NFS сверху GFS2 - это работает?
Что было эффективным для меня:
Как другие сказали, никакой корневой вход в систему, набор PasswordAuthentication к не (только входят в w/keys) в sshd_config
Только один или два пользователя позволили регистрироваться на пути ssh, и у них есть квазинеясные имена, которые не находятся в общих списках имени пользователя инструмента "в лоб" (т.е. не "администратор" или "апач" или "сеть" или "johnny")
Строгие правила брандмауэра (в основном, все заблокировано, но мой порт услуг и ssh). Я даже ограничиваю ping, для отражения большего количества сырых сканирований (очень к огорчению моего партнера).
На моем веб-хосте я действительно ограничиваю доступ к определенному небольшому количеству IP-адреса - но это похоже, это не опция для Вас. Конечно, не может сделать этого самостоятельно на всех наших хостах. Можно также хотеть изучить "стук порта".
И мой фаворит: активный модуль ответа OSSEC для блокирования многих условий грубой силы и предупреждений на других ошибках, также. Это обнаруживает x недопустимые логины за y количество времени и затем блоки (через iptables команду отбрасывания брандмауэра) в течение определенного промежутка времени. Я блокируюсь в течение приблизительно 12 часов теперь для забавы.:)
Одна вещь, которую я делаю здесь, чтобы удостовериться, что я не блокирую слишком много неправильной вещи, состоит в том, что в/etc/ossec.conf, я установил активный ответ на высокий уровень (который не существует в конфигурации по умолчанию), и затем пройдите sshd_rules.xml и установите правила, которые я хочу заблокировать к тому уровню и изменить пороги для блока по сравнению с предупреждением по мере необходимости.
При выполнении Apache можно заблокировать материал, который нарушает апачские правила, также. Я не блокируюсь на них только из-за проблемы NAT, я хочу думать о блокировании всего университета или чего-то.:) Кроме того, можно записать пользовательские правила для блокирования на определенных условиях в файлах журнала, которые могут быть действительно полезными.
The ] способ блокировки GFS2 работает , вы можете увидеть серьезные проблемы с производительностью, указав каждый узел на другой сервер NFS:
Если другой узел запрашивает глок, который не может быть предоставлен немедленно, затем DLM отправляет сообщение узлу или узлам, которые в настоящее время содержат глоки, блокирующие новый запрос, чтобы попросить их снять свои блокировки. Удаление глоков может быть (по стандартам большинства файловых систем операции) долгий процесс. Для удаления общего глока требуется только это сделать кеш недействительным, что относительно быстро и пропорционально к количеству кэшированных данных.
Удаление эксклюзивного глока требует сброса журнала и обратной записи. любые измененные данные на диск с последующим аннулированием в соответствии с общий глок.
[...]
Из-за способа, которым реализовано кэширование GFS2, лучшая производительность достигается, когда имеет место одно из следующих условий:
- Inode используется только для чтения на всех узлах.
- Inode записывается или модифицируется только с одного узла.
Кроме того, документы поддержки, такие как Red Hat , указывают, что блокировки POSIX на общих ресурсах NFS вызывают проблемы , поэтому будут поддерживаться только конфигурации Active / Passive кластеризации, в которых NFS экспортируется с одного единственного активного узла в любой момент времени , и доступ к файлам в файловой системе GFS2 не осуществляется, кроме той, которая настроена через службу NFS. Очевидно, это должно позаботиться о любых непредвиденных взаимодействиях блокировки между NFS и GFS2, но, вероятно, это не то, что вы хотели видеть.