Laikui bėgant, kai turime tiesioginę svetainę, naudojančią Nginx mes pastebime keistą kai kurių IP adresų elgesį, paprastai šie adresai priklauso robotai ar kenkėjiški agentai kurie puola mūsų tarnybą.
Nors matėme, kaip blokuoti prieigą ir srautą naudojant GeoIP modulis, taip pat yra paprastesnis ir tiesioginis būdas atlikti tokio tipo užraktus, nes neturime GeoIP modulis galime sukurti gerą taisyklių rinkinį, leidžiantį reguliuoti prieigą prie mūsų svetainės.
Juodasis sąrašas
Atlikdami serverio administravimą, mes turime tam tikrą politiką, kuri garantuoja mūsų duomenų saugumą, be to, kad užtikrintume tinkamą išteklių našumą, kliūtis, su kuria susiduriame, yra atakos ir masinės konsultacijos robotai, tyrinėtojų scenarijai ar net kenkėjiški agentai.
Dėl pirmiau minėtų priežasčių turime tvarkyti juodąjį sąrašą, kuris mums leidžia blokuoti IP adresus žinome, kad jie yra struktūrizuoti ir nesusiję su natūraliu srautu iš mūsų aptarnaujamų svetainių Nginx.
Norėdami sudaryti šiuos juodus sąrašus, galime blokuoti pagal IP arba pagal IP adresų rinkinį, tokiu būdu galime šiek tiek palengvinti situaciją ir plėtoti sveikesnes paslaugas.
Kaip sukurti juodąjį sąrašą?
Norėdami sudaryti juodąjį sąrašą, turime naudoti taisykles paneigti Y leisti kad galėtume nurodyti blokuojamų IP diapazonus arba tiesiog patalpinti konkrečius adresus, tai reikia padaryti labai atsargiai, nes netinkamai įdėję taisyklę galime užblokuoti daugiau vartotojų, nei pageidaujama.
Toliau pateiktame paveikslėlyje pamatysime kodo pavyzdį, kaip atlikti pagrindinę konfigūraciją prieigos blokavimas:
Kode matome, kaip mes naudojame paneigti norėdami nurodyti tam tikrą IP, o tada su „allow“ nurodome adresų diapazoną naudodami pokaukė / 24, Šis pavyzdys yra plačiai naudojamas, kai segmentuojame paslaugą vietiniame tinkle, kad skyrius negalėtų prisijungti prie jo teikiamos paslaugos Nginx.
SvarbuKitas aspektas, kurį galime derinti naudodami tokio tipo užraktus, yra žinoti, kokią klaidą turėtume į juos įmesti, pavyzdžiui, jei blokuojame galimas atakas, geriausia mesti klaidą 404 puslapis nerastas kad neskatintume stipresnio puolimo, jei užpuolikas žinotų, kad jiems neleidžiama įeiti, tačiau vietinio tinklo aplinkoje turbūt idealiausia yra tai, kad nurodome 403, kuris patenka į ribotą zoną.
Baigdami šią pamoką matome, kad tokio tipo užraktą atlikti yra labai paprasta ir mes nepriklausome nuo kitų modulių, nes standartiškai arba sumažintas diegimas Nginx galėsime įgyvendinti savo saugumo politiką.
Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką