[Sysadmins] Fwd: Re: Хочется большей секьюрности.

[Slava Dubrovskiy]

08.12.2009 16:19, Michael Shigorin пишет:
>>> Так что лучше использовать менее распространенный и притом
>>> более безопасный веб-сервер, выдавая его как раз-таки за апач,
>>> чтоб не выделяться, плюс к тому поставить реверс-прокси,
>>> который будет валидировать запрос.
>>>       
>> Кстати, а кто таким занимается, кроме apache с mod_security?
>>     
> Я работал только с Pound и HAProxy. В обоих есть возможности анализа
> и модификации заголовков, например, можно удалить X-Forwarded-For
> для внешних запросов. Первый имеет опцию строгой проверки хидеров
> на соответствие стандарту, второй имеет намного большие возможности,
> но требует настройки.
>
> Вот пример от автора HAProxy:
> haproxy to protect apache against Slowloris and Nkiller2 DoS attacks
> http://www.mail-archive.com/haproxy/formilux.org/msg00804.html
>
> Обратите внимание, что входящих соединений может быть 20 000, а
> бэкенд разрешает только 254. Такая конфигурация защищает от
> некоторых видов атак , поскольку прокси может выдержать на порядки 
> больше открытых (или "полуоткрытых") соединений, нежели бэкенд.
>   
А как бороться с http флудом?
Есть идеи?

-- 
WBR,
Dubrovskiy Vyacheslav

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : smime.p7s
Тип     : application/pkcs7-signature
Размер  : 3262 байтов
Описание: S/MIME Cryptographic Signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20091208/30e3e5c8/attachment.bin>