URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85272
[ Назад ]

Исходное сообщение
"Ограничение ресурсов пользователя FreeBSD для предотвращенияDoS"
Отправлено Ivan Maksimov , 14-Май-09 20:35

Здравствуйте, уважаемые коллеги
Слабенький сервер под управлением freebsd 7.1, Apache2.2, nginx 0.6, suphp 0.7, php 5
Выполняет роль сервера для небольшого виртуального хостинга. Для каждого вирт. хоста apache в системе заведен отдельный пользователь
nginx фронтенд передает запросы бэкенду (apache), который через suphp запускает скрипты под соответствующем вирт. хосту пользователем.
Схема работает замечательно, однако возникла следующая проблема.
Один из виртуальных хостов обслуживает _очень_ тяжелый сайт. Настолько тяжелый, что относительно большое количество последовательных частых запросов (порядка 50-100) к сайту приводят к временному DoS - процессы php-cgi выстраиваются в очередь и сервер тихо стонет.
Подскажите пожалуйста, есть ли возможность (подразумеваются варианты _без_ создания виртуальных машин) ограничить выделяемые пользователям ресурсы и, таким образом, обезопасить остальных пользователей сервера от DoS?

Содержание

Ограничение ресурсов пользователя FreeBSD для предотвращения...,Pahanivo, 20:57 , 14-Май-09
- Ограничение ресурсов пользователя FreeBSD для предотвращения...,Ivan Maksimov, 21:10 , 14-Май-09
  - Ограничение ресурсов пользователя FreeBSD для предотвращения...,Pahanivo, 07:55 , 15-Май-09

Сообщения в этом обсуждении

"Ограничение ресурсов пользователя FreeBSD для предотвращения..."
Отправлено Pahanivo , 14-Май-09 20:57

>[оверквотинг удален]
>соответствующем вирт. хосту пользователем.
>Схема работает замечательно, однако возникла следующая проблема.
>Один из виртуальных хостов обслуживает _очень_ тяжелый сайт. Настолько тяжелый, что относительно
>большое количество последовательных частых запросов (порядка 50-100) к сайту приводят к
>временному DoS - процессы php-cgi выстраиваются в очередь и сервер тихо
>стонет.
>
>Подскажите пожалуйста, есть ли возможность (подразумеваются варианты _без_ создания виртуальных машин) ограничить
>выделяемые пользователям ресурсы и, таким образом, обезопасить остальных пользователей сервера от
>DoS?
1) перейти на модульный php
2) ограничивать настройками апачика количество клиентов и тп

"Ограничение ресурсов пользователя FreeBSD для предотвращения..."
Отправлено Ivan Maksimov , 14-Май-09 21:10

>[оверквотинг удален]
>>большое количество последовательных частых запросов (порядка 50-100) к сайту приводят к
>>временному DoS - процессы php-cgi выстраиваются в очередь и сервер тихо
>>стонет.
>>
>>Подскажите пожалуйста, есть ли возможность (подразумеваются варианты _без_ создания виртуальных машин) ограничить
>>выделяемые пользователям ресурсы и, таким образом, обезопасить остальных пользователей сервера от
>>DoS?
>
>1) перейти на модульный php
>2) ограничивать настройками апачика количество клиентов и тп
Спасибо.
К сожалению, это невозможно. suPhp используется для запуска php от имени соответствующего пользователя, это необходимо для разграничения доступа к объектам файловой системы.

"Ограничение ресурсов пользователя FreeBSD для предотвращения..."
Отправлено Pahanivo , 15-Май-09 07:55

>[оверквотинг удален]
>>>Подскажите пожалуйста, есть ли возможность (подразумеваются варианты _без_ создания виртуальных машин) ограничить
>>>выделяемые пользователям ресурсы и, таким образом, обезопасить остальных пользователей сервера от
>>>DoS?
>>
>>1) перейти на модульный php
>>2) ограничивать настройками апачика количество клиентов и тп
>
>Спасибо.
>К сожалению, это невозможно. suPhp используется для запуска php от имени соответствующего
>пользователя, это необходимо для разграничения доступа к объектам файловой системы.
1) есть модули для запуска хостов под конкретными пользователями, в первом апаче такая фича была (мож и щас активна)
2) так ничего не мешает запускать для каждого хоста свой сервер на другом порту/айпи