Uživatelské nástroje
navody:vps:incidenty
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
| navody:vps:incidenty [2024/04/14 19:08] – Add DNS-Open-Resolvers aither | navody:vps:incidenty [2025/08/16 12:26] (aktuální) – oomd aither | ||
|---|---|---|---|
| Řádek 35: | Řádek 35: | ||
| což se obecně nedoporučuje. Je vhodné použít buď VPN a povolit přístup jen | což se obecně nedoporučuje. Je vhodné použít buď VPN a povolit přístup jen | ||
| přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | ||
| + | |||
| + | ===== DNS-Open-Resolvers ===== | ||
| + | Na portu **53** máš spuštěný DNS resolver, který je po **IPv4** dostupný z internetu. | ||
| + | DNS resolver by měl buď poslouchat jen na localhostu, nebo musí být nastaven tak, aby | ||
| + | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí VPN, atp. | ||
| + | |||
| + | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | ||
| + | menší než odpověd, kterou DNS resolver zasílá zpět. Útočník toho využije a nechá odpověď | ||
| + | zaslat na adresu oběti. | ||
| ===== IPv6-Accessible-MySQL ===== | ===== IPv6-Accessible-MySQL ===== | ||
| Řádek 43: | Řádek 52: | ||
| < | < | ||
| [mysqld] | [mysqld] | ||
| - | bind-address = 127.0.0.1 | + | bind-address = ::1 |
| </ | </ | ||
| Řádek 94: | Řádek 103: | ||
| a nastavit jej znovu. | a nastavit jej znovu. | ||
| + | ===== oomd ===== | ||
| + | VPS se v danou chvíli pohybovalo na hraně limitu paměti, tj. procesy jsou zdrženy | ||
| + | čekáním na volnou paměť, a současně drželo sdílené zámky v kernelu, což mělo negativní | ||
| + | vliv na ostatní VPS a celý node. | ||
| - | ===== DNS-Open-Resolvers ===== | + | Je nutné si pohlídat konfiguraci služeb tak, aby se při dočasném navýšení provozu |
| - | Na portu **53** máš spuštěný DNS resolver, který je po **IPv4** dostupný z internetu. | + | nespouštělo více obsluhujících procesů (typicky web server, apache2 workery, PHP, atp.), |
| - | DNS resolver by měl buď poslouchat jen na localhostu, nebo musí být nastaven tak, aby | + | než kolik se do VPS vejde. |
| - | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí VPN, atp. | + | |
| - | + | ||
| - | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | + | |
| - | menší | + | |
| - | zaslat na adresu oběti. | + | |
| ===== open-memcached ===== | ===== open-memcached ===== | ||
navody/vps/incidenty.1713121682.txt.gz · Poslední úprava: 2024/04/14 19:08 autor: aither
Nástroje pro stránku
Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
