さくらのVPS稼動にあたり、いまだ色々勉強中。覚書きの駄文を垂れ流し中です。

DDoSや、超高速回線でのDL、クローラーの蹂躙に対処するモジュールをその内導入したい。
一昨日あたりから色々と調べていたら、上手いタイミングでTwitterで@rockomizさんからリンク紹介して貰った。

ログ監視ツール導入(SWATCH) - CentOSで自宅サーバー構築

すげー便利そう。これが良い。だけど読み進めていくと、、、
  ・DNSサーバー(BIND)構築済であること
  ・SSHサーバー構築済であること
(あと、メールやFTPも)
等々、、、2日ほど色々資料読んだけど、ハードルが高くて今は挫折する事にした(^_^;

SWATCH導入の資料用リンク
  ・DNSサーバの構築(bind)

 

iptablesについて

現在は「最低限これくらいの設定をしよう」的なページを参考に、Web、FTP、POP、smtp、sshに許可をだし、「危険かな?」と思ったポートを遮断するくらい。かなりデフォに近い。(メールは準備のみでまだ未開放)

色々なサイトを読みながら更に突っ込んだ所まで設定したいが。。。
Iptableの設定
習うより慣れろiptablesテンプレート集

「全て許可してから個別に遮断」「全て遮断してから個別に許可」等々、解説サイトによってアプローチが全然違う。そしてひとつひとつのディレクティブの意味がまだよく解っていないので、実行に移せないでいる。

これも変な設定しちゃうと「RSSブログパーツで読めないぞ」とか「現サーバーとの連携が出来ないぞ」とか変な事になりかねないので、ちょっと慎重に行いたい。

とりあえず今の設定に
既に攻撃して来たIPアドレスを完全に遮断
過激な連続アクセスをしてきたIPを一定時間遮断
の2点だけ追加できればそれで嬉しい。

その他同時に調べた色々

Apache負荷軽減のこと
DDos攻撃や連続アクセスを弾く方法を探して辿りついた。
「欲しいなぁ」と思っていた機能を実現するモジュールは「mod_cband」と「mod_evasive」。
しかし、どちらもCentOSはパッケージなしとの事。

しかしネット上であれこれ検索すると、確かに動かなかった人もいるが、ちゃんと作動させている人もいる模様。mod_cbandは動くっぽい。mod_evasiveは正常作動させている人は僅か。

他、DoS弾きにmod_throttleとかmod_limitipconnなんてのもあるらしい。
色々ためせ>私

 

さくらのVPSへお引越し ボーダーレスライフ
不要なデーモンを停止させる方法。
あと、サーバに対する初期設定とかもアリ。

 

やる夫がapacheのコネクション数を調べるようです。
まだ良く解っていないけど、コネクション数=同時接続数って事で良いんだよね?
コネクション数を増やしたり減らしたり、のお話。

 

接続数/帯域制限で無法なダウンローダを撃退(4/4) - @IT
こちらも接続数のお話。あとで読む。詳しい。
今の所接続数の規制はいらないかなーとも思っている。

 

シェルスクリプトの基礎の基礎
アクセス規制と全く関係ないけど、基本中の基本。
Dosのbatファイルみたいなやり方。今日覚えた。
っちゅうか、このページ最上部のSWATCH、このシェルスクリプトの時点で既に躓いていた(^_^;

応用出来るようになるまでには時間がかかりそう。
こんなのすらまだ解ってない私。

あとがき

そろそろやばい。一気に知識を詰め込みすぎて、「昨日覚えた事を思い出せない」状態が連発。検索しながら勉強しつつ「あれ?何を勉強したくてこのページ開いたんだっけ?」も連発。

予定では今晩~明日にかけてさくらのVPSを本稼動させるつもりだったけど。。。
頭がついて行かなくなって来た(^_^;