Зашита веб сервера

Начитал много чего по гуглу насчёт зашиты веб сервера апатч на линуксе но всёже хотел тут спросить чем вы зашишайте веб сервер

service apache2 stop

апач на линуксе изврат. на лине ставь nginx/phpfm

есть скрипты которые проверяют на наличие шеллов
а также измененные права на папках-файлах с записью в БД.

cs-portal,
дело в том что у меня неработает нормально с nginx + php-fpm + mysql ,да и то ,от флуда делаються запросы на мускул и тот грузиться непосильно ,а такое было и на nginx+phpfpm+myqsl

Гони адрес. Проверим нужен ли тебе nginx.

The_Razer,
во первых зачем так грубо
во вторых в подписи ссыль)

в третьих скину для всех простой вариант, но вполне действующий

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -m limit --limit 1/hour --limit-burst 1 -j LOG --log-prefix " connlimit-above-15 "
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 5/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP


естественно выше этих правил ни чего не должно разрешать 80 порт
и входящая цепочка по умолчанию дропает ну или последнее правило его заменяет :)

coolman,
может я перепутал ,но в конце не должно быть ACCEPT ?
тоесть: iptables -A INPUT -p tcp --dport 80 -j ACCEPT ?

я написал как должно быть, то что ты только что написал, вообще ни чего не ограничивает, просто тупо порт 80 открывает.

coolman,
понял шас после ешё одного прочёта :)

вкратце разжую че делают правила, то-бишь клиент может установить только 15 соединений, это выше чем достаточно для стандартного серфера, если идет превышение, то идет запись в лог и в следующих соединениях будет отказано, пока не закроются эти, пользователем или по таймауту. Дальше, если соединение установлено, то для него ни каких ограничений, дальше самое главное, обычно досят большим количеством новых пакетов, так вот, как раз правило с "NEW" ограничивает скорость поступления этих пакетов, в первую секунду примет 14 новых пакетов, в следующую, если идет дос, то-бишь шквал, будет принимать только по 5 пакетов в секунду, пока дос не спадет, ну это грубое объяснение, есть более тонкое, на примере "ведра и дырки в нем", но не забивайте себе этим голову :biggrin:


чето я разошелся, спасибо может кто скажет

coolman,
я обычно обясняю трубой водо канала