт, apache должен был просто c помощью mod_rewrite переправлять на 443 порт. Отключили apache на 80 порту и поставили на этот порт nginx. В результате, под такой же нагрузкой nginx использовал всего 2% CPU!
Но были у нас сервера с apache, где требовался mod_security, особенно в зонах PCI DSS Level 1.
У тут несколько недель назад узнали, что в mod_security в экспериментальной ветке появилась поддержка mod_security. Не выдержали. Стали пробовать. nginx с mod_security падал. Стали править код mod_security, особенно модуль для nginx. И когда все заработало и ошибок при тестировани не наблюдалось — было решено использовать на production. Как раз в это время был аудит одной из зон с PCI DSS Level 1. Аудитору из acertigo очень понравилось это решение, несмотря на экспериментальный статус.
Кстати, до вчерашнего дня модуль modsecurity для nginx из trunk был нерабочим.
Несколько лет назад мигрировали с apache на nginx на наших серверах после одного DDOS, под которым apache сжирал процессор и память на 100%. Тогда куча ботов отправляли GET запрос на 80 порт, apache должен был просто c помощью mod_rewrite переправлять на 443 порт. Отключили apache на 80 порту и поставили на этот порт nginx. В результате, под такой же нагрузкой nginx использовал всего 2% CPU!
Но были у нас сервера с apache, где требовался mod_security, особенно в зонах PCI DSS Level 1.
У тут несколько недель назад узнали, что в mod_security в экспериментальной ветке появилась поддержка mod_security. Не выдержали. Стали пробовать. nginx с mod_security падал. Стали править код mod_security, особенно модуль для nginx. И когда все заработало и ошибок при тестировани не наблюдалось — было решено использовать на production. Как раз в это время был аудит одной из зон с PCI DSS Level 1. Аудитору из acertigo очень понравилось это решение, несмотря на экспериментальный статус.
Кстати, до вчерашнего дня модуль modsecurity для nginx из trunk был нерабочим.
НЛО прилетело и опубликовало эту надпись здесь
Блин лучше бы реврайт правила от апача прикрутили бы
Кто использовал naxsi и modsecurity, поделитесь впечатлениями, что удобеней. В проде используем naxsi.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бета-версия modSecurity для Nginx