Я по вебу просто. А ты какой то черт, я хз. Я тут ваще проездом.

Поскольку это проверенное временем корп решение - само собой, человеку который работал только админом, но никогда не работал в интеграторе хотя-бы из ТОП20 - вам этого не понять.

Гениально придумано, только это не только бинарники в отдельных папках, но и VE надстройкию.

Опять от одного пользователя, что вы с этим заладили? Вы знаете что у булки есть разделение на модули обработчики? Если бы вы хоть немного понимали в том как настраивать тонким образом конфиги nginx под антиддос и обработку запросов на разных fcgi бакэндах - то знали бы, что деление для юзеров необходимо - чтобы не было атак на ресурсоемкие модули и т.д., но вы походу совсем не понимаете или не хотите понимать зачем это надо.

Вы еще скажите что работает от root... Хватит вам себя позорить!

Вот тут вы и поплыли, именно то о чем я и говорила - вы не знаете как настраивать сервер, кроме как стандартной инструкции - ставим apache, ставит mod_php - ПРОФИТ. Когда сайт долбят по L7 в конкретный скрипт - то без разделения скриптов на пулы - сайт ляжет мгновенно.

В случае php это отдельный инстанц php-fpm который запущен в изолированном окружении и с определенными правами для конкретных директорий, а также имеет выделенные лимиты от cpu shel, iops и прочему...

Учите мат часть - L7 это OSI Layer7 - Application Layer - уровень приложения, а не сервера.
Разделение backend дает возможность уменьшить ресурсы на те скрипты и модули сайта которые не должны испытывать большую нагрузку - например атака с перегрузками по поиску и т.д. Я не говорила что панацея - но адекватные люди использую все возможности по спектру

Попытка у вас была хорошая - жаль правда что вы пытаетесь выдавать желаемое за действительное.

Для того чтобы через php поднять из priv esc нужно выполнение кода, а если учесть что будет несколько уровней ограничений - ну что-же - удачи вам тогда, буду только рада если на экспе покажете видео, как получать удаленный root shell на системе где последний php-fpm + hardended php установлены в рамках контейнера которые разлинован предварительно из docker, ведь для этого нужно чтобы слишком много звезд сошлось - что как по мне слишком большая редкость. ИМХО.
P.S. Я не whitehat чтобы регаться на hackerone.

Не я это все начала - вон у МАХА кое что подгорело.
Когда люди конструктивно говорят и без наезда, я не против, а наоборот и только за.

Воо. Теперь более конструктивно, но все равно топорно.

Гениально придумано, только это не только бинарники в отдельных папках, но и VE надстройкию.

В этом и суть. Зачем форуму изоляция, а главное от кого?

Опять от одного пользователя, что вы с этим заладили? Вы знаете что у булки есть разделение на модули обработчики? Если бы вы хоть немного понимали в том как настраивать тонким образом конфиги nginx под антиддос и обработку запросов на разных fcgi бакэндах - то знали бы, что деление для юзеров необходимо - чтобы не было атак на ресурсоемкие модули и т.д., но вы походу совсем не понимаете или не хотите понимать зачем это надо.

Антиддос на базе nginx это конечно смешно. Антифлуд какой-то, мей би. Да, возможно, есть такой функционал, но не тут совсем. В итоге вопрос остается вопросом, к чему бы это вы советовали CL для возможности выбора версии PHP. Ну ведь это как купить ламбарджини, ради того, что бы картошку возить.

Вы еще скажите что работает от root... Хватит вам себя позорить!

Ну зачем же вы ересь то пишете и присваиваете это мне. Я такое говорил?


Вот тут вы и поплыли, именно то о чем я и говорила - вы не знаете как настраивать сервер, кроме как стандартной инструкции - ставим apache, ставит mod_php - ПРОФИТ. Когда сайт долбят по L7 в конкретный скрипт - то без разделения скриптов на пулы - сайт ляжет мгновенно.

Ваше разделение не поможет, в чем его суть? Когда прилетит лям пакетов ваше разделение вместе с вашим высоким эго ляжет в тот час же. Зачем разделять? Что бы было?


Учите мат часть - L7 это OSI Layer7 - Application Layer - уровень приложения, а не сервера.
Разделение backend дает возможность уменьшить ресурсы на те скрипты и модули сайта которые не должны испытывать большую нагрузку - например атака с перегрузками по поиску и т.д. Я не говорила что панацея - но адекватные люди использую все возможности по спектру

Боюсь мы просто в разных сферах работаем. Если у вас понимание, что можно что-то отбить на уровне приложения, то я про это позабыл в далеком 2006 году. Где вы такие ддосы встречали? Мамкин хакер со своего компа утилитой ab когда долбит сервер? Сейчас 60-80 гиг это в порядке вещей. Проще говоря до сраки ваши разделения, и не помогут они и никто это уже не использует со времен динозавров.

Попытка у вас была хорошая - жаль правда что вы пытаетесь выдавать желаемое за действительное.

Совсем нет. Моя попытка - это полное недоумение, почему человек, зовущий себя специалистом советует установить изолированную систему заточенную под разграничение множества пользователей на сервере, платную, лишь для того, что бы была возможность сменить версию PHP. Это Эпик. Собственно это и предмет спора. Мерятся письками не намерен.

МАХА предложил присесть светмики на пол шишечки (пластик)

[QUOTE=Маха;1142507]

Изоляция частей друг от друга в целях безопасности.

Опять вы ушли от ответа. Я не писала что это ВЕСЬ антиддос, цель другая - это повышение стабильно, изоляция для безопасности, а также разделение нагрузки. Почему вы решили что этот форум картошка? Я сторонница корп решений, а не поделок на коленке.

Зачем вы хотите засунуть весь сайт от одного юзера? Зачем вам это?

Не путайте кислое с пресным, про лям пакетов нужно пояснить - это какие именно? если это TCP SYN Flood то он отлетит еще на кор роутере как LP трафик

В данном случае атаки на уровень приложения решаются локально, если вы не знаете - то сайт также работает через ТОР - фильтровать на уровне магистрали или кор свича - вы не сможете, tor выступает как .onion роутер, а следовательно ддос отбивать вам нужно будет на L7 - а именно локально 60-80Gbps для ДМа не нажно - он с 3Gbps думаю уже ляжет, я знаю того провайдера где он хоститься и тестила их хосты - там они не держат даже минимальную атаку. Через тор атака специфичнее - но тоже есть, это конечно не ab - но фильтрации на L7 требует.

Не только сменить PHP, учитывая то как сейчас настроен ДМ и падает с пол пинка - тут нужна платная поддержка, а CloudLinux ее предоставляет - если не верите, то посмотрите аптайм ДМа и еще ряд метрик - сами все увидите.
В теории можно предложить и RHEL - но тут не настолько крупный и белый ресурс для такой поддержки.

[QUOTE=sweetMika7;1142533]Ну тут вы по специфики пошли, конечно кастомайзинг - это хорошо и возможно я вас не так понял. Но именно на выбор версии PHP вы посоветовали CL что довольно странно выглядело. L7 атаки мало кто может фильтровать, поэтому зачастую все прилетает в самую дюрдочку и тут уже приходится на сервере химичить. Когда это гиг+ трафика, то что там химичить, когда канал забит. Собственно поэтому разделение не так важно. Да, возможно в некоторых случаях это поможет в плане того, что какая-то иньекция не сможет достучатся до нужного скрипта ввиду его изолированности, но это как говорится, совсем другая история.

[QUOTE=Маха;1142539]Дело в том что CL дает возможность простой управляемости, сразу предоставляет сборки Hardended PHP и еще море плюшек, а учитывая что ДМ настроен не очень - это решение оправдано + поддержка по подписке CL. Именно! И я об этом - если это прилетает через ТОР - то фильтровать нужно только локально в полу-ручном режиме, поэтому чем больше степень гранулирования системы - тем проще делать тюнинг, ведь можно собирать отдельные метрики. В случае с ТОР скорее будет забит канал соседних нод, нежели канал хост ноды (но это не точна). Именно, в плане безопасности это дает доп уровень защиты, а также дает возможность легкого манипулирования приоритетами отдельных частей форума, например понизить приоритет запросы на поиск и выборку из базы данных (вроде все посты юзера и т.д.) - из всех этих мелких оптимизаций складывается общая производительность, оптимизировали везде по чуть чуть, а вот и результат.

[QUOTE=sweetMika7;1142548]Возможно это немного поможет. Но в целом результата не даст. Единственное, за что я голосую плюсом - это безопасность от взлома. Таки да, это может помочь. В случае атак на ресурсы, практически не сыграет роли. При умных атаках, которые сейчас не то, что бы не редкость, а закономерность это отсрочить даунтайм на несколько минут.

Почти подружились! Будет у друг друга чему поучиться.