From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.8 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.5
Date: Tue, 8 Dec 2009 16:19:41 +0200
From: Michael Shigorin <mike@osdn.org.ua>
To: sysadmins@lists.altlinux.org
Message-ID: <20091208141941.GN14075@osdn.org.ua>
Mail-Followup-To: sysadmins@lists.altlinux.org
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
User-Agent: Mutt/1.4.2.1i
Subject: [Sysadmins] =?koi8-r?b?RndkOiBSZTog6M/exdTT0SDCz8zY28XKINPFy9jA?=
	=?koi8-r?b?0s7P09TJLg==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: shigorin@gmail.com,
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 08 Dec 2009 14:19:57 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20091208141941.GN14075@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

----- Forwarded message from Alexey Pechnikov <pechnikov/mobigroup.ru> -----

Date: Fri, 6 Nov 2009 12:36:42 +0300
From: Alexey Pechnikov <pechnikov/mobigroup.ru>
To: debian-russian/lists.debian.org
Subject: Re: Хочется большей секьюрности.

Hello!

On Friday 06 November 2009 02:48:16 I wrote:
> > Так что лучше использовать менее распространенный и притом
> > более безопасный веб-сервер, выдавая его как раз-таки за апач,
> > чтоб не выделяться, плюс к тому поставить реверс-прокси,
> > который будет валидировать запрос.
> 
> Кстати, а кто таким занимается, кроме apache с mod_security?

Я работал только с Pound и HAProxy. В обоих есть возможности анализа
и модификации заголовков, например, можно удалить X-Forwarded-For
для внешних запросов. Первый имеет опцию строгой проверки хидеров
на соответствие стандарту, второй имеет намного большие возможности,
но требует настройки.

Вот пример от автора HAProxy:
haproxy to protect apache against Slowloris and Nkiller2 DoS attacks
http://www.mail-archive.com/haproxy/formilux.org/msg00804.html

Обратите внимание, что входящих соединений может быть 20 000, а
бэкенд разрешает только 254. Такая конфигурация защищает от
некоторых видов атак , поскольку прокси может выдержать на порядки 
больше открытых (или "полуоткрытых") соединений, нежели бэкенд.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

----- End forwarded message -----

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/