Рубрика «nginx» - 28

Ограничение количества попыток ввода пароля в веб-форме авторизации при помощи Nginx или HAProxy на примере WordPress

2015-02-08 в 4:09, admin, рубрики: haproxy, nginx, wordpress, безопасность, безопасность веб-приложений, информационная безопасность, системное администрирование

Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или подбора по словарю распространенных паролей). Данный способ, в принципе, можно использовать и для защиты других веб-приложений.

Задача может быть реализована в Nginx с помощью модуля ngx_http_limit_req_module [1], выступающем в роли фронт-энда к Apache или веб-сервера FastCGI, или же с помощью HAProxy [2, 3], выступающем в роли балансировщика нагрузки перед веб-серверами.

В обоих случаях алгоритм работы следующий. При аутентификации браузер обращается по адресу, содержащему в себе подстроку "/wp-login.php". Необходимо отследить ее и ограничить количество запросов с одного IP не затрагивая обращения по всем остальным адресам. Параметры блокировки необходимо подобрать таким образом, чтобы не создавать неудобств обычным пользователями. Особенно внимательно следует настраивать блокировки в том случае, когда формой авторизации пользуется большое количество пользователей с одного IP-адреса.

Читать полностью »

Как и зачем мы делаем TLS в Яндексе

2015-02-05 в 11:10, admin, рубрики: HTTPS, nginx, ocsp, TLS, Анализ и проектирование систем, Блог компании Яндекс, информационная безопасность, ит-инфраструктура, метки: https, https, ocsp, tls, tls

Я занимаюсь в Яндексе продуктовой безопасностью и, кажется, сейчас самое время подробнее, чем уже было на YaC, рассказать на Хабре о том, как мы внедряем TLS в Яндексе.

Использование HTTPS-соединений является важной частью безопасного веб-сервиса, так как именно HTTPS обеспечивает конфиденциальность и целостность данных на этапе передачи их между клиентом и сервисом. Мы постепенно переводим все наши сервисы только на HTTPS-соединение. Многие из них уже работают исключительно по нему: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги, а также все формы обратной связи, имеющие дело с персональными данными пользователей. Яндекс.Почта уже больше года даже обменивается данными с другими почтовыми сервисами по SSL/TLS, поддерживающими это.

Все мы знаем, что HTTPS — это HTTP, завернутый в TLS. Почему TLS, а не SSL? Потому что принципиально TLS — это более новый SSL, при этом название нового протокола наиболее точно характеризует его назначение. А в свете уязвимости POODLE можно официально считать, что SSL больше использовать нельзя.
Читать полностью »

Хостим персональный сайт на роутере

2015-01-16 в 4:39, admin, рубрики: linux, mikrotik, nginx, OpenWrt, Настройка Linux, хостинг

Доброго времени суток.

Пару недель назад я решил создать персональный сайт с несколькими страницами о себе, своих достижениях, целях и контактах. Разумеется, одним из этапов его создания стал вопрос выбора хостинга. Отдавать деньги за размещение сайта на чьём-то сервере мне не хотелось, да и оставлять свой домашний компьютер постоянно включенным тоже.

Поразмыслив, я вспомнил интересную статью о настройке сервера ip-телефонии Asterisk на маршрутизаторе Mikrotik. Так как у меня дома установлен роутер именно этого проиводителя, не раздумывая, я решил поднять на нём веб-сервер nginx.
Читать полностью »

Интеграция Fail2ban с CSF для противодействия DDoS на nginx

2015-01-07 в 13:35, admin, рубрики: ddos, Debian, fail2ban, linux, nginx, Настройка Linux

Интеграция Fail2ban с CSF для противодействия DDoS на nginx - 1 Набор скриптов ConfigServer Security & Firewall (CSF) изначально обладает достаточно богатыми возможностями по организации защиты сервера хостинга Web с помощью фильтра пакетов iptables. В частности с его помощью можно противостоять затоплению атакуемого хоста пакетами TCP SYN, UDP и ICMP слабой и средней силы. Дополняет CSF встроенный Login Failure Daemon (lfd), который осуществляет мониторинг журналов на предмет наличия многочисленных неудачных попыток авторизации в различных сетевых сервисах с целью подбора пароля. Такие попытки блокируются путем внесения адреса IP злоумышленника в черный список CSF.
Читать полностью »

Получаем IP-адреса HTTPS-клиентов с HAProxy (frontend) на Nginx (backend) в режимах HTTP и TCP-балансировки

2015-01-04 в 8:06, admin, рубрики: haproxy, HTTPS, nginx, proxy protocol, tcp, системное администрирование

Довольно часто требуется балансировать нагрузку между несколькими веб-серверами. При этом, как правило, необходимо, чтобы веб-приложения получали реальные IP-адреса клиентов, а не IP балансировщика.

В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка “X-Real-IP” и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].

Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2

Читать полностью »

Самый простой deploy приложения на Ruby on Rails

2014-12-16 в 16:28, admin, рубрики: capistrano, capistrano 3, deploy, deployment, nginx, ruby, ruby on rails, ruby on rails 4, unicorn, Веб-разработка, Настройка Linux

Полгода назад я написал пост Deploy приложения на RoR 4 с помощью Capistrano 3. Прошло время, я получил много положительных отзывов, но были и отрицательные. Из них можно было понять следующее:

Инструкция слишком сложная для новичка
Очень много всего приходится делать «руками»

Я подумал и написал gem 'capistrano3-ubuntu-server-config', который полностью настраивает Ваш «чистый» Ubuntu сервер. Всё, что Вам нужно сделать руками — создать нового пользователя и дать ему права visudo (причем давать ему права на passwordless sudo ему не надо). Он может:

Настроить SSH (Добавить настройки 'PermitRootLogin no', 'UseDNS no', 'AllowUsers username')
Создать и настроить swap (размер запрашивается)
Сделать
```
sudo apt-get update
```
и
```
sudo apt-get upgrade
```
Установить из исходников и настроить как чистый Nginx, так и с модулем Pagespeed
Установить PostgreSQL из репозитория, затем создать суперпользователя БД (имя пользователя и пароль запрашиваются)
Установить из исходников и настроить Redis
Установить RVM с последней версией Ruby и gem'ами Rails, Bundler
Скопировать Ваш приватный ssh ключ (например для доступа к приватному git репозиторию) с локальной машины на сервер и добавить его в ~/.ssh/config
Установить imagemagick из репозитория (Необходим для Paperclip, постоянно его забываю ставить)
Установить любые дополнительные пакеты из репозитория (Запрашивает какие именно)

Можно запустить конфигурационный wizard, который узнает, что именно из вышеперечисленного необходимо сделать и заранее спросит все настройки, чтобы можно было потом пойти попить кофе, а можно запустить отдельные таски. Данный gem будет полезен не только Rails разработчикам, а всем, кто использует Capistrano для деплоя.

Эта статья раскроет следующие темы:

Использование gem'a capistrano3-ubuntu-server-config
Использование gem'а capistrano3-git-push
Моя текущая миниатюрная конфигурация Capistrano

Читать полностью »

CloudFlare + nginx = кешируем всё на бесплатном плане

2014-12-06 в 21:42, admin, рубрики: CDN, CloudFlare, nginx

CloudFlare + nginx=кешируем всё на бесплатном плане - 1
В бесплатной версии Cloudflare все замечательно (ей-богу сказка!), но список кешируемых форматов файлов весьма ограничен.
К счастью кеширование всего подряд (до 512 Мб на файл) можно настроить в ~~одно~~ два действия.

Читать полностью »

WordPress для параноиков, часть 1

2014-12-03 в 12:27, admin, рубрики: location, nginx, PCRE, wordpress, настройка

Итак, если вы счастливый владелец nginx, знатный параноик и за каким-то чертом решили поставить wordpress, то… Первое, что пришло в голову — это «надо ограничить сему творению свободу!».

Настройки учетной записи, как и настройки php5-fpm, я опущу, так как у каждого свои тараканы, а кто-то вообще на apache запускает. Но вот общие для WordPress я опишу в этой части. Напишу о том, что сделал, что получилось и почему.
Читать полностью »

Свой tor2web-сервис при помощи Nginx и Lua

2014-11-14 в 8:57, admin, рубрики: Lua, nginx, ngx_lua, onion, onion2web, Tor, web-proxy, веб-прокси, Сетевые технологии

Tor

Обсудим, как сделать шлюз из Интернета в скрытые сайты Tor.
Читать полностью »

Пассивный фингерпринтинг для выявления синтетического трафика

2014-10-23 в 14:26, admin, рубрики: iptables, nginx, p0f, боты, веб-аналитика, системное администрирование

Я достаточно долгое время вынашивал идею рассмотреть клиентов публичного web-сервиса, браузер которых посылает заголовок User-Agent как у браузера в Windows, и которые при этом имеют все признаки сетевого стэка *nix-систем. Предположительно, в этой группе должна быть большая концентрация ботов, запущенных на недорогих хостингах для накрутки трафика или сканирования сайта.Читать полностью »

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Рубрика «nginx» - 28

Ограничение количества попыток ввода пароля в веб-форме авторизации при помощи Nginx или HAProxy на примере WordPress

Как и зачем мы делаем TLS в Яндексе

Хостим персональный сайт на роутере

Интеграция Fail2ban с CSF для противодействия DDoS на nginx

Получаем IP-адреса HTTPS-клиентов с HAProxy (frontend) на Nginx (backend) в режимах HTTP и TCP-балансировки

Самый простой deploy приложения на Ruby on Rails

CloudFlare + nginx = кешируем всё на бесплатном плане

WordPress для параноиков, часть 1

Свой tor2web-сервис при помощи Nginx и Lua

Пассивный фингерпринтинг для выявления синтетического трафика

Архив

Информация

Статьи из архивов

Обсуждаемое

Рекомендуем

Рубрика «nginx» - 28

Новости

Актуальные темы

Архив