Re: Хочется большей секьюрности.

[Alexey Pechnikov <pechnikov@mobigroup.ru>]

Hello!

On Friday 06 November 2009 02:48:16 Michael Shigorin wrote:
> > Так что лучше использовать менее распространенный и притом
> > более безопасный веб-сервер, выдавая его как раз-таки за апач,
> > чтоб не выделяться, плюс к тому поставить реверс-прокси,
> > который будет валидировать запрос.
> 
> Кстати, а кто таким занимается, кроме apache с mod_security?

Я работал только с Pound и HAProxy. В обоих есть возможности анализа
и модификации заголовков, например, можно удалить X-Forwarded-For
для внешних запросов. Первый имеет опцию строгой проверки хидеров
на соответствие стандарту, второй имеет намного большие возможности,
но требует настройки.

Вот пример от автора HAProxy:
haproxy to protect apache against Slowloris and Nkiller2 DoS attacks
http://www.mail-archive.com/haproxy@formilux.org/msg00804.html

Обратите внимание, что входящих соединений может быть 20 000, а
бэкенд разрешает только 254. Такая конфигурация защищает от
некоторых видов атак , поскольку прокси может выдержать на порядки 
больше открытых (или "полуоткрытых") соединений, нежели бэкенд.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/