malu

Popytaj po firmach gdzie jest możliwośc ustalenia indywidualnego adresu IP dla poczty wychodzącej, albo czegoś w rodzaju adresu IP vip. Zauważ, że nie wszystkie firmy, które posiadają opcję wykupienia indywidualnego adresu IP będą puszczać przez niego Twoją pocztę wychodzącą, dlatego najlepiej się dopytac. Nie da się współdzielonego adresu IP skutecznie uchronić, bo wystarczy, że komuś wleci syf w skrypt, a jeden z maili poleci prosto w honeypota. My wyprowacowaliśmy w firmie taką metodę, że standardowo klienci lądują na jednym adresie IP, ale jeżeli zgłoszą problem z dostarczaniem wiadomosci przyznajemy im inny adres IP, który jest współdzielony wyłącznie między kilkoma klientami, którzy podobny problem zgłosili i nigdy wcześniej nie powodowali problemów związanych z rozsyłaniem spamu z ich kont.

Trudno też traktować suricate, jako firewall. To typowy IDS/IPS. Tzn nie wiem czy jest do końca sens wpychać osobny sprzęt jako router. Zależy jaki ruch i ile mpps chcesz tam przepychać. Ja bym poszedł w wirtualizacje raczej, a na siłę mógłbyś wszystko wcisnąć w vyOS - tylko ważne jest, abyś pamietał, że przy upgrade wszystko Ci pokasuje prócz configu, więc albo skrypt do automatycznego deployu po upgrade systemu, albo być przygotowanym na dodatkową robotę. Nawet jeżeli miałoby to być bardzo wydajne rozwiązanie to naprawdę można kombinować, choćby wszystko oprzeć o własne skrypty i ręcznie zarządzać z poziomu linuxa. Wtedy jakieś świeże jajko, pf_ring, tcpdump/suricata skompilowana ze wsparciem dla pf_ringa, może jakaś karta sieciowa intela 82599-based z wsparciem dla hw filtrowania pakietów. Albo w ogóle dokupić tą kartę TILERY do obsługi suricaty i wpiąć w serwer. Przykładowo to rozwiązanie OVH anty-ddos oparte jest między innymi o jakiś sprzęt TILERY i założe się, że za IDS/IPS siedzi tam suricata, która ma swój fork na ten sprzęt. Ogólnie ostatnio mam okazję bawić się tym EdgeRouterem od Ubnt i prawdę mówiąc jest całkiem fajny - oparty o vyatte 6.3 bodaj, jeżeli potrzebujesz dodatkowego oprogramowania to po prostu apt-get, z tym, że on jest b. wydajny tylko dla rzeczy, które są sprzętowo "offloadowane", jeżeli będziesz chciał przy nim mocniej pokombinować to offload się wyłączy, a dwurdzeniowy MIPS nigdy nie będzie demonem wydajności. Przykładowo NATowanie/ipconntrack wyłączy offload dla forwardu ipv6/ipv4, tak samo netflow. Dodatkowo nie rozwiązali całkowicie problemu z widocznością ruchu w sieci z włączonym offloadem dla forwardu ipv4/ipv6, co jest dość dziwne bo narzędzia typu iftop nie działają poprawnie, ale np. tcpdump też korzystający z libpcap'a już nic nie pomija. Niestety osobiście nie miałem okazji zbadać tego zjawiska. Chociaż tutaj może kłaniać się b. niska wydajność tego MIPSa, który z iftop'em sobie nie radzi. Na plus można na pewno zaliczyć genialne community, a ze względu na specyfikę systemu (prawie zwykły Debian) dużą łatwość wdrażania własnych rozwiązań. Póki co regularnie wypuszczają aktualizacje firmware i dość aktywnie pracują nad systemem. *Ja bawiłem się edgerouterem pro, czyli tym ichnim najmocniejszym rozwiązaniem. Mikrotika nie lubię, więc się nie wypowiadam, kwestia gustu. Na pewno ma dużo większe możliwości w standardzie niż edgerouter. Co do końca życia vyatty, jakiś czas temu firma brocade zakończyła życie projektu vyatta, wtedy powstał opensourceowy fork o nazwie vyOS. VyOS współpracuje na jakiś tam płaszczyznach z ubnt. VyOS ma w planach przejście z Debiana squeeze na wheezy, to samo musi zrobić edgeos, gdyż w przypadku tego drugiego wsparcie dla MIPS'ów już się skończyło i sami kompilują aktualizacje bezpieczeństwa.

Na początku mi cięło, obecnie jest w porządku. Ale jakość transmisji jest lekko tragiczna.

Co do IDS/IPS to zdecydowanie idź w stronę suricaty, od niedawna suricata może wypuszać informacje po JSON, a więc łatwo się ją integruje z http://www.elasticsearch.org/overview/kibana/, zresztą można znaleźć trochę poradników na ten temat. Teoretycznie jak chcesz mieć porządek to możesz pokusić się o jakąś wirtualizację, gdzie IDS/IPS będzie na osobnej VM'ce, na osobnej będzie stał router itd.. Co do samego oprogramowania "routerowego" to mi przypadła do gustu vyatta [*], czyli obecny vyOS, ale równie dobrze możesz pokusić się o wspomniane pfsense. Co do samego sprzętu, ja bym kombinował coś na tej płycie: http://www.supermicro.com/products/motherboard/Atom/X10/A1SRi-2758F.cfm, albo po prostu kupił: http://www.supermicro.com/products/system/1u/5018/SYS-5018A-FTN4.cfm

W tym przypadku nie powinno to mieć akurat żadnego znaczenia. Dziwny jest ten segfault. Spróbuj ręcznie skompilować to pcre, ale nie powinno to raczej zrobić żadnej różnicy. Pokaż co tam masz za jądro, bo może to jakieś dziwne jajo a'la ovh powoduje problemy. Najlepiej uruchom dla testów jądro Debiana. Podaj wynik komendy `uname -a` Ewentualnie jeżeli to czysty system i nie masz wiedzy, żeby się zagłębiać to puść instalacje, ewentualnie spróbuj innego systemu np. CentOS6 32bit, jeżeli problem będzie się powtarzał jest duża szansa, że to problem sprzętowy.

Chińczykom? : D Na nas też leciały wczoraj co jakiś czas ataki, ale IPS/IDS szybko wychwyciły.

Nie wiecie do sprzedajecie? Tak poważnie to openVZ jest wirtualizacją wysokiego poziomu (kontenerową), która wszystko realizuje stricte software'owo na poziomie jądra systemu operacyjnego. Każdy kontener współdzieli jądro z serwerem matką. W tym przypadku overselling dotyczy CPU, RAM, HDD. Eumulowane jest tutaj środowisko Linuxowe. KVM jest wirtualizacją niskiego poziomu, opierającą się na specjalnych instrukcjach w procesorach. Tutaj emulowany jest "cały wirtualny komputer". Overselling dotyczy tutaj CPU, RAM. Co więcej overselling na KVM może skończyć się dużo gorzej, aniżeli w przypadku openVZ, gdyż maszyna matka może zacząć zachowywać się niestabilnie. @JuniorJPDJ Promocja vipower.pl dotyczy płatności jednorazowej na okres miesiąca, kwartału lub pół roku.

Teraz kopie się na ASIC'ach, karty graficzne już nawet przestały być opłacalne w przypadku bitcoin'a. Kopanie na CPU vps nie ma najmniejszego sensu imho

Oczywiście korzystanie z konta na uprawnieniach użytkownika to powinien być standard, ale jestem zdania, że antywirus chociażby "byle jaki" jest potrzebny, choćby dlatego, żeby wykrywać stare zagrożenia, gdyż nowych tak czy siak zazwyczaj nie będą w stanie wykryć, ale dobrze się chronić przed starym ścierwem.

W przypadku munina, akurat niepotrzebna jest biblioteka php-gd. Solucja, którą podał SanKen można powiedzieć, że jest jak najbardziej poprawna, bo wystarczy poprostu symlink z /var/cache/munin/www do katalogu dostępnego z poziomu http. Bo wykresy munina generowane są do czystego .html, jednak od jakiejś wersji munina istnieje możliwość nazwijmy to przybliżania wykresu. Aby to było możliwe wykorzystane zostało CGI do uruchamiania skryptów perlowych, w apache dostarczany jest w zasadzie gotowy config, który ma w sobie zestaw aliasów ,set-handler'ów etc.. Aby to działało na nginx trzeba trochę powalczyć z wiatrakami, ale znalazłem nawet sensowne "howto": http://uname.pingveno.net/blog/index.php/post/2013/08/25/Configure-Munin-graphs-with-Nginx-and-Debian-7

Moim zdaniem dobrym wyborem będzie Linux Mint. A co do środowiska to może to Ci pomoże.

Słaby ze mnie administrator w takim razie. Pomijając bzdure SanKen'a nie wyobrażam sobie oferowania s.dedykowanych chociażby bez dostępu do zdalnego restartu via pdu, bo to proszenie się o dodatkową robotę i żale. Ze swojej strony mógłbym zaproponować coś takiego: HP DL 320 G8 Intel Xeon E3-1230 32 GB RAM 2x1 TB SATA Raid Soft 10TB transferu na łączu 100Mbps Lokalizacja: Polska/Gdańsk Cena: 349 zł netto +Koszta większej podklasy adresowej, w zależności od potrzeby /27 lub /28. Koszt adresu IP mogę zaproponować 2zł netto za IP. W razie zainteresowania zapraszam do kontaktu bok@vipower.pl lub m.adach@vipower.pl

Dla mnie jest to również dośc irytujące i postulowałbym za moderacją ogłoszeń.

Macie jakieś wyjaśnienia w tej sprawie?

Żaden opcache nie będzie Ci Miłosz działał po CGI. : ) Zmień po prostu sposób wykonywania, skoro masz suphp to pewnie siedzi tam DA, więc jak najbardziej możesz użyć custombuilda2 i wrzucić tam php po fcgid. (Lepiej działa z apache niż proxy na mod_fastcgi do php-fpm) Bo raczej nikt nie używa suphp budując swoje środowisko.

A zapytam inaczej, jak uruchamiasz PHP?

Tak trochę offtopic, ale APC is dead. ; ) Xcache, Zend opcache.

Nginx + FPM to przecież lekarstwo na wszystkie choroby, owszem zużywało by to mu mniej zasobów bo nginx domyślnie uruchamia mniej procesów niż apache no i jego architektura wymusza mniejsze zużycie pamięci, ale do cholery - to byłą by dobra rada, gdyby miał 128MB ram, a nie 4GB. Bez znaczenia czy tam wrzucisz nginx czy php-fpm, skoro masz VPS openVZ oparty o stary BC bez vswap - czyli zliczający zużycie VSZ, a nie RSS musisz zmniejszyć wielkość stosu. Odsyłam: http://openvz.org/Stack_size SQL zostaw w spokoju, ale apache, bind'a itd.. powinien spokojnie działać na 128/256. Reasumując dopisujesz ulimit -s 128 do: /etc/init.d/apache2 lub /etc/init.d/httpd W razie problemów po prostu zwiększ stos.

Wszystko zależy od użytej wirtualizacji. W przypadku środowisk a'la octa czy e24cloud - korzystają oni z zewnętrznej macierzy storage, a więc ułatwia to do maksimum migracje VM'ek pomiędzy serwerami i downtime jest praktycznie niezauważalny, chociaż wcale wspólna macierz nie jest konieczna. Przykładowo jak wygląda to na KVM: http://www.linux-kvm.org/page/Migration

Octawave takie casestudy możecie podrzucać przekupskim blogerom, a nie na branżowe forum. Nie podaliście ich poprzedniej konfiguracji sprzętowej oraz kosztów związanych z jej utrzymaniem, ani też jak bardzo udało się to obciąć. Swoją drogą, skoro już Octawave podjął gwarancję bezpieczeństwa plików "w chmurze" cytuję: Oczywiście każdy może zagwarantować bezpieczeństwo plików, jednak może przypomnisz nam czym to jest podparte?

Zdecydowanie poszedłbym w kierunku jakiegoś serwera dedykowanego, mała platforma serwerowa np. HP DL 320 G8 i3 + 8GB RAM, 2x 120GB SSD - przy opłacie rocznej powinieneś się w kilku firmach zmieścić z budżetem. W razie potrzeby dokładasz dyski, albo rozszerzasz procesor do jakiegoś czterordzeniowca e3. Masz stały podgląd na stan macierzy, dysków, nawet możesz sprawdzać dla pewności temeratury serwera. ; ) A jeżeli uptime jest tak istotny to możesz zastanowić się nad kilkoka instancjami amazon'a w różnych lokalizacjach + synchronizacja danych (Jeżeli to potrzebne) i jakaś replikacja SQL + jakiś prosty loadballancer. Ale przy 3 instancjach koszta mogą przekroczyć wspomniane 3000zł rocznie.

[OT] Żyje pod inną nazwą: http://codex.wordpress.org/Create_A_Network [/OT]

Problem w tym, że chmura to model sprzedaży, a nie technologia.

Nie do końca mnie zrozumiałeś, chciałem w najprostszy sposób pokazać, że wyobrażenie ludzi nt chmury a'la amazon ec2 jest błędne. Znaczna cześć osób sądzi, że chmura to magiczny klaster obliczeniowy, który łączy moc n serwerów, a następnie pozwala scalić to w jedność jako jeden system operacyjny, co jest istotnym błędem. Oczywiście chmura powinna przede wszystkim charakteryzować się wysoką dostępnością i technikami i technologiami, które umożliwią zminimalizować ryzyko downtime'u. Jednak cloud to jak juz wspomniał Alien nazwa marketingowa dla danego typu usług, które z zasady charaketryzują się tym, że posiadają łatwą możliwość skalowania zasobów dla pojedynczych VM, rozliczanie godzinowe. A zresztą jak to pojęcie jest luźne i często używane widać na każdym kroku poczynając od ultra prostych mechanizmów storage jak ownCloud czy te wszystkie komercyjne lub nie Cloudy do przechowywania plików.