-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj vespolek,
jelikoz mira trpelivosti pretekla, zacal jsem vymyslet zpusob, jak
zmensit rizika, ktery pro nas plynou z toho, ze u nas hostujou
nactilety decka "herni hostingy".
O co jde - 12-13-14ti-lety deti si hrajou na podnikatele a
zakladaji si herni hostingy (prevazne GTA San Andreas Multiplayer,
Counter Strike a podobne), dokonce nekteri z nich poskytujou potom
instance tech serveru zadarmo (protoze maminka jim to VPS zaplati).
Samozrejme se hned titulujou "majiteli" a jinymi
honosnymi vyrazy, to jenom tak pro dokresleni situace :))
Jelikoz jsou to v podstate decka, misto hazenim kamenu a pisku po sobe
se provokujou (D)DoSama a podobnym svinstvem, co uz nejednou odrovnalo
celou konektivitu vpsFree.cz.
Dalsi symptom takovych VPS je, ze zatez CPU na hardware masine, kde to
VPS sidli, behem nekolika dni (kdyz je neomezim driv) vyroste na 100%,
protoze nemaji vubec problem tam napoustet i vic jak 30 instanci tech
hernich serveru.
Premyslel jsem, co se s tim da delat.
Zakazovat provoz hernich hostingu mi prijde uplne proti filozofii
vpsFree, stejne jako zakaz provozu hernich serveru obecne a podobne.
Zakazovat bych nic nechtel.
Dospeli jsme s par klukama na MUC k nazoru, ze nejlepsi bude udelat
pravidlo,
ze pokud nasi sysadmini (primarne ja a Aither) prijdou na takovy herni
hosting, omezime te VPS automaticky bez debaty procesorovy cas na 50%
jednoho jadra CPU; to by melo byt dostatecne omezeni, aby ty "decka"
sly hostovat jinam a nenarusovali provoz ostatnim (kteri tam maji
treba i veci, na kterych zavisi jejich mesicni prijem).
VPS klasifikovatelnou pro takove definujeme tak, ze ma
spustene vic jak 5 instanci libovolnych hernich serveru, at uz je to
SA:MP, Counter Strike, World of Warcraft, cokoliv - proste 5 a vic =
50% jadra limit.
Existuji jenom tusim 2 (podotykam dospeli) clenove, kterych by se to
dotklo, aniz by s nimi byl jakykoliv problem - tzn. tohle omezeni bych
neaplikoval pausalne na uplne vsechny, ale vylozene na tu cilovou
skupinu, o ktere se bavime.
Navrh prosel Radou i Kontrolni komisi sdruzeni, tudiz je efektivni uz
od ted.
Na zaver bych chtel rict, ze tihle "deti" jsou vlastne jedinou
skupinou, ktera kdy nejak ohrozila nebo omezila provoz nasich serveru.
Po poslednim DDoSu uz jsem se rozhodl s tim neco udelat, a i kdyz
nemam zakazy a omezeni rad, kdyz neni respekt k ostatnim z druhe
strany, tezko respektovat jejich fungovani.
K tomu s Master Internet do 14ti dni aplikujeme moznost delat BGP
blackholing, tzn. poslat traffic smerujici na libolne IP z nasich
rozsahu do "cerne diry" tak, aby vubec nedorazil na nase routery. Do
ted jsem kvuli tomu potreboval psat na support Masteru, ale od ted
budeme mit moznost si tohle osefovat sami.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com |
http://vpsfree.cz |
https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla -
http://enigmail.mozdev.org/
iF4EAREIAAYFAlBQXr8ACgkQdh+64ds5DabcewEAw434lWohKf3qGOSvIhnru1q9
26slsIULbkehx8yo2XYA/RI1P9+7zhaM5p8qpHGrnW/jte1bdbIOl1NqrRNQGSMj
=1wYl
-----END PGP SIGNATURE-----