| [ CnUnix ] in KIDS 글 쓴 이(By): ymir (Mizz) 날 짜 (Date): 2003년 7월 22일 화요일 오후 02시 15분 32초 제 목(Title): Re: 웹서버로의 해킹 공격 보통은 웹 서버에 없는 파일을 요청하는 케이스이니깐 이 정도로 웹 서버가 죽기는 어려울텐데요... (404 File not found error..) (오랜만에 보네요... default.ida... ㅡㅡ;;) 웹 서버에 대해 저러한 트래픽이 많다면... 서버에 부하가 많이 걸릴 수도 있겠지만... 서비스 거부 수준까지 가지 않는 한은... 별 일은 없을 것 같습니다... ^^;;; (뭐 시스템만 빵빵하다면야.... ^^;;) 서버 부하를 좀 줄이시려면... 다음의 설정값 들을 적절히 조정해 줘서... 웹 서버를 튜닝할 수도 있구요.. Timeout 300 한번의 GET요청에 대한 타임아웃 시간을 정해주는 부분으로 초단위. 클라이언트가 요청 한 정보를 받을 때까지 소용되는 대기시간의 최대 값 KeepAlive On 접속한 클라이언트의 요청을 처리한 후 연결을 계속 유지하고 있으면 클라이언트의 다음 요청에 대한 시간을 절약할 수 있다. 기본 On MaxKeepAliveRequests 100 하나의 지속적인 연결동안에 접속을 끊지 않고 몇 번까지 요청을 받을 것인지 설정. KeepAliveTimeout 15 동일한 접속 상태에서 동일한 클라이언트로부터 다음 요청 동안에 기다리는 수치를 초로 표시. 표시한 시간동안 요청을 하지 않으면 접속을 끊어 버림. StartServers 5 초기 시작시에 시작할 서버의 개수 즉 httpd 데몬을 처음 실행 시킬 때 여분의 프로세스를 생성 시킬 수치를 지정. 지금 총 프로세스는 6개가 된다. MaxClients 150 동시에 접속할 클라이언트의 최대 개수를 제한하는 값. 만약 이 값에 도달하면 클라이언트의 요청은 다른 요청이 끝날 때까지 대기 상태가 된다. Iptables 나 Ipchains 를 띄우고 error_log 에서 바이러스 걸린 클라이언트의 IP 를 추출해서 iptables 룰에 추가하는 스크립트를 하나 정도 작성해서.. 해당 IP 를 아예 블럭 시켜도 좋을것 같습니다.. 그리고 사족으로... 서버 보안을 위해서.. 불필요한 서비스들은 모두 내리고.. (덩치 큰 x-windows 도 필요없음) ssh 정도만 띄워서 쓰시고... (ftp 필요하면 잠깐 올렸다가 다 쓰면 내리고 하는 식으루...) iptables 정도는 걸어두시는게 좋을것 같습니다... TCP/IP 관련해서 커널 파라미터 튜닝하는 것도 있었는데... 필요하시면 구글에서 한번 찾아 보시구요... 음... 뭐 틈틈이 패치만 잘 해주셔도... 웹 서버 자체에서 문제 생길일은 별로 없을 것 같습니다... 음... 조금이나마 도움이 되었으면 합니다.. Oh, I do believe everlasting love and destiny to meet you again I feel a pain I can hardly stand all I can do is loving you - *Mizz* the Magic Knight! |