Томас, большое спасибо за интерес к корпоративной статье.
По первому пункту.
Думаю, что вы все-таки прочитали «по диагонали». Аутсорс — продажа часов (а мы знаем что 90% всех проектов на почасовке выходят из плана по времени и деньгам), аутстаф — продажа сотрудника, «бодишоп» (аутстаффер занимается только бух и юридической стороной вопроса).
МИТ — это продажа SLA. И поддержка 1-й 2-й линией с ITSM процессами и рекуррентом.
Ознакомьтесь, пожалуйста со статьей Managed services на википедии, там как раз указано что это не аутсорс и не аутстаф.
По второму — опять же неверно. SLA обеспечивает компенсацию за простой. Убытки несут все стороны. Простой не интересен никому.
МИТ — это решение для того чтобы избежать классических проблем, то есть не типичный аутсорс, аутстаф, как раз. Мы уже сейчас видим компании, которые отказываются от модели потребления услуг по аутсорсу.
МИТ интересен многим компаниям. В частности, представьте завод, где в ИТ штате всего 3 человека. Думаете они смогут и поддерживать и стратегически развиваться? Параллельно оркестрируя кучей подрядчиков? Сомневаюсь.
МИТ нужен. В подавляющем количестве компаний, штат ИТ перегружен и средства на развитие выделяются со скрипом. Поставщики серверных мощностей в данной услуге — это наши партнеры. Если клиент 1 и подрядчик 1 — то клиент сам справится, если подрядчиков 10, то все становится интереснее.
Saas это вообще другое. В МИТ в режиме Saas используются порядка 6 сервисов, которые обслуживают внутренние процессы по оказанию услуги.
Юзать для всех баз данных разных сайтов root без пароля это идиотизм, даже не смотря на то что мускул в сеть не смотрит (не дай бог phpmyadmin). Один юзер = один юзер мускула с паролем. Все же просто. За что друг получил 3 месяца хоста я так и не понял — за свою криворукость? Про джумлу вообще молчок!
Ну правильно, вы бы в саппорт написали: у меня мускул не взлетает — закончилось место! А проблема то не в месте, проблема что спамят с вашего железа. Админ бы почистил диск, получил бы место, мускул бы взлетел, но на недолго. Вы бы опять обратились в саппорт: как же так, я платил, а мускул и недели не проработал!
В общем, правильно заданный вопрос — половина ответа. Ваш сервер — обычный спам релей, ломанули старую уязвимость на сайте и залили php код.
Вот навскидку еще пара подсобных инструментов:
Показывает количество в очереди писем (просто цифру)
exim -bpc
вот эти команды чистят очередь:
exipick -zi | xargs exim -Mrm
exipick -i | xargs exim -Mrm
exiqgrep -o 0 -i | xargs exim4
затем надо в php.ini включить:
mail.add_x_header = On
mail.log = /var/www/phpmail.log
Эта штука будет в лог писать путь до php файла, который рассылает спам. Пока вы не обновили дырявый опенсорсный движок, php файлы будут к вам заливаться до бесконечности. Но хотя бы на пару часов можно прибить виновника, чтобы снять нагрузку с проца и нормально решить проблему )
>Более того, site.by — не наш. Мы просто его временно размещаем на нашем сервере. Чем он занимается никому не известно
Вы считаете нормальным держать на своем продакшен-сервере такие проекты?
Экономия должна быть экономной. Почему вы юзаете 1-у железку? 48Gb mem %) Я бы смотрел в сторону использования нескольких железяк, но с распаралелливанием нагрузки. За 50Е можно взять несколько VPS. Опять же — отказоустойчивость на 0. То есть весь ваш будущий рост будет только в наращивании мощности железа 1-ой машины, не логичнее ли планировать рост и масштабизацию нагрузки на кластер?
3-х суток? Это какой объем данных? Если все делать с нуля (всмысле даты нет на дисках, пустые, нужно их просто зашифровать перед использованием для хранения файлов), то сколько потребуется времени? Какие еще варианты шифрования директории можете порекомендовать (ставлю owncloud (+webdav) + https + ограничение доступа по IP или макам) Интересует решение, не требующее 3-х дней. ВПСка на DigitalOcean. Aes-xts 256b 1300.2 MiB/s 1310.4 MiB/s
Для меня простой индикатор — Qiwi, вижу киви подразумеваю мошенничество. Как только кто-то просит что-то где-то скинуть на киви, то я еще не видел варианта, чтобы это был не фрод.
Вопрос по безопасности. Получается, что любой пользователь сможет во время загрузки войти в биос, выставить там загрузку по сети и так или иначе получить доступ к некоторым админским функциям? Пароль на биосе сбрасывается батарейкой.
Странная статья. Нет ни одного продукта без недостатков. Вордпресс в том числе. И многие штуки в нем — просто потому что так исторически сложилось. Никто не говорит, что нельзя сделать лучше. Для всего есть свой инструмент, развернуть быстро простой сайт на шаблонном дизайне, но заплатить качеством кода это одно. Выбрать фреймворк и пилить свой проект с нуля это другое. Разные задачи — разные решения.
Октобер ЦМС? Пусть ка сначала октобер цмс наберет 60 млн установок. Я думаю, когда она этого статуса достигнет, к ней можно будет насобирать не меньше претензий, чем вы насобирали к вордпрессу.
Я не то чтобы защищаю WP, я его тоже в работе довольно часто использую и он не идеален, но опять же. Хотите писать свой велосипед — пожалуйста, вас же никто не ограничивает!
Мда, вроде народу интересно, но после открытия гиктаймс, вся моя возможность писать статьи укатила туда. Кто-то один влепил в профиль невозможность мне писать статьи, хотя 9 человек хотели бы эту статью видеть. Так что простите, до лучших времен.
Во-первых вы забыли про третий тип атаки, DNS Amplifying. Этот тип я бы назвал самым простым для реализации.
Также есть еще SMURF и ACK атаки, которые тоже явно можно вынести в отдельные.
Как правило любая защита начинается со смены IP адреса сервера. Опять же не забываем сменить IP почтового сервера, иначе через заголовки писем злоумышленники могут узнать ваш новый IP. Если IP не сменить, проксирование, как самая распространенная защита, может просто не сработать.
А вот о чем действительно не договаривают сервисы по защите от Ддос, это о том, что при выборе не совсем чистого на руку партнера, можно попасть к стекольщикам (это я имею ввиду тех, кто стекла сначала бъет, а потом предлагает услуги по их замене). Выглядит это так. Сайт под нагрузкой спасается у антиддосера. Проходит оплаченный месяц, владелец сайта понимает, что стоимость хоста для него порядком выросла. Либо он уходит обратно и тогда через какое-то время опять получает ддос атаку и возвращается к антиддосеру уже надолго. Либо тупо продолжает платить дальше. А у антиддосера в руках получается новый клиент и огромный шланг с кучей паразитного траффика, который можно всегда на кого-то направить.
Такой вот бизнес. Стоимость расследования атаки без гарантий порядка 100k рублей. Так, удовлетворить любопытство.
Недавно ддосили одного из клиентов, вот и пришлось немного разобраться в вопросе. Если кому интересен опыт и порядок действий при первом ддосе — могу накатать статью. Ну вы знаете, как мне дать это понять, да?
По первому пункту.
Думаю, что вы все-таки прочитали «по диагонали». Аутсорс — продажа часов (а мы знаем что 90% всех проектов на почасовке выходят из плана по времени и деньгам), аутстаф — продажа сотрудника, «бодишоп» (аутстаффер занимается только бух и юридической стороной вопроса).
МИТ — это продажа SLA. И поддержка 1-й 2-й линией с ITSM процессами и рекуррентом.
Ознакомьтесь, пожалуйста со статьей Managed services на википедии, там как раз указано что это не аутсорс и не аутстаф.
По второму — опять же неверно. SLA обеспечивает компенсацию за простой. Убытки несут все стороны. Простой не интересен никому.
МИТ — это решение для того чтобы избежать классических проблем, то есть не типичный аутсорс, аутстаф, как раз. Мы уже сейчас видим компании, которые отказываются от модели потребления услуг по аутсорсу.
МИТ интересен многим компаниям. В частности, представьте завод, где в ИТ штате всего 3 человека. Думаете они смогут и поддерживать и стратегически развиваться? Параллельно оркестрируя кучей подрядчиков? Сомневаюсь.
МИТ нужен. В подавляющем количестве компаний, штат ИТ перегружен и средства на развитие выделяются со скрипом. Поставщики серверных мощностей в данной услуге — это наши партнеры. Если клиент 1 и подрядчик 1 — то клиент сам справится, если подрядчиков 10, то все становится интереснее.
Saas это вообще другое. В МИТ в режиме Saas используются порядка 6 сервисов, которые обслуживают внутренние процессы по оказанию услуги.
В общем, правильно заданный вопрос — половина ответа. Ваш сервер — обычный спам релей, ломанули старую уязвимость на сайте и залили php код.
Вот навскидку еще пара подсобных инструментов:
Показывает количество в очереди писем (просто цифру)
exim -bpc
вот эти команды чистят очередь:
exipick -zi | xargs exim -Mrm
exipick -i | xargs exim -Mrm
exiqgrep -o 0 -i | xargs exim4
затем надо в php.ini включить:
mail.add_x_header = On
mail.log = /var/www/phpmail.log
Эта штука будет в лог писать путь до php файла, который рассылает спам. Пока вы не обновили дырявый опенсорсный движок, php файлы будут к вам заливаться до бесконечности. Но хотя бы на пару часов можно прибить виновника, чтобы снять нагрузку с проца и нормально решить проблему )
>Более того, site.by — не наш. Мы просто его временно размещаем на нашем сервере. Чем он занимается никому не известно
Вы считаете нормальным держать на своем продакшен-сервере такие проекты?
Октобер ЦМС? Пусть ка сначала октобер цмс наберет 60 млн установок. Я думаю, когда она этого статуса достигнет, к ней можно будет насобирать не меньше претензий, чем вы насобирали к вордпрессу.
Я не то чтобы защищаю WP, я его тоже в работе довольно часто использую и он не идеален, но опять же. Хотите писать свой велосипед — пожалуйста, вас же никто не ограничивает!
Также есть еще SMURF и ACK атаки, которые тоже явно можно вынести в отдельные.
Как правило любая защита начинается со смены IP адреса сервера. Опять же не забываем сменить IP почтового сервера, иначе через заголовки писем злоумышленники могут узнать ваш новый IP. Если IP не сменить, проксирование, как самая распространенная защита, может просто не сработать.
А вот о чем действительно не договаривают сервисы по защите от Ддос, это о том, что при выборе не совсем чистого на руку партнера, можно попасть к стекольщикам (это я имею ввиду тех, кто стекла сначала бъет, а потом предлагает услуги по их замене). Выглядит это так. Сайт под нагрузкой спасается у антиддосера. Проходит оплаченный месяц, владелец сайта понимает, что стоимость хоста для него порядком выросла. Либо он уходит обратно и тогда через какое-то время опять получает ддос атаку и возвращается к антиддосеру уже надолго. Либо тупо продолжает платить дальше. А у антиддосера в руках получается новый клиент и огромный шланг с кучей паразитного траффика, который можно всегда на кого-то направить.
Такой вот бизнес. Стоимость расследования атаки без гарантий порядка 100k рублей. Так, удовлетворить любопытство.
Недавно ддосили одного из клиентов, вот и пришлось немного разобраться в вопросе. Если кому интересен опыт и порядок действий при первом ддосе — могу накатать статью. Ну вы знаете, как мне дать это понять, да?