Реальный IP для Nginx и CloudFlare CDN

Настраиваем проброс IP клиентов за CloudFlare

Многие для защиты и ускорения работы своего ресурса пользуются системой CloudFlare, однако при её использовании в логи веб-сервера пишутся IP адреса сети CloudFlare, а не настоящие IP пользователей. В данном HOWTO мы рассмотрим как это исправить.
Введение

CloudFlare — это распределённая по всему миру CDN (content delivery network), предоставляющая функции ускорения загрузки пользовательских сайтов за счёт кэширования и обеспечивающая фильтрацию трафика (на платных тарифных планах ещё и полноценную защиту от DDoS атак).

Для своей работы CloudFlare использует прокси-серверы, расположенные по всему миру, что скрывает настоящий IP, на котором располагается сервер.

Continue reading »

Строим кластер на CentOS 6 и iscsi в Nas4Free

server farmВ данной статье я Вам расскажу о построении кластера на основе CentOS 6 и таргетов iSCSI.

Задача: экономичность дискового пространства, увеличить отказоустойчивость и производительность системы.

Сервера:

storage (установлен Nas4Free на флешку, диски собраны на аппаратном RAID 10)
rcstar-node01 – 160gb SATA 2
rcstar-node02 – 160gb SATA 2
rcstar-node03 – 160gb SATA 2
rcstar-manager – 320gb SATA 2

 

В качестве файловой системы я выбрал GFS2 – кластерная система.

Continue reading »

Популярные http-сервера

Компания Netcraft опубликовала результаты сентябрьского исследования популярности http-серверов, построенного на основе автоматизированной проверки более 485 миллионов сайтов. По сравнению с прошлым месяцем число активных сайтов увеличилось примерно на 4.8%, что соответствует появлению 22 миллионов новых имен хостов. 14 миллионов новых сайтов работают под управлением Apache. Общее число сайтов под управлением Apache составляет 315 млн, что почти в три раза больше чем год назад. Continue reading »

В Apache 2.2.21 устранено уязвимости

Доступен корректирующий релиз http-сервера Apache 2.2.21 в котором устранена одна уязвимость и исправлено 8 ошибок. Исправленная проблема безопасности связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp, что может привести к DoS-атаке в конфигурациях, использующих mod_proxy_ajp в сочетании с mod_proxy_balancer.

Некоторые изменения:

  • Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20;
  • В mod_filter, вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE, его значение теперь устанавливается в “none”;
  • В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;
  • В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даже если отключен RewriteEngine, что позволяет избежать краха при ссылках на несуществующий “int: map” в процессе работы;
  • Возможность указания в директиве MaxRanges значений none|unlimited|default и установки ‘Accept-Ranges: none’ в ситуации, когда игнорируется заголовок Ranges при указании “MaxRanges none”.

Apache 2.x под наблюдением – 2

Что нового в mod_performance 0.2?

Хочу заострить еще раз внимание, для чего модуль предназначается:

  • модуль предназначен для сбора и накопления статистики по использованию ресурсов(CPU и memory, время выполнения скрипта, а так же I/O процесса) веб-сервером Apache 2.2;
  • модуль позволяет провести анализ собранных данных.

Continue reading »

Apache 2 под наблюдением

Apache 2 под наблюдением

Вступление

Уже написано немало постов на просторах интернета, о мониторинге веб-сервера Apache. При вводе такой фразы, как «мониторинг нагрузки apache» в строке поиска Google, результаты поиска указывают на полезнейший модуль mod_status. А также о еще большей полезности этого модуля в сочетании с perl-расширениями. А если еще и немного пропатчить эти perl-расширения — то вообще супер система получается. Но настроив такую систему — системный администратор на этом, как правило, не останавливается, ему уже необходимо история нагрузки по серверу в целом, потом по каждому хосту, а далее и с точностью до скрипта. И чтоб потом сравнить можно было, а как раньше было, а как теперь нагрузка распределяется.
И вот здесь на помощь может прийти модуль для веб-сервера Apache — mod_performance.

Continue reading »

Заметка по защите от DoS и DDos атак

Заметки по защите от DoS и DDos атак (в контексте защиты WEB-сервера).

DoS – воздействие на сервис от одного или небольшого числа IP.
DDoS – воздействие на сервис от большого числа разных IP.
Continue reading »

Обновление Linux-ядра: 2.6.39.3

Представлен корректирующий релиз Linux-ядра – 2.6.39.3, в котором отмечено 109 исправлений. Как обычно, в анонсе выхода новых версий подчеркивается обязательность проведения обновления. Из подсистем, в которых исправлены ошибки, можно выделить: USB, xhci, drm/i915, drm/radeon, conntrack, KVM, Xen, vlan, netfilter, ipset, FS-Cache, cfq-iosched, NFSv4, nfsd, ALSA, ath9k, ath5k, IPVS.

Среди исправленных проблем: устранение ошибки в ipv4-стеке, приводившей к потере первого пакета в mulicast-потоке; решение проблемы в драйвере USB Hub, которая мешала переходу в спящий режим; устранение зацикливания в подсистеме md, проявляющегося при определенных обстоятельствах в процессе восстановления программного RAID.

Несколько исправлений связаны с безопасностью:

  • Отсутствие должной инициализации структур, обеспечивающих работу блокировок в коде, связанном с файловыми системами может привести к утечке информации из области ядра при использовании FUSE-модулей.
  • Ошибка в реализации функции inet_diag_bc_audit() из состава подсистемы inet_diag может привести к подстановке кода локальным пользователем или инициированию бесконечного цикла.
  • Возможность разыменования NULL-указателя в ksmd.
1 2