我目前在静态范围内使用 Rackspace 云服务器来发送邮件。
作为 AWS 一部分的 Amazon SES 似乎是为“批量和过渡”电子邮件而设计的。
“常规电子邮件”有什么解决方案吗?
AWS IP 范围是动态的,因此不可能从这些地址发送邮件。此外,似乎 SES 也不是正确的方法,或者也许是?
当我转到 EC2 控制台时,我单击以下之一:
- 关闭
- 终止
- 重启
- 开始
... 我想在我的“Director”机器上收到一条消息,例如实例正在启动,它正在关闭,实际上不需要从 API 轮询所有状态。
这样做的原因是,我使用 API 运行自己的 Nagios 监控,所以我希望 director 机器接收/捕获事件,并在 Nagios 上安排停机时间。
此外,如果它是“终止”,Director 将按照删除节点的方式更新 Chef 服务器。
另一个原因是非常频繁地轮询状态对 API 非常有限,我不能连续请求,但每 1-5 分钟一次。但是这样一来,如果我自己从控制台终止实例,我需要很长时间才能真正发现这些信息,并相应地更新其他服务。
目前我正在研究是否可以在 Linux 实例上使用关闭脚本,这将对 Director 进行远程 API 调用,同时 Director 也会轮询状态。然而,如果实例上有关于事件的可靠通知,最好的方法是直接从 EC2 中获取消息队列,而无需编写额外的 API。
除了 Nagios,我真的更愿意使用 AWS 功能来完成它。
我在 Ubuntu 12.04 上运行的 Unicorn 服务器很少,我希望保护它们免受提供远程 shell 的攻击。
我主要担心的是,部署 ModSecurity 是否有意义?
另一件事是,我看到 Unicorn 通常从端口 8080 运行,它被转发到用作反向代理的 Apache/NginX 服务器端口 80。
我在想我可以使用以下内容:
- Apache 上的 ModSecurity
- Apache 作为具有 mod_qos 的工作线程(线程),以防止来自任何主机的过多请求
- 从指定用户运行独角兽服务器,如果是 Redhat/Centos,则通过 AppArmor 或 SELinux 将其隔离
我想知道,是否有另一个像 PHP Suhosin 这样的 RoR 强化框架/补丁。
我正在寻找一种方法来确保所有 Redhat 机器都具有相同的包和配置。例如,当我添加新服务器时,它会被配置并安装包。
Ubuntu 也一样。
我可以手动制作将复制主服务器的脚本,但我需要知道是否有任何其他解决方案以无能为力的操作员可以处理它的方式完成此操作,或者它是全自动的而不需要命令行。
在 Windows 上,我使用域控制器,它工作正常 - 它配置和更新所有系统。我只有两个 Linux 机器,因此与数百个 Windows 机器相比问题不大,但最终我会在全球范围内扩展设置,所以我也需要为 Linux 准备一些计划。
请不要回复“这不可能”,因为这是浪费时间。我正在开发云设备,我有充分的理由保护这一层免受 DDoS 攻击,而且很少有公司在做同样的事情,所以请不要告诉我我没有意义,因为很多公司都希望购买这个解决方案而我不查看使用 stock Linux 实现它的问题
由于缺乏 CPU 和 RAM 等资源,我的 Linux 内核在 10.000 个连接上崩溃并出现 oops。我想知道当有人试图从各种主机打开 100.000 个连接时,如何安全地限制它不会在 netfilter 连接跟踪表或其他地方创建 tcp/ip 连接?
网卡为 1GBps 并且具有最大缓冲区,它可以进行大量连接,但我希望同时只有 5.000 个连接,其余的被丢弃,除非有空闲连接插槽。在内核级别,因此它不会污染 netfilter 或任何东西,并且会尽快删除。有这些因素:
- HAProxy 连接数限制为 5.000
- Linux 因 10.000 个打开的连接而崩溃
- 我想承受每分钟 100.000 个打开的连接,所以也许 netfilter 可以处理它,但 HAProxy 不行。
- 现有连接继续运行
这是为了让机器能够抵挡住DDoS攻击而不出现oops,一旦攻击停止,服务会自动恢复到低速率继续正常服务的方式。
这是关于服务器实例的物理层,而不是交换机。假设交换机向我传递了我可以处理的这么多流量,上游提供商并不总是有可能进行调整或完全避免这种情况。
当我遇到 DDoS @10Gbps 时,如果我的 BGP 路由器中有 10M 表条目,我可以在攻击性网络上执行搜索吗?
我会这样做,首先我会删除路由到我的第一个 /8 并查看 DDoS 是否会停止。然后在完整的32位地址空间上这样搜索DDoS的源头。
我对 BGP 不是很熟悉,不确定它会传播多长时间、这种搜索需要多长时间以及会产生什么影响。也不确定我是否真的可以阻止某些网络停止通过我从 RIPE 和 Arin 下载的 IP 号码路由到我。
这尤其适用于应对欺骗攻击,因为可以更有效地追踪正常攻击。
或者我需要多少带宽,没有什么地方可以在欧洲维持任何类型的 DDoS?我可以使用基于 Route 53 延迟的 DNS 重新路由流量。我读到的最近披露的罢工约为 13Gbps,20Gbps 是否足够?
我正在构建 DNS 服务,我需要找出查询我的 DNS 服务器的位置。显然,任何使用 Google 公共 DNS(如 8.8.8.8)的人都来自 Google /17 网络,如果我进行 geoip 查找,它会解析为美国,但服务器位于爱尔兰。
我真的需要为每个 IP 运行 traceroute 以找出它有多远吗?
此外,bgp 报告它是 /23 子网,但我也不知道如何更新此信息。 http://bgp.he.net/ip/209.85.143.94
[root@test ~]# host 209.85.143.94
94.143.85.209.in-addr.arpa domain name pointer dy-in-f94.1e100.net.
[root@test ~]# geoiplookup 209.85.143.94
GeoIP Country Edition: US, United States
[root@test ~]# traceroute 209.85.143.94
traceroute to 209.85.143.94 (209.85.143.94), 30 hops max, 60 byte packets
1 31.222.167.2 (31.222.167.2) 1.344 ms 2.273 ms 2.135 ms
2 core6a-aggr325a-4.lon3.rackspace.net (92.52.77.106) 3.386 ms 3.326 ms 3.316 ms
3 corea-core6a.lon3.rackspace.net (164.177.137.10) 3.290 ms 3.249 ms coreb-core6a.lon3.rackspace.net (164.177.137.22) 3.222 ms
4 edge1-coreb.lon3.rackspace.net (164.177.137.29) 3.199 ms 3.161 ms edge1-corea.lon3.rackspace.net (164.177.137.27) 3.138 ms
5 195.50.122.41 (195.50.122.41) 3.118 ms 3.075 ms 3.047 ms
6 195.50.122.82 (195.50.122.82) 3.021 ms 1.523 ms 1.589 ms
7 209.85.255.78 (209.85.255.78) 2.940 ms 209.85.255.76 (209.85.255.76) 2.877 ms 209.85.255.78 (209.85.255.78) 2.873 ms
8 209.85.253.90 (209.85.253.90) 2.844 ms 2.817 ms 2.789 ms
9 209.85.250.216 (209.85.250.216) 18.132 ms 209.85.251.190 (209.85.251.190) 14.584 ms 209.85.250.216 (209.85.250.216) 18.049 ms
10 209.85.253.125 (209.85.253.125) 14.537 ms 209.85.253.203 (209.85.253.203) 16.017 ms 209.85.253.127 (209.85.253.127) 14.484 ms
11 216.239.43.22 (216.239.43.22) 22.787 ms 22.739 ms 216.239.47.26 (216.239.47.26) 25.445 ms
12 dy-in-f94.1e100.net (209.85.143.94) 17.312 ms 12.970 ms 15.537 ms
我在 1 个位置有 20 台服务器,我想进行负载平衡。这在任何情况下都可以达到 100。有没有已知的方法可以做到这一点?我还想有某种机制,当客户查询例如 service.example.com 时,他将继续使用同一台服务器,直到机器因故障而从集群中取出。客户端每分钟进行一次 DNS 查询,假设自上而下的 DNS 记录 TTL 为 30-60 秒,而其他人可以为 24 小时左右,因此每次会话在初始查询后最多可有效 24 小时,然后客户将被切换到另一个服务器。
我发现 L4-L7 负载平衡器非常无用,因为我认为我可以只使用 DNS。
这些协议是仅基于二进制的 TCP 连接以及 HTTP 连接。
我在想对于二进制连接(就像没有任何协议),我可以在 DNS 上使用循环,所以每次查询 DNS 时,我都会得到不同的响应。
对于 HTTP,这是我不知道的事情。我可以放 HAProxy,仅此而已,但对于 DNS,我不确定。
我曾经想过以下方法。将客户发送到某个“master.example.com”,这是一个只进行重定向的 HTTP 服务器,它将生成具有唯一 ID 的 FQDN,这意味着它就像一个会话 ID。这样,这个 FQDN 将始终解析为相同的 ip 号码,并且只能用于查询它的 ip,在接下来的 24 小时或永远直到服务器关闭。
所以这看起来像下面这样:
http://redirect.example.com/resource => http://67hkkdbvh.example.com/resource
现在会话看起来像这样:
1st minute: http://67hkkdbvh.example.com/resource/1 TTL 60s
2nd minute: http://67hkkdbvh.example.com/resource/2 TTL 60s
如果 67hkkdbvh 将死亡,客户将再次请求重定向。
现在我不确定如何使用 HAProxy 来帮助它???
我正在寻找某种集群 /dev/shm,例如在 Linux 上运行的基于设备或 RAM 的集群文件系统,因此它支持镜像。或者有什么足够稳定的东西可以以同样的方式完成工作?那么我可以复制基于 RAM 的数据吗?我想让它自我修复(例如,只需重新启动即可恢复服务)。