>От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на
>бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого
>клиента, чем справится с атакой. Так что можете сразу забить на
>этот вопрос. Разумеется защиту от примитивных атак типа syn flood поставить
>необходимо. Спасибо за ответ. Итак, для примитивных ДДоС атак постараюсь защитится, плюс хочу купить файрвол Cisco PIX 501 Firewall. Ну а против реально серьезных атак, действительно как я понял мне защищаться бесполезно, максимум договорится с провайдером чтобы реализовывать защиту на уровне прова, да и не думаю что у меня поначалу будут хоститься такие крутые проекты на которых могут заказать ДДос.
>По общей организации я бы посоветовал openvz ядро с контейнерами на каждый
>сайт. На железной ноде оставить только nginx, который и будет распределять
>запросы по контейнерам. В результате при минимальном оверхеде достигаем изоляцию контента,
>апача и мускула для каждого клиента и возможность в будущем их
>на ходу прозрачно мигрировать между серверами.
Плюсы конечно очень привлекательные, но при таком подходе будет хороший расход ресурсов, смогу ли я таким способом на совем сервере, пусть это будет двухпроцесорный ксеон и 4 гб рам, запустить 100 сайтов? или имеет смысл сделать например так http://www.securitylab.ru/contest/263276.php. как на меня более легковесный, хотя и менее надежный метод. А openvz,ну или платный аналог виртуоз, отлично подойдет для целей создания VDS.
И еще родились вопросы. Как следить за системой? Что еще стоит установить на систему? Пока я думаю, что на сервер нужно установить (кроме, понятное дело, apache, php, nginx, mysql, perl, proftpd):
1. Cacti или Munin для мониторинга системы
2. Snort для анализа вторжений
3. Ну и продуманная настройка iptables
в общем, очень прошу, поделитесь опытом.
