Spoofy

expand via LVM tak.

Cześć, szczerze mówiąć nie lubię zbyt ogólnego określenia "AntyDDoS" - nie jest ono dokładne, gdy mówimy o konkretnych rodzajach "ataków". Wdrażam autorskie rozwiązania, zarówno te oparte o software, czy (sprytny) hardware. Wolumetrycznie dużo zależy od łącza i styków w danej lokalizacji, lecz również na tym polu dużo można "ugrać". Wanguard jest rozwiązaniem znanym od paru ładnych lat, zaś czas poszedł troszkę do przodu i mamy np. rozwiązania oparte o DPDK - np. takie z których korzysta ATM: Nie jest to czas i miejsce na "chwalenie się" konkretami. Jeżeli potrzebujesz konkretnego rozwiązania, moge przygotować ofertę, gdyż nie wdrażam ich na wyłączność, ale ze względu na to, że są to mocno "customowe" rozwiązania (również hardware'owo), jestem zobligowany do nie chwalenia się nimi publicznie

Nie podawaj tego typu informacji publicznie - jeżeli chcesz komuś przekazać tego typu dane, miej świadomość konsekwencji - w szczególności publiczne przekazanie. Użyj wiadomości prywatnej.

Dzień dobry, oczywiście możemy przygotować takie rozwiązanie. Jako wieloletni partner NASK'u bez problemu będziesz mógł przenieść domeny, zaś kwestia DNS'ów nie powinna być problemem. Certyfikaty LET od niedawna wspierają generowanie wildcard. Wszystkie opisane (wcale nie takie "spore" ;) ) wymagania będą spełnione przy konfiguracji, lecz powiedz proszę, czy licencje na LSWS dostarczasz we własnym zakresie? Pozdrawiam.

Powiem tylko, że niestety często jest tak, że zakładane są konta w formach komunikacji, które nie są utrzymywane. W Polsce dla przykładu, Twitter niestety nie jest aż tak popularny jak np. Facebook, zaś inne wynalazki jak Snapchat'y w ogóle często nie pasują do profilu działalności - a jednak widnieją takie ikonki gdzieś na stronach. Częstą praktyką jest również promowanie usług przez takie kanały, ale świadczenie wsparcia już nie. Podzielam zdanie - tak nie powinno być, ale niestety często tak jest. Może jestem "nomadem", ale nie uważam że pisanie publicznego posta jest tym samym co bardziej formalna metoda komunikacji (mail, zgłoszenie etc.), tym bardziej, że takim kontem może zarządzać np. inna firma marketingowa. Nie będę tutaj dalej ciągnąć dyskusji - zapraszam do rozmowy na naszym Discordzie

Każdemu zdarzają się drobne "usterki" - ważne że nie są one permenentne Pamiętajmy o tym, że hosting zależny jest od wielu składników. MyDevil świadczy usługi, które spotykają się z uznaniem klientów, o czym mogą świadczyć powyższe opinie. Jeżeli chcesz uzyskać odpowiedź w sprawie awarii, polecałbym bezpośrednie zgłoszenie, a nie publiczne wykorzystywanie mniej popularnego w tej części świata środka komunikacji jakim jest Twitter.

Technicznie DMARC sam z siebie nie robi nic ciekawego, poza notyfikacją dla zewnętrznego serwera co ma zrobić z odrzucaną wiadomością i istotnie sprowadza się to do rekrodu TXT. "Kto w takiej sytuacji wysyła raporty na adres [email protected] ?" - ten kto oznaczył wiadomość jako spam Ważniejsza jest obsługa DKIM i poprawny SPF oraz RevDNS zgodny z HELO. Przetestuj wysyłając wiadomość: https://mail-tester.com i skorzystaj z narzędzia: https://www.dmarcanalyzer.com/dmarc/dmarc-record-generator/ . P.S. Dodam jeszcze: https://support.google.com/a/answer/2466563?hl=en

Takie wywody na forach, w moim przekonaniu w tym miejscu dalej zmierzają do offtop'u. Zarzucasz mi brak konkretów, także zacznę może od (pseudo)analizy Twojej wypowiedzi: Z Twojego "talerza", można wywnioskować, że zbój o którym tutaj mowa, tyczy się ruchu webowego. Cóż, wikipedia nie jest dla mnie źródłem oczywistym, natomiast (niby) podręcznikową i dokładniejszą definicję znajdziemy w innych jej zasobach: https://en.wikipedia.org/wiki/Web_application_firewall - tutaj już uściślone jest, że tyczy się to konkretnie ruchu za pomocą protokołu HTTP i WAF jest czymś innym niż zwykły firewall i dla przykładu chroni przed popularnymi atakami Sqli, xss, czy fi. Podałem już przykład krótszej, dokładniejszej definicji, także nie będę Ci jej "wytłuszczać". widzisz, ta "normalna" wiki opisuje metodę działania ochrony aplikacyjnej. Zadałbym Ci pytanie - w jaki sposób chciałbyś blokować "potencjalnie" czy prewencyjnie zły ruch za pomocą fail2bana przy aplikacji webowej, ale domyślam się, że będę źle zrozumiany i zbyt ofensywny w stosunku do Ciebie. Na owej stronie przeczytamy również o innych sposobach "ochrony" aplikacji systemowych (o których również mógłbym chętnie porozmawiać). Język angielski chyba jest dla Ciebie zrozumiały, tak więc pozwól że w tym momencie skupimy się na tym, czym jest WAF, gdyż o tego zbója się tu rozchodzi dziękuję za /b/wytłuszczenie, lecz właśnie wykazałem, że logicznie tak nie jest. przybliż mi zasadę działania samego fail2ban'a - czy przypadkiem nie jest to parser logów serwera webowego, który wykonuje daną czynnośc, najczęściej dodanie do netfilter'a regułki blokującej? Zapytałbym, co w praktyce powinniśmy logować w takim logu, jak dużo, jak będzie działać parser python'a, jak szybko da rezultat w przypadku np. dużego ruchu, ale skupmy się na tej (niby) podręcznikowej definicji, a nie (where am I?!) praktyce. w mojej głowie(sajko!) są różne(sic!) realne przykłady i nie tylko "coś ala modsec" wyznacza owe określenie. pamiętam czasy tego kernela (hehe ), także pozwól że podzielę się z Tobą tą nostalgią... Wyobraź sobie czasy, gdzie floppy disk, taki 3,5' był jak pendrive. W tamtych czasach, liczyła się jakość kodu, nawet tak prostych programów, które możnaby zmieścić poniżej 1,5 MB. Takich zbójów, co mają robić tylko jedno, nie przejmować się niczym inmym i dla przykładu - robić to dobrze. Pamiętam również czasy nocnych kompilacji, tak więc potrafię docenić jakość danego oprogramowania jak i rozwiązania, również tego komercyjnego. widzisz, mam wrażenie że ja już znalazłem to, czego Ty nadal szukasz Panie @devopsiarz, taki nickname powinien do czegoś zobowiązywać - szybka analiza, filtrowanie oraz wyciąganie wniosków nie powinno być Ci obce, nawet w sytuacjach stresowych, prawda? Nie, ja nie "wyrywam" niczego, ja "podaję" tylko lepiej, szybciej i dokładniej czyli mówisz, że zwykły PC, będzie wydajniejszy to chciałbym zobaczyć realny przykład (w konkretnej skali) jaki Ty masz w głowie. Czy mógłbyś się takim podzielić, hm? Analyze error: buffer overflow, kernel panic!?!! ja rozumiem, full Stallman, GNU(slash!)/Linux, wszyscy korzystamy z dobrodziejstw ludzkości, ale jeżeli jesteś w stanie "zbudować" rozwiązanie tak kompleksowe, dać mi takie wsparcie w takiej cenie, to Panie @devopsiarz - nie wiem ile tych hostów tam devopsujesz, ale sądzę, że poległbyś w przebiegach Kończąc tą pseudo-analizę, dalej sądzę że wcześniejsza próba urwania tematu była słuszna i dalsze dyskutowanie o podręcznikowej czy praktycznej definicji słowa WAF, względem np. fail2ban'a, jest tylko offtopem. Być może Panie @devopsiarz chciałbyś usłyszeć konkret, lecz wybacz, ale nie jest to miejsce pod tytułem "niedzielna szkółka Spoofiego" i nie prowadzę tego rodzaju konsultacji Zawsze możemy porozmawiać, tak jak już to robiliśmy, na naszym Discordzie,do czego zachęcam przy okazji czytających ten wątek. Jeżeli zaś chciałbyś w praktyce dowiedzieć się, jak ja rozumiem definicję WAF'a i jak powinien on działać, serdecznie zachęcam do skorzystania z moich usług administracyjnych czy hostingowych - być może usługa hostingu www, wraz z (np. kilkoma) WAF'ami, przy realnym ruchu byłaby odpowiednia, hm?

Eh, nie mam siły się sprzeczać. Podajesz definicję owasp'a - w takim układzie podaj mi przykład wykrywania XSS'a na podstawie logów, stwórz taką regułkę i zmierz wydajność. Dodatkowo, porównaj z innymi rozwiązaniami. Jeżeli podajesz przykład z wiki, czym jest application firewall, to już Ci odpowiadam - jak chcesz BRONIĆ, na podstawie logów serwera www? Gdzie tutaj jest prewencja, hm? Jedynie taka, żeby ktoś nie wykonał danego request'a ponownie - także to nawet nie wpasowywuje się w taką, podaną przez Ciebie regułkę. Jeżeli twierdzisz że zwykły PC jest "wydajniejszy", "bezpieczniejszy" i "lepszy" jako np. WAF, to polecam zakupić takie urządzenie i chwilkę się nim pobawić przy realnym use-case. Podatności czy CVE, zarówno na JuniOS'a czy FortiOS'a są znane, ale nie zmienia to faktu do czego są one wykorzystywane. Spójrz proszę na realne przykłady. Tym twierdzeniem zakończę dyskusję z mojej strony w tym temacie

No niestety, ale podstawowy, prosty parser logów, fukcjonujący jako anty-bruteforce nie może być nazwany WAF'em. Odsyłam do definicji: https://sekurak.pl/czym-jest-web-application-firewall-czesc-pierwsza-na-przykladzie-naxsi/ W kwestii fortigate'a - sprawdzałeś może kiedyś moduły takiego kernela albo jego konfigurację? Sądzę że mógłbyś się mocno zdziwić, zaś benchmarki wydajnościowe również mówią same za siebie. W początkach działalności, można by nawet pokuśić się o takie stwierdzenie, że jest to "zwykły PC", aczkolwiek po coś są to komponenty dobierane i produkowane pod konkretną konfigurację Jeżeli zraziłeś się do Fortigate'a, to masz jeszcze całą masę innych rozwiązań - Sonicwall'e, Juniper'y etc.

Fail2ban = anty bruteforce (swoją drogą, parser python'a, który nie jest aż tak wydajny jak np. perl'owy LFD ) to NIE jest WAF. Podałem przykład - imunify360 - zestaw regułek do modsec'a Także napisałem że w "DUŻYM" uproszczeniu, zaś kwestia sprzętowa w tym przypadku ma znaczenie - jak dużo request'ów jest w stanie przyjąć i wyfiltrować - inaczej takie rozwiązania nie miałby racji bytu. Polecam poczytać w/w produkt Fortigate'a - Fortiweb: https://www.fortinet.com/products/web-application-firewall/fortiweb.html

A oznacza to tyle, że bardziej pasuje to do regułki: Web Application Firewall niż anty-bruteforce Fail2ban który nim nie jest ;) Nie oznacza to jednak, że mamy sprecyzowane co rzeczywiście chcemy osiągnąć w takim przypadku - tak samo jak w przypadku IDS'ów ;) W DUŻYM uproszczeniu możemy podzielić takie rozwiązania na trzy kategorie: - Sprzętowe rozwiązania - gotowe produkty np. Fortigate'a - Software'owe - Proxy/L7 Powiedzmy że skupimy sie na standardowym modsec'u i OWASP'owych regułkach - te mają zbyt dużo false positive'ów i dostosowanie tego niestety wymaga czasu. Są alternatywy, takie jak np. CWAF (Comodo WAF) - tutaj sprawa wygląda znacznie lepiej. Warte polecenia, są również regułki Atomi Corp'a - też mało false positive'ów. W przypadku Imunify360 - nie powiem za dużo, ale wydaje się całkiem przystępnym rozwiązaniem (z resztą jak wszystko od CloudLinucha ;) ). Jeżeli jednak masz zamiar rozpatrywać WAF'a jako ochronę sieciową, tzn. np. proxy L7 to tutaj też mamy całą masę rozwiązań. Prawdopodobnie Panu @devopsiarz w przypadku .htaccess'a - czyli regułek rewrite, w przypadku WordPress'a chodziło o blokowanie/limitowanie niechlubnego xmlrpc - takie rzeczy oczywiście można zablokować na każdym serwerze, nie tylko regułkami rewrite (np. Nginx'em). Czy warto? IMHO każde rozwiązanie zwiększające świadomość zagrożeń oraz bezpieczeństwo - warto stosować. Z wymienionych, polecałbym na początek CWAF'a ;) P.S. Dodatki do skryptu, czyli wykonywalnego już PHP - po tej stronie nie zdziałają za wiele, także "dodatki" do samego WordPress'a nie podlegają pod definicję WAF.

Dodam swoje 2 grosze - sam się zastanawiam nad zakupem: https://kobol.io/helios4/ - stawiamy na tym np. nextcloud'a i ew. synchronizujemy go z drugą instancją, hostowaną "gdzieś" indziej

czyste DP lub DVI jak @Archi mówi. Z konwerterami bywają problemy. BŁAGAM, niech ktoś wyedytuje ten temat bo to aż BOLI.

Hmm.... wydaje się że nie ma takiej potrzeby, gdyż u nas można znaleźć coś podobnego w standardzie ;) Serwery VPS, ulokowane w Ożarowie (OVH PL), wraz z filtracją L7 (Anty DDoS Game), z dyskami NVMe. Możemy spiąć vps'y osobnym vlan'em. W przypadku WWW - tutaj polecałbym usługę shared hostingu - panel DirectAdmin, wraz z pełnym dostępem ssh i CloudLinux'em i pełną ochroną L7 (autorskie proxy). Brak byłoby co prawda bezpośredniego połączenia z hostem bazy danych, aczkolwiek w obrębie tego samego DC, zatem tragedii być nie powinno ;) Serdecznie zapraszam do kontaktu w sprawie oferty.

Przeglądając niektóre wpisy, można dojść do wniosku iż rzeczywiście cała sprawa opinii pracowników nazwa.pl jest dość śmierdząca, tak jakby ewidnętnie chcieli coś ukryć i to nie po raz pierwszy. "Maskowanie" opinii czy też ich usuwanie nie wydaje mi się dobrym pomysłem, także moim zdaniem nazwa.pl, po raz wtóry strzela sobie w stopę. Zastanawiający jest też fakt, że byli pracownicy tak otwarcie mówią o praktykach tej że firmy - czyżby opisywany terror panował w każdym dziale? @l0calh0st masz może jakieś doświadczenia i chciałbyś się nimi podzielić na łamach tego forum? Gwarantujemy, że tutaj panuje wolność słowa i wypowiedzi w ramach obowiązującego prawa, także nikt nikogo uciszać nie będzie

U nas ceny pozostają bez zmian, zatem wychodzi taniej niż u wymienionego rejestratora

Ad.2) zbyt dużo benchmarków robiłem w swoim życiu i uwierz mi że znam większość web serwerów i ich możliwości. W przypadku autora wątku, domyślam się że jedną z kluczowych kwestii będzie obsługa regułek rewrite. Jeżeli już odsyłasz do benchmarków, polecam również zbadać te, odnośnie varnish'a względem wspomnianego nginx'a, który powstał właśnie przede wszystkim jako proxy Ad.4) W przypadku podobnych request'ów, load i oranie zasobów będzie większe przy ich obsłudze niż przy ich zalogowaniu, zaś z punktu widzenia bezpieczeństwa, jest to tylko kamuflowanie tematu który dalej istnieje. Wypowiedziałeś się publicznie, więc publicznie odpowiadam. Nie mam zamiaru "się wyjaśniać", zaś takim sformułowaniem jestem mocno zniesmaczony, zatem podaruję sobie i Tobie dalszych wywodów w tym temacie.

1) Znów "złota łopata" za wykopalisko na forum 2) Apache też potrafi sobie poradzić z wieloma przypadkami 3) W tym konkretnym przypadku spojrzałbym na UA i na tej podstawie powycinał zbędny ruch 4) Jeżeli w jakikolwiek sposób zajmowałbyś się administracją, wiedziałbyś że nie logowanie czegoś potencjalnie "złego" nie rozwiąże problemu - bo niby jak?

1) w takim układzie, w jaki sposób znalazłeś wątek, aktualizowany ostatni raz w 2018stym? 2) uważasz że podział obciążenia na vps'y automatycznie skutkuje rozwiązaniem problemu? 3) "czysto administracyjnej" - tzn.? Rozwiń proszę tą myśl.

Po pierwsze: Po drugie: chyba używasz słów których nie do końca znasz znaczenie, albo nie przeczytałeś całego wątku Powiedz proszę, czym dla Ciebie jest "wyskalowanie" na jednym dedyku z DA, hm?

Witam, oferta: https://vipower.pl/Konta-Reseller - pakiet "VIRS STARTER" z obniżoną pojemnością do 10 Gb + zniżka - podejrzewam że koło 220 PLN netto / rok Backupy oczywiście wykonujemy codziennie Istnieje możliwość przetestowania usługi w bezpłatnym okresie testowym. W przypadku migracji, pomożemy bezpłatnie. Jeżeli jesteś zainteresowany to załóż konto i odezwij się do nas przez system zgłoszeń. Pozdrawiam.

Pytanie tylko - co ma wspólnego przekazywany header "X_REAL_IP" do regułek rewrite w tym przypadku

To już ogarniesz z poziomu filesystemu - także możesz użyć czego chcesz - minio zaciągnie zawartość

W chwili obecnej, takim działaniem na rzecz owej firmy, tylko pogrążacie jej wizerunek - gratulacje. Jestem szczerze zaskoczony, że taka szeptanka została wykonana przez kogoś, kto absolutnie nie zna rynku i usług jakie reklamuje. Trudno być zadowolonym z oferty, z której tak na prawdę się nie korzysta, nie znając alternatyw. Napiszę jeszcze raz, prostszymi słowami, ażeby ładnie SEO się zgadzało: Wnioskując z wcześniejszych wpisów zawartych w tym wątku, jak i moim skromnym zdaniem Usługi nazwa.pl zarówno jakością jak i ceną drastycznie odbiegają od konkurencyjnych ofert, ot co.