Messages posted by: tranvanminh

Bạn làm lại như thế này thử xem .

cd /usr/local/src
mkdir -p /package
chmod 1755 /package
wget http://tools.qmail.jp/daemontools/daemontools-0.76.tar.gz
tar -xvzf daemontools-0.76.tar.gz
cd admin/daemontools-0.76
wget http://qmail.org/moni.csi.hu/pub/glibc-2.3.1/daemontools-0.76.errno.patch
patch -p1 < ./daemontools-0.76.errno.patch
package/install
kill -HUP 1

ps : Tui dùng daemontools để giảm bớt truy xuất (I/O) của syslog . Nếu báo cáo của bạn chỉ đơn giảm làm mail server thì tạm dẹp cai daemontools ra , làm được mail rồi mới thêm vào cũng không muộn .

quote nhầm nên nó xuống hàng thôi ấy mà . Bạn sửa lại như thế này là chạy ngay .

[root etc]# tcprules /home/vpopmail/etc/tcp.smtp.cdb /home/vpopmail/etc/tcp.smtp.tmp < /home/vpopmail/etc/tcp.smtp

Các code này có phải tạo 1 file tcp.smtp rồi sau đó đổi thành tcp.smtp.cdb k ạ ?

mong các anh chị giúp em , vì em sắp làm báo cáo rồi.

Đúng rồi đó bạn .

Đây bạn .

http://www.nhatban.net/info/a0003.html?lang=ja

cadoi wrote:

gần như y nguyên, chỉ sai khác đôi it thôi, vì actualtest có tới hơn 500 câu mà đề thi chỉ có 60 câu thôi thì đúng khoảng 10 câu chuyện đó cũng bình thường thôi, như chưa đổi đề, mình nghe nói nó dung khoảng 60-70%. Mình không mong muốn tìm actualtest với khả năng đúng nhiều hơn mà muốn tìm quyển sách nó mới cập nhật thì nó sát với nội dung của đề hơn,

Ví dụ như trong phần nói về kernel: Bây h thì nó sẽ là 2.6.x, một số tài liệu cũ nó có thể nói về thấp hơn, chảng hạn 2.2.x trở về trước, nó đã có chút khác biệt, chẳng hạn về kmod và kerneld. Đấy là mình chỉ ví dụ thôi

Đúng rồi đó , bạn cố kiếm cuốn nào mới nhất về mà ôn . Đề thi nó thay đổi tùm lum , nên cũng phải cẩn thận và làm càng nhiều càng tốt . Với LPI2 thì nên cài đặt các dịch vụ nhiều vào để nắm bắt được cơ chế hoạt động cũng như nhớ mấy cái nội dung cơ bản để cấu hình dịch vụ .

Chúc bạn thi tốt .

Đã đủ người đăng ký , cám ơn sự quan tâm của các bạn .

Hiện nay công ty công ty mình quen biết cần triển khai tầm 20 server chạy win và linux tại TPHCM . Có nhu cầu tuyển dụng như sau ,

Nội dung công việc
Cài đặt hệ điều hành windows và Linux .
Cấu hình các dịch vụ Mail và DNS .
Khi server bị teo, có thể nhảy vào khởi động hoặc kiểm tra .

Số người cần tuyển
Hiện cần tuyển 3 người thay phiên nhau trực .

Mức lương
1tr5 cho đến 3tr 1 tháng .

Địa điểm
Văn phòng tại TPHCM của công ty Nhật .

Thời gian
1 trong 3 người phải có mặt từ 9h sáng cho đến 5h chiều.
1 tuần ít nhất phải có mặt 2 ngày ở công ty .

Tham khảo
Công việc tương đối không cần kỹ thuật cao mà cần nhất là tinh thần trách nhiệm của người quản lý .
Có thể quản lý khi server bị teo trong mọi thời điểm là một lợi thế .
Thông tin công ty và tài liệu tuyển dụng việc sẽ gủi riêng cho bạn nào đã đăng ký .
Những tài liệu có thông tin cá nhân vui lòng gửi vào PM diễn đàn . Hỏi đáp thì ở đâu cũng được .

Cám ơn đã đọc tin .

8668 wrote:

Đã làm theo cách của bác tranvanminh,cải thiện tốc độ chút ít!

Thật ra khi tui post bài đó lên , tui và lão Hoàng cũng đã thử điều chỉnh sao cho thằng nginx hiệu quả , ruốt cuộc đúc kết được mấy cái option này .

worker_processes 2
client_header_timeout 5;
ignore_invalid_headers on;
limit_zone gulag $binary_remote_addr 1m;

Nó hoạt động như thế nào thì bạn vào đọc tài liệu tại https://calomel.org/nginx.html .

Hôm qua, có bạn hỏi thăm tui, bây giờ server đang hoạt động nên không thể ráp thêm 1 con proxy vào và cũng không có tiền để mua server cho việc phòng hờ . Nhưng mà theo như kết quả test , thì mình chỉ cần cài đặt nginx vào server chung với apache vẫn có hiệu quả chống slowloris được như thường . Cách làm như tui đã post , chỉ cần cài đặt như bài trên thì cũng ngon lành rồi .

Còn có thật hay không thì các bạn tự làm thử đi rồi biết smilie

You can practice good web server security by doing the following:

1. Limit the amount of connections and how fast those connections can be made from any ip address to your web server by use of your firewall. This can be done with PF (we have a "how to") or Iptables.
2. Time out clients who take too long to perform any action.
3. Drop clients immediately who send invalid data.
4. Limit the amount or memory, cpu time and system resources the webserver can use. This is so the webserver can not take down the machine if the site is attacked.

The following Nginx directives will timeout clients who take too long to communicate their intentions to the server. The ignore_invalid_headers directive will drop any client trying to send invalid headers to the server. The explanations of each one is listed above on this page.

* client_header_timeout 5;
* client_body_timeout 10;
* keepalive_timeout 5;
* ignore_invalid_headers on;
* send_timeout 10;

https://calomel.org/nginx.html

Sau khi test vài cái Web lên đường (trong đó có checkpoint của lão Hoàng) , và đã thữ nghiệm thành công cách phòng chống hiệu quả . Xin được ra mắt bà con gần xa cách chống thằng này .

1. Cài nginx

sudo yum install nginx

2. Đại khái vào /etc/nginx/sites-available/default điểu chỉnh như sau để thành reverse proxy

proxy_set_header X-Forwarded-For $remote_addr;

worker_processes 2
client_header_timeout 5;
ignore_invalid_headers on;
limit_zone gulag $binary_remote_addr 1m;

server {
listen 80;
server_name hvaonline.net;
location / { proxy_pass http://hvaonline.net:8000; }
}

3. Vào apache sửa dòng listen qua port khác .

listen 8000

4. Tạo log cho apache để nhìn cho dễ

LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" proxy-combined

5. Cho thêm mấy cái này vào trong server chạy apache

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport 8000 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

-s xxx.xxx.xxx.xxx là IP của server chạy nginx .

ps : Đang bí chiêu , mong mỏi phân tích của anh male .

gamma95 wrote:

Em có vài thắc mắc:
Tại sao thằng IIS 6, 7 lại miễn nhiễm ??
Tại sao anh Hoàng nói hạ time-out là ko khả thi ??
... và tại sao thằng phát minh ra chiêu này nó ko dùng POST ??
Cái cách hạ time-out có khả thi với POST request ko??
Còn về cách phòng thủ của HVA, em nghĩ cái "tốc độ ánh sáng" của HVA đã chống được 50% ??

Tui nghĩ là thế này,

Tại seo ÌIS không bị ,
Dòng họ *nix chơi trò 1 client thì fork cho 1 cái process hay 1 thread , còn ÌIS worker thread thì chắc khi có request , thì nó lấy 1 process để xử lý và nó cũng không thèm đợi response từ client, nên chắc không rơi vào tình trạng này . (không biết đúng không ta)

Tại seo hạ timeout xuống không khả thi,
Ví dụ như có 1 sciprt CGI hay php gì đó, search mất 10 giây , mà phía web server cho time out là 2 giây thì chưa kịp xử lý là bị time out rồi .

Tại seo không dùng POST ,
Hình như trong option của nó có (không nhớ lắm ) . Nhưng mà bản thân nó GET và đợi nên có đổi qua POST thì cũng dzậy .

Về phòng thủ
Tình hình là máy đơn , không có đồ chơi cản lọc như của lão Hoàng thì chắc chỉ còn 2 cách là hạ time out xuống hoặc ngồi đợi ............ patch . Server của tui có dùng mấy cái như mod_evasive , giới hạn từ 1 IP này nọ vẫn không hiệu quả .

daika wrote:

@tranvanminh: ủa, cu thần bài thử.... nện rồi hả?

Không chỉ riêng em, mà là cùng một số anh em BQT giúp tay để giết thử mà không được nè anh , lão Hoàng cay cú nhất smilie

mR.Bi wrote:

em trích lại một comment của tác giả Neil trên LinuxSecurity:

Neil wrote:

TimeOut 2
or
TimeOut 5

breaks this tool.

The default is 8.19 minutes and by default it's not in the config file. With the default setting the tool does in fact break Apache 2.2. With 2 second timeout, there's no noticeable lag with the tool running against the server. With 5 second timeout the lag becomes noticeable. On a busy server you will see some lag.

This timeout setting doesn't affect how long the client waits for an ack. It also doesn't affect file uploads.

-Neil

Tool này chỉ là demo nên có lẽ "mức độ nguy hại" không cao, em dùng từ có lẽ vì em chưa test.
Chi tiết về Timeout directive ở http://httpd.apache.org/docs/2.2/mod/core.html#TimeOut

Đâu phải server nào cũng làm được 2 hay 5 đâu smilie

(
Kiểu này nguy . Lão Hoàng cứu tui dzới , DOS HVA không xi nhê smilie

hehe

LeVuHoang wrote:

Sao không có bác nào khác hứng thú vụ này vậy hen.
Ngoài giải pháp dựng 1 con proxy đằng trước thì các bác nào có ý kiến khác không. Hệ thống phòng thủ HVA sẽ phản ứng như thế nào.

Ai nói không ai , tui đang cài trên vmware để nghiệm thi mấy con server của tui nè smilie

Lạc đề tý: sao tự nhiên mình trả lời bài trên mà nick post lai không phải là mình nhỉ? Cùng 1 IP mà 2 nick khác nhau?