我有一个站点在aws平台上的VPC内的四台服务器上运行。 我的问题是,如果我在同一个VPC上的四台新服务器上托pipe另一个网站,他们会对网站产生什么影响,因为他们之间没有关系? 会不会有DDOS / DOS攻击的任何网站会降低其他的性能?
我们正在运行一个相当大的Flask应用程序,发现在随机的时候,我们会得到一个非常缓慢的请求(有时一分钟或更多) 我认为这个问题与延迟加载模块有关,而慢速请求则是当新工作者需要启动或重新加载时。 (我们原来有Apache + mod_wsgi的这个问题,但是决定尝试使用uWSGI,因为它是对工作者的先行工作)。 但即使重装不一致。 通常我可以重新加载,请求有点慢,但不显着。 我知道延迟加载是在Django中的东西,但据我所知文档Flask不这样做,除非它configuration为。 我不知道为什么请求会继续这么慢。 为了增加神秘感,我在EC2后面运行这个负载平衡器(仅仅用一个实例)。 通过负载均衡器连接时,我似乎遇到了比直接连接时更多的问题,但又是随机的。 通过负载平衡器的大多数请求不会超过10ms左右。 这里有各种configuration: nginx的: server { listen 80; server_name dev.mysite.net root /var/www/mysite; location / { include uwsgi_params; uwsgi_pass unix:/var/run/uwsgi/mysite.sock; } } uWSGI(皇帝pipe理) [uwsgi] base = /usr app = my_app.py pythonpath = /usr/lib/python2.7 pythonpath = /usr/lib/python2.7/site-packages pythonpath = /usr/lib/python2.7/dist-packages pythonpath = /var/www/mysite socket = /var/run/uwsgi/%n.sock module […]
我在运行的Web服务器上遇到了一个可怕的问题。 这是一个在CentOS上运行的networking服务器,它是默认的Amazon EC2 AMI(图像)之一。 我已经能够ssh到服务器,直到现在做我的事情。 在“yum更新”之后,来自ssh用户(标准用户'ec2-user')的sudo命令需要密码。 现在我找不到执行sudo操作的方法,也找不到默认密码。 我从来没有改变密码,所以它应该是默认值。 有没有人现在的默认密码,或解决scheme? SSH以root身份不起作用。
我正在尝试将TLS支持添加到在AWS EC2实例上运行的syslog-ng服务(正在将日志发送到日志logging)。 没有TLS的基本configuration工作,但是当我在config中replace目的地时: destination d_loggly { tcp("logs-01.loggly.com" port(6514) tls(peer-verify(required-untrusted) ca_dir('/opt/syslog-ng/keys/ca.d/')) template(LogglyFormat)); }; 重新启动syslog-ng服务时出现以下错误: [ec2-user@ip-10-0-1-123 syslog-ng]$ sudo /etc/init.d/syslog-ng restart Stopping syslog-ng: [ OK ] Error parsing afsocket, syntax error, unexpected LL_IDENTIFIER, expecting ')' in /etc/syslog-ng/syslog-ng.conf at line 74, column 5: tls(peer-verify(required-untrusted) ca_dir('/opt/syslog-ng/keys/ca.d/')) ^^^ syslog-ng documentation: http://www.balabit.com/support/documentation/?product=syslog-ng mailing list: https://lists.balabit.hu/mailman/listinfo/syslog-ng 我可以确authentication书位于/opt/syslog-ng/keys/ca.d/: [ec2-user@ip-10-0-1-123 /]$ ls -l /opt/syslog-ng/keys/ca.d/ total […]
我们的多租户应用程序在Elastic Beanstalk上运行。 我们的通配证书在Beanstalk负载平衡器(ELB)上。 对于拥有自己的域名和证书的客户端,我们将其安装在连接到Elastic Beanstalk实例的新的额外的ELB上。 这工作很好,直到Beanstalk做一些自动缩放或什么东西,我们额外的ELB取消订阅实例。 有没有办法将额外的ELB永久连接到我们的Elastic Beanstalk实例? 喜欢把它们添加到Auto Scaling组? 如果不是的话,在Elastic Beanstalk的范围内构build这个最好的方法是什么?
我有Web应用程序(NodeJS),我打算将其部署到AWS。 为了最小化成本,它将在单个EC2实例上运行。 我担心,如果有人决定保佑我DDOS攻击,会有什么事情发生,因此几乎没有问题。 现在,我做了一些相关的研究,但是由于我的理解显然很缺乏,所以如果有些问题很愚蠢,我很抱歉: 我想避免人们用第4层攻击淹没我的网站。 把我的安全组设置为只接受stream量(除了SSH端口22以外)是否足够: inputHTTP 协议TCP 端口范围80 以上将停止UDP洪水和其他人击中我的EC2实例? 通过安全组,我只允许SSH连接到端口22从我的静态IP地址。 这会让攻击者远离攻击端口22吗? 我的EC2实例将运行Ubuntu。 我希望避免应用层攻击(第7层),并计划直接从我的应用程序中执行此操作,以便以某种方式检测某个IP是否淹没特定的URL,并在必要时阻止它们。 然而,这似乎有点晚了,因为stream量已经到达了我的Web服务器,我的服务器无论如何都要做这个工作。 所以,不是直接从我的应用程序这样做,我想如果有可能使用IP表来阻止任何stream氓交通之前,我的networking服务器。 是否有一些能够识别stream氓行为和阻止犯罪者的常见设置? 我正计划研究fail2ban ,希望能够简化这个过程。 现在,我明白,如果它达到这么远,它会打我的EC2实例,但我想保护我的应用程序也从例如暴力攻击。 AWS CloudFront会处理大多数DDOS第4层攻击吗? 如果没有,那么使用免费的CloudFlare会有什么不同? 说有人淹没我的网站,这导致更多的stream量,然后我预料。 有什么办法可以停止收费吗? 有计费警报,但我看不到任何方式来设置AWS的硬限制,并说如果带宽超过实例脱机。 我也意识到,现在有办法完全防止DDOS攻击,但是我至less要防止基本的尝试。 预先感谢您的任何帮助。
我试图将预先存在的通配符SSL证书添加到Amazon EC2上的单个Ubuntu实例,其中networking服务器是Nginx,并且运行一个子域。 我有 – 从提供证书的原始供应商 – 名为private.key,selfsigned.crt和ssl-shared-cert.inc的文件。 我已经将这些file upload到了/ etc / nginx / ssl(这是我创build的一个新文件夹)的EC2。 我以前在Heroku上使用过相同的文件,虽然这个过程似乎是非常具体的。 他们也在我们的主域( https://wwww.minnpost.com )上使用,但是我并没有参与设置,因为我相信我们的托pipe供应商是为我们做的。 ssl-shared-cert看起来像这样: SSLEngine On SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile "/path/to/selfsigned.crt" SSLCertificateKeyFile "/path/to/private.key" 在我的EC2实例上,我将网站的configuration更改为: server { listen 8080; listen 443 ssl; server_name subdomainurl; ssl_certificate /etc/nginx/ssl/selfsigned.crt; ssl_certificate_key /etc/nginx/ssl/private.key; root path; … } 当我运行sudo nginx -t我得到以下内容: nginx: the configuration […]
与EC2实例关联的弹性IP 我已经把域名从一个aws帐户转移到另一个帐户,域名与我以前的帐户一起工作,并且在转移到一个新账户之前,它解决了一个S3存储桶,它不能parsing到EC2实例的连接。 我正在尝试使用域名ketan.io托pipe一个网站。 请帮助并教育我是否需要打开除HTTP和HTTPS之外的其他防火墙端口,以便DNSparsing为EC2实例。 我已经在Apacheconfiguration文件中将ServerName添加为ketan.io,并在/ etc / hosts文件中添加了具有弹性IP地址的域。 我错过了什么?
我们有一个由20多名实习生组成的团队,每3-6个月join并离开我们。 他们每个人在10-15个共享的AWS实例上都有单独的SSHlogin设置,其中一些已经运行了多年,其他的则运行了几天或几周。 每次我们需要pipe理员创build实例并授权用户及其密钥,并设置angular色。 当他们离开时,pipe理员手动删除所有用户或在某些情况下只阻止授权的密钥,以防止SSH。 什么是能够自动运行此实例的用户和SSHpipe理的最佳实践? 我们如何审计我们的实例以确保用户不会绕过我们的SSH限制?
我得到错误,无法启动Apache时,我将我的ThreadPerChild设置为200,虽然我仍然有60%的可用RAM。 服务器是Windows Server 2008 R2,带有4GB RAM。 如何在这种情况下使用更多的RAM到Apache? 我的Apache MPMconfiguration: # WinNT MPM # ThreadsPerChild: constant number of worker threads in the server process # MaxRequestsPerChild: maximum number of requests a server process serves # Win32DisableAcceptEx: Use accept() rather than AcceptEx() to accept network connections <IfModule mpm_winnt_module> ThreadStackSize 8388608 ThreadsPerChild 170 MaxRequestsPerChild 0 #Win32DisableAcceptEx </IfModule> 我在apache的error_log中得到了什么: […]