https://www.opennet.ru/openforum/vsluhforumID1/84349.html Здравствуйте! Считаю этот форум высокопрофесиональным, поэтому решил поделится с вами своей проблемой и попросить помощи.<br><br>Преамбула.<br>Итак, я имею неплохой канал интернет (100Мб/с - UA-IX, 5Мб/с - все остальное, нахожусь я в Украине), давным-давно у меня установлен сервер, на нем Ubuntu, где крутится мой proFTPd ,Apache, также одной конторе предоставляю его как шлюз с Украины в мир с помощью SQUID. Сам я программист, и хоть в системном администрировании немного разбираюсь, все же есть вопросы, которые мне либо на собственном опыте либо кто-то просветит, иначе я их не осилю. Я программирую время от времени веб-сайты для разового зароботка и было бы неплохо еще и зарабатывать на этих сайтах посредством хостинга плюс предоставить более полный спектр услуг по созданию и размещению сайта. <br><br>Итак, решил создать свой хостинг, собственно все новое вызывает проблемы.<br>Поначалу буду использовать один сервер, пока не наберу определенное количество клиентов и не увижу, что они забивают канал.<br>Первый вопрос: как мне https://www.opennet.ru/openforum/vsluhforumID1/84349.html#10 Wed, 11 Mar 2009 21:51:33 GMT &gt;1. Насколько надежен nginx, так как он будет находится на хард ноде, <br>&gt;а значит, взломав его можно будет получить доступ ко всем VDS <br>&gt;установленным на этом железном ноде. <br><br>Абсолютно надежных программ нет, но в целом nginx имеет высокие показания надежности, по крайней мере надежней апача. Кроме того вероятность взлома master процесса очень низка, а worker можно запустить под пользователем не имеющем доступа к /vz<br>&gt;2. OpenVZ предлагает в качестве хард системы использовать Red Hat, насколько это <br>&gt;желательно? могу ли использовать ту систему которую лучше знаю (в для <br>&gt;меня это ubuntu)?? или хард систему лучше все же Red Hat, <br>&gt;а уже VDS можно и Ubuntu? <br><br>У меня на дебиане работает, проблем не встречал. <br><br>&gt;я всегда считал что nagios больше грузит систему, чем тот же munin, <br>&gt;я не прав? и, критично если я буду делать систему мониторинга <br>&gt;на том же сервере где у меня все эти сайты будут <br>&gt;крутится? или лучше выделить отдельно сервер, а на веб-сервер установить только <br>&gt;клиента мониторинга? <br><br>Вам https://www.opennet.ru/openforum/vsluhforumID1/84349.html#9 Wed, 11 Mar 2009 11:03:22 GMT И еще один вопрос. Если я собираюсь использовать панель управления, например, ISPManager. Мне нужна всего одна панель, на хард ноде? не нужно же покупать для каждой VDS отдельно?<br> https://www.opennet.ru/openforum/vsluhforumID1/84349.html#8 Tue, 10 Mar 2009 21:30:31 GMT Спасибо всем за подробные ответы!<br>&gt;OpenVZ/vserver/solaris_zones это ОЧЕНЬ легкие виртуализации, почти не отличающиеся от &gt;chroot. Вот только плюсов у них намного больше чем у chroot, в том числе и с точки зрения &gt;безопасности. Я не вижу ни одной причины выбрать chroot вместо openVZ для хостинга. Кроме &gt;того внешний nginx вместо apache может очень сильно снизить нагрузку и в конечном итоге &gt;вариант с openVZ будет производительней. Это не считая абсолютной незащищенности chroot от &gt;DOS атак.<br><br>благодаря вам начал читать о openVZ, в частности неплохая стать у вас http://www.opennet.ru/docs/RUS/virtuozzo/ (но не лучший перевод). Очень понравился такой подход, так и буду делать, есть только 2 вопроса:<br>1. Насколько надежен nginx, так как он будет находится на хард ноде, а значит, взломав его можно будет получить доступ ко всем VDS установленным на этом железном ноде. <br>2. OpenVZ предлагает в качестве хард системы использовать Red Hat, насколько это желательно? могу ли использовать ту систему которую лучше знаю (в https://www.opennet.ru/openforum/vsluhforumID1/84349.html#7 Mon, 09 Mar 2009 10:23:19 GMT &gt;хватит ли пока моей скорости (100Мб/с - UA-IX, <br>&gt;5Мб/с - все остальное, нахожусь я в Украине) на 50-100 обычных <br>&gt;сайтов?? <br><br>Для энтузиастов - думаю вполне достаточно, если сделаете цену меньше остальных. Но тогда есть вероятность что проект просто не окупится.<br>Ну а серьезные проекты не потянуться уж точно, потому что уже в самой Украине много провайдеров, не входящих в UA-IX.<br><br>50Мбит/с на мир - сейчас минимальное требование для хостеров.<br> https://www.opennet.ru/openforum/vsluhforumID1/84349.html#6 Sun, 08 Mar 2009 17:14:47 GMT &gt;От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на <br>&gt;бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого <br><br>Когда была проблема с ддосом обращался в caravan, у них есть услуга защита от ддос. Стоила она полгода назад примерно 20к.руб в месяц и разовый платеж 10к руб. за настройку. Защита у них организована на базе cisco guard. Вообщем со средними размерами ддосом справились без проблем.<br><br>А по существу вопроса скажу что d-link и cisco pix ставить необязательно, iptables со всем справляется вполне успешно.<br> https://www.opennet.ru/openforum/vsluhforumID1/84349.html#5 Sun, 08 Mar 2009 16:14:57 GMT Это целая наука... и для организации профессионального хост сервера прийдется изучать много аспектов в области организации и сети строения... <br>- оно вам нужно?<br>предоставляйте хостинг для разовых сайтов - не более... а иначе Вам прийдется привлекать спец.кадры, приобретать дорогостоящее оборудование... если будете пытаться сами лезть в эти дебри - путь слишком тернист, и в основном все приходит с практикой и огромными затрат времени и сил :(<br> https://www.opennet.ru/openforum/vsluhforumID1/84349.html#4 Sun, 08 Mar 2009 14:18:23 GMT &gt;Спасибо за ответ. Итак, для примитивных ДДоС атак постараюсь защитится, плюс хочу <br>&gt;купить файрвол Cisco PIX 501 Firewall. Ну а против реально серьезных <br>&gt;атак, действительно как я понял мне защищаться бесполезно, максимум договорится с <br>&gt;провайдером чтобы реализовывать защиту на уровне прова, да и не думаю <br>&gt;что у меня поначалу будут хоститься такие крутые проекты на которых <br>&gt;могут заказать ДДос. <br><br>Простой пример. У вас на сайте есть страничка с поиском в БД, если правильно подобрать критерии, то выполнятся поиск будет несколько секунд. Шлем с десяти машин каждую секунду всего по пять подобных(не идентичных) запросов. Вроде ничего нелегального, а сервер в дауне. Подобные варианты атаки можно только руками отловить. <br><br>&gt;Плюсы конечно очень привлекательные, но при таком подходе будет хороший расход ресурсов, <br>&gt;смогу ли я таким способом на совем сервере, пусть это будет <br>&gt;двухпроцесорный ксеон и 4 гб рам, запустить 100 сайтов? или имеет <br>&gt;смысл сделать например так http://www.securitylab.ru/contest/ https://www.opennet.ru/openforum/vsluhforumID1/84349.html#3 Thu, 05 Mar 2009 18:15:38 GMT &gt;От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на <br>&gt;бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого <br>&gt;клиента, чем справится с атакой. Так что можете сразу забить на <br>&gt;этот вопрос. Разумеется защиту от примитивных атак типа syn flood поставить <br>&gt;необходимо. <br><br>Спасибо за ответ. Итак, для примитивных ДДоС атак постараюсь защитится, плюс хочу купить файрвол Cisco PIX 501 Firewall. Ну а против реально серьезных атак, действительно как я понял мне защищаться бесполезно, максимум договорится с провайдером чтобы реализовывать защиту на уровне прова, да и не думаю что у меня поначалу будут хоститься такие крутые проекты на которых могут заказать ДДос.<br><br>&gt;По общей организации я бы посоветовал openvz ядро с контейнерами на каждый <br>&gt;сайт. На железной ноде оставить только nginx, который и будет распределять <br>&gt;запросы по контейнерам. В результате при минимальном оверхеде достигаем изоляцию контента, <br>&gt;апача и мускула для каждого клиента и https://www.opennet.ru/openforum/vsluhforumID1/84349.html#2 Wed, 04 Mar 2009 18:09:28 GMT От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого клиента, чем справится с атакой. Так что можете сразу забить на этот вопрос. Разумеется защиту от примитивных атак типа syn flood поставить необходимо. <br>По общей организации я бы посоветовал openvz ядро с контейнерами на каждый сайт. На железной ноде оставить только nginx, который и будет распределять запросы по контейнерам. В результате при минимальном оверхеде достигаем изоляцию контента, апача и мускула для каждого клиента и возможность в будущем их на ходу прозрачно мигрировать между серверами. <br>