Что имеем: есть сервер (8Гб памяти, Intel(R) Xeon(R) CPU E31220 @ 3.10GHz) FreeBSD 8.4 Release amd64, сайт на php5.2, nginx+apache+mysql.
Перейти полностью на php-fpm не получилось, поэтому пришлось защищаться как есть. Это поможет отразить небольшую syn flood атаку.
Ниже будет приведены выполненные действия для отражения атак.
После обновления FreeBSD 8.1 на 8.4 вылез неприятный момент: при ребуте сервер подвисает на сообщении:
usb0 disconnected
Всему виной оказался USB 3G модем Novatel U720, из-за которого и получали подвисание.
Недавно, на один из старых серверов (там крутилась FreeBSD 7.3) пришла абуза от хостера, что на сервере замечен rootkit. Была информация, что при любом логине (а как позже оказалось, вообще при любой попытке, даже неудачной) на сервер он отправляет login/pass/ip на сервер злоумышленника в виде хитрого DNS запроса.
Недавно сообщалось, что такой руткит был найден на серверах с linux (там была протроянена либа libkeyutils.so). Гугление показало, что такого руткита для FreeBSD и в помине нет (а может плохо гуглил).
UPD: а вот похоже и оно
Появилась задача протестировать одну штуку через VirtualBox. Но вот не задача: нужное мне сообщение пишет ядро после того как перегружаю виртуалку. Я, конечно не успеваю его прочитать. Вот если бы можно было куда-то перенаправить вывод консоли виртуалки и оттуда уже прочитать.
Можно конечно воспользоваться ПО, которое пишет видео с экрана, но и тут меня ждала неудача: слишком быстро промелькнуло сообщение и на видео оно не видно.
Решение подсказали в рассылке FreeBSD. Суть следующая: будем дублировать вывод так же на com-порт, а в качестве com-порта пропишем путь к сокету, который создадим на хост-машине (та, собственно где запущен VirtualBox).
Тестовый стенд: FreeBSD 9.2, Debian Linux 6 (kernel 3.2), ipsec transport mode with preshared keys
Настройка IPSec состоит из 2-х частей: настройка IPSec’a и непосредственно настройка обмена ключами (ike).
Имеем самую обычную схему FreeBSD (10.5.5.98) <—> (10.5.5.78) Linux
В данной статье подразумевается настройка полностью с нуля.
Тестовый стенд: FreeBSD 8.4 i386 Release, модем Novatel U720, mpd-5.7
При этом данный канал используется как вторичный, поэтому строки для шлюза по дефолту, получение DNS от пиров – закоментированы.
И так, вносим такой код в /usr/local/etc/mpd5/mpd.conf (отступы обязательны!):
По дефолту zfs показывает не большую скорость работы, но это можно исправить. Ограничим или отключим такие параметры:
– vm.kmem_size, vm.kmem_size_max – участок памяти используемый ядром для выделения памяти, например, при использовании malloc. Не больше 1/3 оперативной памяти
– vfs.zfs.arc_max – отвечает за размер памяти выделяемый под ARC ( хранятся кешированные данные пулов). Не больше 1/3 оперативной памяти
– vfs.zfs.prefetch_disable – zfs пытается угадать, какой блок будет считан в следующий момент. Можно попробовать отключить его
– vfs.zfs.cache_flush_disable – отключение синхронизации данных между ОС и дисками
– vfs.zfs.vdev.max_pending=”6″ – выбрасываение диска из пула после таймаута в 6 секунд
Схема подключения:
Solaris (net 192.168.66.0/24) 1.1.1.1 <—(10.65.0.1 <—> 10.65.0.2)—> 2.2.2.2 (net 192.168.88.0/24) Linux
FreeBSD (net 192.168.77.0/24) 3.3.3.3 <—(10.77.0.1 <—> 10.77.0.2) —> 2.2.2.2 (net 192.168.88.0/24) Linux
Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).
В данной заметке, я лишь приведу ссылки, где описываются разного рода нюансы при больших нагрузках и как они решаются.
Тоже самое касается и проблем при агрегации сетевых, на поведение которых влияет значение параметра sysctl net.inet.ip.intr_queue_maxlen.
