Рубрики
Наследие

NIDS спешит на помощь.

Принцип защиты с помощью Network Intrusion Detection System (NIDS) основано на принципе — проблему лучше предотвратить, чем потом исправлять.

NIDS позволяют обнаружить попытки вторжения еще до организации серьезной распределенной атаки или флуда определенных служб. Это может быть активное сканирование портов, попытка эксплуатации известных уязвимостей и другая подозрительная активность. Установив NIDS на дедик, например snortsam, можно предотвратить атакующего еще на этапе сканирования портов, установив открытые порты-ловушки и поставив в правило блокирование на 10 секунд. NIDS так же может помочь и в случае серьезной DDoS – атаки, блокируя атакующие хосты на аппаратом Брандмауэре cisco, checkpoint firewall и т.п.

Грамотно настроенный NIDS способен защитить не только от DDoS, но и от множества других атак, таких как sql-иньекции, атак методом перебора паролей и многих других.

Следует отметить, что apache имеет свой модуль для защиты – это mod_dosevasive, который блокирует “назойливых” посетителей, обновляющих слишком часто одну и ту же страницу. К сожалению, этот модуль может принести больше вреда, чем пользы, особенно если посетители большой локальной сети будут посещать этот сайт напрямую, без прокси. Стоит более чем 10 человек открыть один и тот же сайт — и вся локальная сеть будет заблокирована.

Рубрики
Наследие

Преимущества выделенного сервера

Размещение своих сайтов на дедике имеет свои особенности. На сервере виртуального хостинга стабильность сервера обеспечивает персонал хостинга. Персонал дата-центра обеспечивает лишь нормальную работу самого сервера, да и то, если тот managed. Это означает, что с проблемами неработоспособности сайтов, кривым кодом скриптов, рассылкой спама, взломами и многим другим придется рассчитывать только на свои силы.

Установкой и обновлением ПО виртуального хостинга также занимается персонал провайдера. Если дедик unmanaged, то придется заниматься этим так же самостоятельно. С другой стороны — полная свобода и возможность установить то ПО, которое ни один хостер не предоставляет.

По своей сущности, выделенные серверы требуют больше внимания, чем размещение сайта на сервере хостера. Но и отдача будет более сильная — все ресурсы без ограничений.

Следует понимать, что сам дедик — это груда железа, его ценность заключается в предоставление необходимых сервисов. И, соответственно, жизненная сила бизнеса заключена в качественном обслуживании квалифицированным персоналом.

Рубрики
Наследие

Оповещение по почте о входе в консоль

Очень хорошим средством контроля входа в консоль является оповещение о том, кто и с какого IP залогинился на сервер.
Особенно это актуально для суперпользователя root.

Итак, необходимо установить пользователю шелл bash, в Linux это оболчка по умолчанию, а для Free BSD необходимо сначала установить bash:
pkg_add -r bash
Затем сменить его для пользователя:
chsh -s /usr/local/bin/bash имя_пользователя
Далее необходимо добавить в конец файла .bash_profile в пользовательской директории эту строку:
echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | awk '{print $6}'`" почтовый@адрес.тут

Рубрики
Наследие

Что такое выделенный сервер или почему дедик?

Dedicated Server — выделенный сервер (англ.).

Дедик — выделенный сервер (жарг.).

Dedicated хостинг, в отличие от виртуального, где множество сайтов различных клиентов размещены на одном сервере и обслуживаются провайдером, представляет собой выделенный сервер, расположенный в специальном месте — дата-центре, где ему обеспечивается подача питания, канал и место в стойке.

Само собой разумеется, что выделенный сервер предоставляет своему владельцу все ресурсы без ограничений. Мало того, владелец дедика может установить на него любое ПО, в том числе и самописное, которое ни один хостер не даст установить на виртуальном (shared) хостинге.

По обслуживанию серверы делятся на две категории: unmanaged (необслуживаемые) и managed (обслуживаемые). Техподдержка unmanaged серверов сводится к двум действиям — перезагрузке сервера по запросу (тикету) и переустановке ОС в случае выхода ее из строя по причине неграмотного обращения или взлома с последующим захватом суперпользователем и подменой критично важных файлов.

Техподдержка managed весьма расплывчата и зависит от уровня самого персонала, предоставляемых часов рабочего времени, гарантированной сетевой доступности (SLA), гарантированного времени реакции и сложности проблемы.


Техподдержка (support) делится на уровни (levels).

В круг задач support level 1 входят ребуты, ответы на часто задаваемые вопросы, а также оттягивание времени разными глупыми уточнениями, пока тикет обрабатывает саппорт с более высоким уровнем. Иногда в штате нет такого специалиста и решение проблемы может затянуться надолго. В приличных дата-центрах support level 1 передает тикет, а сам честно пишет, что не смог справиться с проблемой и передал ее более квалифицированному специалисту. Это называется эскалацией тикета. Иногда время перехода эскалации может занимать 24 часа. Поинтересуйтесь в датацентре, какой у них период эскалации.

В круг задач support level 2 входит решение типичных проблем — установка и настройка штатного ПО, пополнение базы знаний для support level 1, небольшой траблшутинг. Например, если cgi скрипт на perl требует модуль Image::Magick, support level 2 в силах это понять и поставить его. Однако он не делает траблшутинг, и в случае неудачи делает эскалацию.

Support level 3 занимается решением глобальных проблем — траблшутингом. Когда сервер медленно работает или происходит частая пиковая загрузка, какое-то ПО не желает устанавливаться или не работает после установки, если есть подозрения на аппаратные проблемы — все это входит в компетенцию support level 3.

Support level 4 находится в штате очень крупных и серьезных дата-центров или же работает на контрактной почасовой основе с более мелкими компаниями. В его компетенцию входит всё, в том числе и работа с незнакомым ему ПО, восстановление системы после взлома, поиск аккаунта, занимающегося спамом, установка системных лимитов и т.п.

Следующая важная характеристика — это количество предоставляемого времени. Типичная практика дата-центров в случае какой-либо проблемы — это использование предоставленного времени специалистами низкого уровня, так как разделение по времени каждого уровня обычно не предоставляют. Типичная ситуация для неискушенного владельца дедика — «накрутка» времени разными уточнениями со стороны support level 1. Поэтому тикеты должны быть максимально информативными, предоставляющими всю, возможно даже, избыточную информацию. Или наоборот — предельно простыми, но с четкими требованиями, например, установить firewall, открыв 25,110 и 80-ые порты.
Обычно перезагрузки сервера — free, и время за них не списывается. В некоторых случаях даже предоставляется доступ к специальному оборудованию, которое способно выполнить перезагрузку сервера. Но, тем не менее, не найдя сочетания Free Reboots, поинтересуйтесь в дата-центре — сколько времени требуется на перезагрузку и будет ли оно учитываться. В среднем ребут занимает 5 — 15 минут.

Вполне возможно, что Вам предложат иной режим работы — по числу тикетов. В этом случае предоставляется какое-то число запросов (20-100), на которые будут отвечать бесплатно, сверх лимита — придется оплачивать. Следует также учитывать, что это могут быть тикеты для support level 1, а за остальные придется доплачивать отдельно.

SLA — уровень сетевой доступности. Он означает, что отправленный тикет будет прочитан даже в выходной день в полночь, и, соответственно, обработан в указанные сроки. Следует учесть, что несмотря на заверения и красующуюся надпись SLA 99%, на практике может выйти абсолютно не так.

Гарантированное время реакции дата-центры сообщают с большой неохотой, и это вполне естественно. Невозможно приставить к каждому серверу по специалисту. Однако, если в контракте есть пометка, что реакция на urgent ticket — ребут, например, — 24 часа, стоит призадуматься. Это означает, что сервер может простаивать целые сутки при малейшей проблеме.

Но что же такое особенное предоставляет дедик? Во-первых, это все ресурсы, а во-вторых, это нестандартные возможности. Например, для создания высокоскоростного доступа к сайтам на движках типа phpnuke могут быть использованы 2 веб-сервера, причем не обязательно на одном и том же дедике. Первый сервер — backend — предоставляет обычный апач, с php, mysql и т.п. Второй — frontend, представляющий собой простой кешируюший веб-сервер (http-ускоритель), который способен выдержать нагрузку в несколько сотен посещений одновременно.

На что же еще требуется обращать внимание при выборе дедика?

На суммарную толщину каналов, наличие их резерва. Порт, которым подключен сервер, также играет немаловажную роль. Не срезает ли дата-центр порты или протоколы, не отключает ли за излишнюю сетевую активность и каков ее порог? Возможность докупить дополнительные IP из другой подсети необходима только для NS доменов в зоне RU. Возможность в дальнейшем поставить больше памяти, дополнительный жесткий диск. Также следует обратить внимание на список панелей, их цену, а еще на список возможных ОС.