Обновление движка форума

[antipatico]

Я по вебу просто. А ты какой то черт, я хз. Я тут ваще проездом.

 

[sweetMika7]

А смысл тогда вообще что-то советовать, тем более CL когда он не вперся.

Поскольку это проверенное временем корп решение - само собой, человеку который работал только админом, но никогда не работал в интеграторе хотя-бы из ТОП20 - вам этого не понять.

PHP в режиме alt всего лишь отдельная директория со своим бинарником и от CL не зависит. Я вам alt сделаю одной командой в консоли на любом unix сервере.

Гениально придумано, только это не только бинарники в отдельных папках, но и VE надстройкию.

CloudLinux это разработка на базе CentOS которая базируется на ядре OpenVZ - контейнерной виртуализации и для каждого пользователя создается контейнер на подобие docker и разграничивает директории пользователя между ними, так же жестко режет ресурсы выделенные пользователю, когда в рамках стандартной системы это сделать не возможно. Это очень хорошо подходит для предоставления услуг виртуального хостинга, когда на сервере много клиентов. Вы уверены, что дарку это нужно, когда он находится на выделенном сервере и сам форум работает от одного пользователя?
Вы думаете, что у дарка есть соседи на сервере, от которых нужно оградится? Может сайт МВД?

Опять от одного пользователя, что вы с этим заладили? Вы знаете что у булки есть разделение на модули обработчики? Если бы вы хоть немного понимали в том как настраивать тонким образом конфиги nginx под антиддос и обработку запросов на разных fcgi бакэндах - то знали бы, что деление для юзеров необходимо - чтобы не было атак на ресурсоемкие модули и т.д., но вы походу совсем не понимаете или не хотите понимать зачем это надо.

См. предыдущее сообщение. Форум работает от одного пользователя и никак иначе. Процессы как веб-сервера, так и упомянутого вами php-fpm (не понятно к чему он тут, но тоже как-бы веб-сервер считается многими) Не пишите бред.

Вы еще скажите что работает от root... Хватит вам себя позорить!

Что такое обработчик php? пых и есть обработчик, что вы там обрабатываете в php не понятно? Какие нафиг пулы? Вы вообще в своем уве? Работает веб-сервер, обработчик PHP? PHP обрабатывает скрипты, отдает все это веб-серверу. Все это, в случае CL от одного пользователя работает т.к. находится в одном контейнере. Без CL может от разных, когда PHP работает в редиме модуля Apace? тогда от пользователя apache или www или www-data(вариантов много)

Вот тут вы и поплыли, именно то о чем я и говорила - вы не знаете как настраивать сервер, кроме как стандартной инструкции - ставим apache, ставит mod_php - ПРОФИТ. Когда сайт долбят по L7 в конкретный скрипт - то без разделения скриптов на пулы - сайт ляжет мгновенно.

Какая-то хрень написана. Можете дать определение php-fpm гейт?

В случае php это отдельный инстанц php-fpm который запущен в изолированном окружении и с определенными правами для конкретных директорий, а также имеет выделенные лимиты от cpu shel, iops и прочему...

Layer 7 это доступ на уровне конечного сервера. При чем тут php-fpm и как он может защитить от http флуда мне не понятно. Да, в качестве фронтенда он немногим лучше справляется в компании с nginx с школоддосом. Но это не панацея, не защита, а в неумелых руках еще и вред работе сайта.

Учите мат часть - L7 это OSI Layer7 - Application Layer - уровень приложения, а не сервера.
Разделение backend дает возможность уменьшить ресурсы на те скрипты и модули сайта которые не должны испытывать большую нагрузку - например атака с перегрузками по поиску и т.д. Я не говорила что панацея - но адекватные люди использую все возможности по спектру

Рекомендую вам прочитать эту цитату и усвоить ее для себя лично. Вы вроде и поверхносно понимаете, о чем говорите, но такую хрень несете желая показаться умнее, что в итоге получается что-то странное и смешное для админа.

Попытка у вас была хорошая - жаль правда что вы пытаетесь выдавать желаемое за действительное.

 

[sweetMika7]

Ну кому то будет по сабжу повод поизучать исходники (форума). Для такого дела и не грех лицуху (просто спи * (украсть ;) ) ) 0day бага (очччень хорошая монетизация) + дарк прицепом слить было бы шикарно для многих.
Но раз до этого никто не сделал, то я думаю - нечего переживать. CVE анпаблишмент пока нету на предыдущую ветку (кроме неактив xss при е*учих условиях, еще и под авторизом админа сессии , еще и PoC не хотят показывать).
А просто тупо тулзой прогнать на возможные баги, типа банальных SQL инж (разрабы это все сделали давно) уже не катит. Тут или будут нестандартные ходы, типа SSI или XML иньекции, нестандартные cross domain политики etc., при опр. условиях (и то nginx ветка xxx or apache xxx or .(~). подходящей ветки, в общем совпало чтоб многое.
Если релиз уже stab ,и пока на багтрекерах нету = Однозначно.- Лука, почему бы и нет? Ну а если тех админу не доверяешь, то смысл его держать тогда. Доверься более компетентному. Что за вопрос дебильный, еще и на паблик. Пи*дец одним словом! Дуй на рдот
sweetMika7 А ты не думаешь, что смысл делать кучу, если priv escalate поднимет до рута один ***? Хоть ты выебись там со своими пулами. Это стандартный манагер ебучий! И разграничение прав на кучу пользователей только добавит лазеек. Короче регнись на hackerone, да просто баги поотслеживай, подо***ешь.

Для того чтобы через php поднять из priv esc нужно выполнение кода, а если учесть что будет несколько уровней ограничений - ну что-же - удачи вам тогда, буду только рада если на экспе покажете видео, как получать удаленный root shell на системе где последний php-fpm + hardended php установлены в рамках контейнера которые разлинован предварительно из docker, ведь для этого нужно чтобы слишком много звезд сошлось - что как по мне слишком большая редкость. ИМХО.
P.S. Я не whitehat чтобы регаться на hackerone.

 

[sweetMika7]

Зы, я по первому сообщению луки писал, и по последнему мики. Всю ветку читать-да это ****ец. Вы тут говном льете и флудом больше траффа, чем ддос епт. :D Половина оленей. Если лука не доверяет техадмину, ну это ваще ****ец.

Не я это все начала - вон у МАХА кое что подгорело.
Когда люди конструктивно говорят и без наезда, я не против, а наоборот и только за.

 

[Маха]

Поскольку это проверенное временем корп решение - само собой, человеку который работал только админом, но никогда не работал в интеграторе хотя-бы из ТОП20 - вам этого не понять.


Гениально придумано, только это не только бинарники в отдельных папках, но и VE надстройкию.


Опять от одного пользователя, что вы с этим заладили? Вы знаете что у булки есть разделение на модули обработчики? Если бы вы хоть немного понимали в том как настраивать тонким образом конфиги nginx под антиддос и обработку запросов на разных fcgi бакэндах - то знали бы, что деление для юзеров необходимо - чтобы не было атак на ресурсоемкие модули и т.д., но вы походу совсем не понимаете или не хотите понимать зачем это надо.


Вы еще скажите что работает от root... Хватит вам себя позорить!


Вот тут вы и поплыли, именно то о чем я и говорила - вы не знаете как настраивать сервер, кроме как стандартной инструкции - ставим apache, ставит mod_php - ПРОФИТ. Когда сайт долбят по L7 в конкретный скрипт - то без разделения скриптов на пулы - сайт ляжет мгновенно.


В случае php это отдельный инстанц php-fpm который запущен в изолированном окружении и с определенными правами для конкретных директорий, а также имеет выделенные лимиты от cpu shel, iops и прочему...


Учите мат часть - L7 это OSI Layer7 - Application Layer - уровень приложения, а не сервера.
Разделение backend дает возможность уменьшить ресурсы на те скрипты и модули сайта которые не должны испытывать большую нагрузку - например атака с перегрузками по поиску и т.д. Я не говорила что панацея - но адекватные люди использую все возможности по спектру


Попытка у вас была хорошая - жаль правда что вы пытаетесь выдавать желаемое за действительное.

Воо. Теперь более конструктивно, но все равно топорно.

Гениально придумано, только это не только бинарники в отдельных папках, но и VE надстройкию.

В этом и суть. Зачем форуму изоляция, а главное от кого?

Опять от одного пользователя, что вы с этим заладили? Вы знаете что у булки есть разделение на модули обработчики? Если бы вы хоть немного понимали в том как настраивать тонким образом конфиги nginx под антиддос и обработку запросов на разных fcgi бакэндах - то знали бы, что деление для юзеров необходимо - чтобы не было атак на ресурсоемкие модули и т.д., но вы походу совсем не понимаете или не хотите понимать зачем это надо.

Антиддос на базе nginx это конечно смешно. Антифлуд какой-то, мей би. Да, возможно, есть такой функционал, но не тут совсем. В итоге вопрос остается вопросом, к чему бы это вы советовали CL для возможности выбора версии PHP. Ну ведь это как купить ламбарджини, ради того, что бы картошку возить.

Вы еще скажите что работает от root... Хватит вам себя позорить!

Ну зачем же вы ересь то пишете и присваиваете это мне. Я такое говорил?


Вот тут вы и поплыли, именно то о чем я и говорила - вы не знаете как настраивать сервер, кроме как стандартной инструкции - ставим apache, ставит mod_php - ПРОФИТ. Когда сайт долбят по L7 в конкретный скрипт - то без разделения скриптов на пулы - сайт ляжет мгновенно.

Ваше разделение не поможет, в чем его суть? Когда прилетит лям пакетов ваше разделение вместе с вашим высоким эго ляжет в тот час же. Зачем разделять? Что бы было?


Учите мат часть - L7 это OSI Layer7 - Application Layer - уровень приложения, а не сервера.
Разделение backend дает возможность уменьшить ресурсы на те скрипты и модули сайта которые не должны испытывать большую нагрузку - например атака с перегрузками по поиску и т.д. Я не говорила что панацея - но адекватные люди использую все возможности по спектру

Боюсь мы просто в разных сферах работаем. Если у вас понимание, что можно что-то отбить на уровне приложения, то я про это позабыл в далеком 2006 году. Где вы такие ддосы встречали? Мамкин хакер со своего компа утилитой ab когда долбит сервер? Сейчас 60-80 гиг это в порядке вещей. Проще говоря до сраки ваши разделения, и не помогут они и никто это уже не использует со времен динозавров.

Попытка у вас была хорошая - жаль правда что вы пытаетесь выдавать желаемое за действительное.

Совсем нет. Моя попытка - это полное недоумение, почему человек, зовущий себя специалистом советует установить изолированную систему заточенную под разграничение множества пользователей на сервере, платную, лишь для того, что бы была возможность сменить версию PHP. Это Эпик. Собственно это и предмет спора. Мерятся письками не намерен.

 

[МеТеЛь]

МАХА предложил присесть светмики на пол шишечки (пластик)

 

[sweetMika7]

В этом и суть. Зачем форуму изоляция, а главное от кого?

Изоляция частей друг от друга в целях безопасности.

Антиддос на базе nginx это конечно смешно. Антифлуд какой-то, мей би. Да, возможно, есть такой функционал, но не тут совсем. В итоге вопрос остается вопросом, к чему бы это вы советовали CL для возможности выбора версии PHP. Ну ведь это как купить ламбарджини, ради того, что бы картошку возить.

Опять вы ушли от ответа. Я не писала что это ВЕСЬ антиддос, цель другая - это повышение стабильно, изоляция для безопасности, а также разделение нагрузки. Почему вы решили что этот форум картошка? Я сторонница корп решений, а не поделок на коленке.

Ну зачем же вы ересь то пишете и присваиваете это мне. Я такое говорил?

Зачем вы хотите засунуть весь сайт от одного юзера? Зачем вам это?

Ваше разделение не поможет, в чем его суть? Когда прилетит лям пакетов ваше разделение вместе с вашим высоким эго ляжет в тот час же. Зачем разделять? Что бы было?

Не путайте кислое с пресным, про лям пакетов нужно пояснить - это какие именно? если это TCP SYN Flood то он отлетит еще на кор роутере как LP трафик

Боюсь мы просто в разных сферах работаем. Если у вас понимание, что можно что-то отбить на уровне приложения, то я про это позабыл в далеком 2006 году. Где вы такие ддосы встречали? Мамкин хакер со своего компа утилитой ab когда долбит сервер? Сейчас 60-80 гиг это в порядке вещей. Проще говоря до сраки ваши разделения, и не помогут они и никто это уже не использует со времен динозавров.

В данном случае атаки на уровень приложения решаются локально, если вы не знаете - то сайт также работает через ТОР - фильтровать на уровне магистрали или кор свича - вы не сможете, tor выступает как .onion роутер, а следовательно ддос отбивать вам нужно будет на L7 - а именно локально ;) 60-80Gbps для ДМа не нажно - он с 3Gbps думаю уже ляжет, я знаю того провайдера где он хоститься и тестила их хосты - там они не держат даже минимальную атаку. Через тор атака специфичнее - но тоже есть, это конечно не ab - но фильтрации на L7 требует.

Совсем нет. Моя попытка - это полное недоумение, почему человек, зовущий себя специалистом советует установить изолированную систему заточенную под разграничение множества пользователей на сервере, платную, лишь для того, что бы была возможность сменить версию PHP. Это Эпик. Собственно это и предмет спора. Мерятся письками не намерен.

Не только сменить PHP, учитывая то как сейчас настроен ДМ и падает с пол пинка - тут нужна платная поддержка, а CloudLinux ее предоставляет - если не верите, то посмотрите аптайм ДМа и еще ряд метрик - сами все увидите.
В теории можно предложить и RHEL - но тут не настолько крупный и белый ресурс для такой поддержки.

 

[Маха]

Изоляция частей друг от друга в целях безопасности.


Опять вы ушли от ответа. Я не писала что это ВЕСЬ антиддос, цель другая - это повышение стабильно, изоляция для безопасности, а также разделение нагрузки. Почему вы решили что этот форум картошка? Я сторонница корп решений, а не поделок на коленке.


Зачем вы хотите засунуть весь сайт от одного юзера? Зачем вам это?


Не путайте кислое с пресным, про лям пакетов нужно пояснить - это какие именно? если это TCP SYN Flood то он отлетит еще на кор роутере как LP трафик


В данном случае атаки на уровень приложения решаются локально, если вы не знаете - то сайт также работает через ТОР - фильтровать на уровне магистрали или кор свича - вы не сможете, tor выступает как .onion роутер, а следовательно ддос отбивать вам нужно будет на L7 - а именно локально ;) 60-80Gbps для ДМа не нажно - он с 3Gbps думаю уже ляжет, я знаю того провайдера где он хоститься и тестила их хосты - там они не держат даже минимальную атаку. Через тор атака специфичнее - но тоже есть, это конечно не ab - но фильтрации на L7 требует.


Не только сменить PHP, учитывая то как сейчас настроен ДМ и падает с пол пинка - тут нужна платная поддержка, а CloudLinux ее предоставляет - если не верите, то посмотрите аптайм ДМа и еще ряд метрик - сами все увидите.
В теории можно предложить и RHEL - но тут не настолько крупный и белый ресурс для такой поддержки.

Ну тут вы по специфики пошли, конечно кастомайзинг - это хорошо и возможно я вас не так понял. Но именно на выбор версии PHP вы посоветовали CL что довольно странно выглядело. L7 атаки мало кто может фильтровать, поэтому зачастую все прилетает в самую дюрдочку и тут уже приходится на сервере химичить. Когда это гиг+ трафика, то что там химичить, когда канал забит. Собственно поэтому разделение не так важно. Да, возможно в некоторых случаях это поможет в плане того, что какая-то иньекция не сможет достучатся до нужного скрипта ввиду его изолированности, но это как говорится, совсем другая история.

 

[sweetMika7]

Ну тут вы по специфики пошли, конечно кастомайзинг - это хорошо и возможно я вас не так понял. Но именно на выбор версии PHP вы посоветовали CL что довольно странно выглядело. L7 атаки мало кто может фильтровать, поэтому зачастую все прилетает в самую дюрдочку и тут уже приходится на сервере химичить. Когда это гиг+ трафика, то что там химичить, когда канал забит. Собственно поэтому разделение не так важно. Да, возможно в некоторых случаях это поможет в плане того, что какая-то иньекция не сможет достучатся до нужного скрипта ввиду его изолированности, но это как говорится, совсем другая история.

Дело в том что CL дает возможность простой управляемости, сразу предоставляет сборки Hardended PHP и еще море плюшек, а учитывая что ДМ настроен не очень - это решение оправдано + поддержка по подписке CL. Именно! И я об этом - если это прилетает через ТОР - то фильтровать нужно только локально в полу-ручном режиме, поэтому чем больше степень гранулирования системы - тем проще делать тюнинг, ведь можно собирать отдельные метрики. В случае с ТОР скорее будет забит канал соседних нод, нежели канал хост ноды (но это не точна). Именно, в плане безопасности это дает доп уровень защиты, а также дает возможность легкого манипулирования приоритетами отдельных частей форума, например понизить приоритет запросы на поиск и выборку из базы данных (вроде все посты юзера и т.д.) - из всех этих мелких оптимизаций складывается общая производительность, оптимизировали везде по чуть чуть, а вот и результат.

 

[Маха]

Дело в том что CL дает возможность простой управляемости, сразу предоставляет сборки Hardended PHP и еще море плюшек, а учитывая что ДМ настроен не очень - это решение оправдано + поддержка по подписке CL. Именно! И я об этом - если это прилетает через ТОР - то фильтровать нужно только локально в полу-ручном режиме, поэтому чем больше степень гранулирования системы - тем проще делать тюнинг, ведь можно собирать отдельные метрики. В случае с ТОР скорее будет забит канал соседних нод, нежели канал хост ноды (но это не точна). Именно, в плане безопасности это дает доп уровень защиты, а также дает возможность легкого манипулирования приоритетами отдельных частей форума, например понизить приоритет запросы на поиск и выборку из базы данных (вроде все посты юзера и т.д.) - из всех этих мелких оптимизаций складывается общая производительность, оптимизировали везде по чуть чуть, а вот и результат.

Возможно это немного поможет. Но в целом результата не даст. Единственное, за что я голосую плюсом - это безопасность от взлома. Таки да, это может помочь. В случае атак на ресурсы, практически не сыграет роли. При умных атаках, которые сейчас не то, что бы не редкость, а закономерность это отсрочить даунтайм на несколько минут.

 

[mestniy007]

Почти подружились! Будет у друг друга чему поучиться.