我正在使用 nginx、haproxy 和 apache 设置一个 HA(高可用性)集群。
我一直在阅读有关 nginx 和 haproxy 的精彩内容。人们倾向于选择其中之一,但我两者都喜欢。Haproxy 在负载均衡方面比 nginx 的简单循环更灵活(即使有上游公平补丁)。但我想保留 nginx,以便在集群入口处将非 https 重定向到 https 等。
另一方面,nginx 在提供静态内容方面要快得多,并且会减少强大的 apache 的负载,它喜欢吃大量的 RAM!
这是我计划的设置:
负载均衡器:nginx 监听 80/443 端口,proxy_forwards 到同一台服务器上 8080 上的 haproxy 来实现多个节点之间的负载均衡。
节点:节点上的nginx监听8080上haproxy的请求,如果内容是静态的,就服务它。但是如果它是一个后端脚本(在我的例子中是 PHP),代理转发到同一节点服务器上的 apache2,监听不同的端口号。
从技术上讲,此设置有效,但我担心的是,请求通过多个代理是否会减慢请求速度?大多数请求将是 PHP 请求,因为后端是服务(这意味着从 nginx -> haproxy -> nginx -> apache 进行处理)。
想法?干杯
好吧,这令人沮丧,我的网站在过去 3 天内获得了数千次页面浏览/连接,最后我们用完了每月的带宽。我们购买了更多带宽并关闭了站点进行维护。我们检查了日志并找到了一个负责任的 IP 并禁止了它,但是当我们打开该站点时,攻击仍在继续。这次是来自不同国家的多个IP,他们访问了我们网站的不同页面数千次。
我们应该做什么?
编辑 这可能很重要:机器人或黑客或任何似乎坚持一个网页并一遍又一遍地访问它(如我们的论坛会员页面)但当我们限制该页面的权限时,它只会去寻找其他地方。奇怪的。
我有一个面向公众的 IIS 7.5 Web 服务器,它运行一个 ASP.NET 网站,它刚刚通过“慢发布”漏洞使我们的安全扫描之一失败。
已尝试减少站点 web.config 中的 httpruntime executiontimeout 值,但该站点仍无法通过安全扫描。
任何人都对 IIS 设置/配置有任何建议,以防止缓慢的 post dos 攻击?
编辑: 我认为可能防止这种情况的唯一方法是在应用程序中执行此操作,查看 global.asx 中 beginrequest 子项中的标头,并根据内容类型,结束/关闭响应...
该工具建议使用以下方法测试漏洞:https : //www.owasp.org/index.php/OWASP_HTTP_Post_Tool但我真的只是想确定是否有任何 iis 配置可以修复它。
慢帖:“ HTTP POST DDOS 攻击的工作原理(HTTP/1.0)(续)
参考:https : //media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
我们有 Macbook Air(实际上,我们有一些 Airs、一些 Pro 和一些 iMac)。我们一直有一个烦人的问题,那就是当他们连接到我们的 DHCP 服务器时,他们实际上有 2 个不同的 IP 地址,这导致在我们的 DHCP 租用文件中设置了 2 个不同的 IP 地址,以及 2在我们的 DNS 中(自动更新)。
在具有多个 NIC 的 linux 工作站上,我们将它们绑定/组合到 bond0 并手动设置 MAC 地址等于绑定中的一个 NIC。这几乎解决了所有相关的ballache。
我只是尝试使用管理虚拟接口(网络中的高级设置,在适配器列表中的小齿轮下)在空中绑定网卡。我可以将 eth0(USB 以太网加密狗)添加到绑定中就好了,但是无线机场适配器没有出现。
难道不能以这种方式跨接口桥接吗?
还有另一种方法吗?
我们想这样做是不是疯了?有没有更好的办法?
我有一台运行 Postgresql 9.1 复制的服务器。我写了一个脚本来打印当前的复制延迟(master 每 60 秒插入一个 unix 时间戳,slave 将它与当前时间戳进行比较)。
我已经添加
extend replag /usr/local/bin/check_lag_quietly.sh
to snmpd.conf,并重新启动snmpd服务,但是当我从本地主机或网络上的另一台机器snmpwalk主机时,我可以看到所有其他OID,但不是这个。
如果我做 SNMP-Get 作为
tom.oconnor@charcoal-black:~$ snmpget -v2c -cpublic dns-2 UCD-SNMP-MIB::extTable
UCD-SNMP-MIB::extTable = No Such Object available on this agent at this OID
然后它也无法在那里找到 OID。
Net-SNMP 版本 5.4.2.1,Ubuntu 10.04。
阅读了此处与 DNS 负载平衡和循环 DNS 相关的所有问题和答案(1 2 3等)后,仍有许多未回答的问题。
大公司,我在这里查看的是 Google、Facebook 和 Twitter,确实提供了多个 A 记录。
1) 如果 DNS 负载平衡/故障转移如此狡猾,为什么大型组织要这样做?
尽管有关于“DNS Pinning”的这篇(PDF)论文,但似乎很少提到“DNS Pinning” 。
2)为什么很少提到DNS Pinning?
3) 有没有具体的例子说明哪些 ISP 等实际上重写了 DNS TTL?
也就是说,我并不完全支持使用 DNS 进行故障转移或任何形式的负载平衡。对于大多数网络,BGP 多样化路由似乎仍然更合适。
DNS 再次抬起丑陋的头。:(
我在 Ubuntu 服务器上有一个远程裸 Git 存储库,其中的文件归用户my_project和组所有my_project,并相应地设置了权限。所有提交者都是他们自己在组中my_project。
当有人提交然后my_user通过 SSH从任何带有用户的 Ubuntu 笔记本电脑推送到服务器时,远程存储库中的一些文件被创建(更新?),因此它们现在属于用户和组my_user。
当然,当其他人想要提交时,他现在无法提交,因为他没有写权限。我可以将权限设置为 777,但这不是最佳选择。
有什么办法可以在保持受限写入权限的同时解决这个问题?
我刚刚接受了以太网电缆 CAT 5 和更多必须以特定安排结束。
当我结束电缆时,我了解到要注意任一端必须采用相同的排列(568A 或 568B)。
有时我和我的同事一起说他们声称如果两侧的布置相同,即使电缆不在 568A 或 568B 布局中,也应该可以工作。
我的经验说这不是真的,但我现在正在寻找一些技术论据来证明这一点。
我有一台服务器,它将尝试将邮件直接发送到目标 MX 服务器。但他们中的一些人因为 MTA 的声誉不佳而拒绝邮件(他们就是这么说的)。
我竭尽全力提高声誉,别无选择。
只有少数服务器拒绝我们的邮件。所以我想到使用邮戳来发送此类邮件。
但我需要将 Postfix 配置为仅使用 sasl 身份验证fallback_relay,而不是直接发送到 MX 服务器的邮件。
由于此 sasl 身份验证(如 hotmail),某些 MX 服务器会出现错误。Google 服务器正在毫无问题地接受。
#my configuration
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = static:key:key
smtp_sasl_security_options = noanonymous
fallback_relay = [smtp.postmarkapp.com]:25
我有一个远程访问 VPN,它通过 RSA SecurID 服务器和 Active Directory 进行身份验证。
出于复杂的内部政策原因,有人提出请求,要求我们能够在每个用户的登录次数达到一定数量后暂停访问。
例如,用户 john.doe 可以登录 100 次,但此后,他的帐户将在 AD 中被禁用,直到手动恢复。
我很难弄清楚如何以及在哪里最好地配置它。
有任何想法吗?