Pages : 1
#1 Le 01/10/2014, à 09:11
- Inglebard
Nginx, PHP-FPM et limits.conf
Bonjour,
J'utilise nginx et php-fpm pour héberger une dizaine de sites internet sur un serveur.
Les sites étant principalement des wordpress/magento et Pydio.
Il y a bien sur aussi tous les services "indispensables" comme ftp,ssh,fail2ban, ...
J'aurais aimer savoir si vous vous protégiez contre les forkbomb. Et si oui, comment faites vous pour déterminer le nombre maximum de processus autorisés simultanément étant donné que le nombre de connexions peut énormément varier ( donc de processus ) sur un serveur web ?
Dernière modification par Inglebard (Le 01/10/2014, à 09:13)
Hors ligne
#2 Le 01/10/2014, à 10:02
- tiramiseb
Re : Nginx, PHP-FPM et limits.conf
Salut,
Il y a bien sur aussi tous les services "indispensables" comme ftp,ssh,fail2ban, ...
ftp est largement dispensable, voire même à éviter.
fail2ban je ne l'ai jamais utilisé, je ne m'en porte pas plus mal.
J'aurais aimer savoir si vous vous protégiez contre les forkbomb.
Pas spécialement non. Après, je ne suis pas un gros hébergeur, mais je n'ai jamais eu de problème de ce genre.
D'ailleurs, on peut faire un forkbomb au travers d'un serveur web ? Je crois que non... mais je n'en suis pas certain.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 01/10/2014, à 14:48
- Inglebard
Re : Nginx, PHP-FPM et limits.conf
Salut,
Merci pour ta réponse.
Oui effectivement, on peut se passer de ftp et fail2ban.
D'ailleurs, on peut faire un forkbomb au travers d'un serveur web ? Je crois que non... mais je n'en suis pas certain.
Ben théoriquement c'est possible :
while(1)
pcntl_fork(); # généralement désactivé
Peut même avec un exec.
Quand je vois certaines faille Wordpress et/ou plugin wordpress et linux, c'est surtout que j'imagine le pire en cas d'injection de code et je préfère prévenir que guérir.
Dernière modification par Inglebard (Le 01/10/2014, à 14:48)
Hors ligne
#4 Le 01/10/2014, à 15:12
- tiramiseb
Re : Nginx, PHP-FPM et limits.conf
Ben théoriquement c'est possible :
while(1) pcntl_fork(); # généralement désactivé
Oui, vu comme ça...
Mais si on utilise des webapps de confiance, pas de plugin tout pourri, il y a peut de chance qu'on ait un bout de code comme ça.
Ce que je veux dire, c'est qu'un visiteur ne peut pas déclencher une forkbomb de lui-même, dans un cas "normal" (donc pas de gros trou béant de sécurité, etc).
Alors qu'un DDoS reste toujours possible
c'est surtout que j'imagine le pire en cas d'injection de code et je préfère prévenir que guérir.
Je ne peux pas t'en blâmer, c'est un bon réflexe.
Cela dit, prévenir ne serait-ce pas « faire attention à ce qu'on installe » plutôt que « ajouter un truc pour empêcher un type d'attaque en particulier » ?
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1