Discussion :

[iowa]

Bonjour,

J'ai utilisé Apache JMeter pour stress mon serveur web Apache.
Le scénario est simple :

1. Affichage de la page d'accueil
2. Tentative de login (pas d'anti bruteforce)

Au bout de 10 utilisateurs (pendant 10sec, soit ~200 connexions tcp sur le serveur) la charge bondit à 12...
La valeur habituelle est plutôt autour de 1

Je ne suis pas admin sys de formation, je me demandais à quel niveau suis-je censé traiter le problème :

• Directement au niveau de linux (iptable etc) ?
• Apache (utilisation de module anti bruteforce etc)
• L'application PHP (ajout anti bruteforce)

Merci pour vos conseils

[BufferBob]

avant d'envisager de l'anti-bruteforce j'aurais tendance à optimiser apache/php, en configurant un peu dans le détails les etags, les expires, en rajoutant un système de cache éventuellement, puis en modifiant à la fois les directives Apache du genre MaxClient, MaxSpareServer, Timeout etc. et tout en jouant sur le système pour lui permettre de ne pas tomber en rade de descripteurs de sockets (cf ulimit)
bref, d'abord configurer l'ensemble pour qu'il soit en mesure de donner le meilleur, et ensuite seulement mettre des mesures type anti-bf fonction de ses limites, dans l'idéal...

[iowa]

Je suis déjà passé par cette phase d'optimisation
J'ai même revu la construction de ma table de login