Блокировка доступа к NGINX
Веб-окружение / Nginx
11 минут read (About 1693 words)

Блокировка доступа к NGINX

Способы ограничения доступа к ресурсу в NGINX

Блокировка по User Agent`у

Я использую эту технику, прежде всего, для защиты от роботов, которые игнорируют настройки в моем файле robots.txt.

if ($http_user_agent ~ "Windows 95|Windows 98|xpymep|TurnitinBot|sindice|Purebot|libwww-perl")  {                                                                
  return 403;                                                                                                                                                                                    
  break;                                                                                                                                                                                         
}

Я выбрал для блокирования libwww-Perl, потому что в последние несколько лет, я не видел ни GET или POST по libwww-Perl, вероятно пробовали использовать какую-то уязвимость ПО.

Блокировка по IP-адресу

deny 85.17.26.68;     # spam
deny 85.17.230.23;    # spam
deny 173.234.11.105;  # junk referrers
deny 173.234.31.9;    # junk referrers
deny 173.234.38.25;   # spam
deny 173.234.153.30;  # junk referrers
deny 173.234.153.106; # spam
deny 173.234.175.68;  # spam
deny 190.152.223.27;  # junk referrers
deny 195.191.54.90;   # odd behaviour, Mozilla, doesnt fetch js/css. Ended up doing a POST, prob a spambot
deny 195.229.241.174; # spammy comments
deny 210.212.194.60;  # junk referrers + spam

Блокировка по запросу

Кроме того, можно заблокировать доступ на основе информации которая отправляется в заголовках HTTP.

if ($http_referer ~* (viagra|sex|porn|) ) {
  return 403;
}

Я использую ключ ~* для того чтобы предотвратить запрос GET по указанным словам во всей строке.

Блокировка по подсети

deny 69.28.58.0/24;   # spam
deny 79.142.64.0/20;  # spam
deny 80.67.0.0/20;    # spam

Блокировка по геолокации

Мы можем заблокировать целые страны, основанные на данных GeoIP предоставляемых MaxMind.
Необходимо, чтобы NGINX имел модуль GeoIP.
Во-первых, вы должны обозначить NGINX где база данных GeoIP находится в файловой системе.
Вы можете сделать это внутри HTTP {};
Конфигурация блока:

geoip_country /etc/nginx/GeoIP.dat;

Теперь сообщаем NGINX страны которые необходимо заблокировать:

if ($geoip_country_code ~ (BR|CN|KR|RU) ) {
  return 403;
}

Блокировка по паролю

В конфигурационном файле, в папке, которую хотим закрыть надо только указать файл, где хранятся пароли. Вот два примера для закрытия папки с файлами:

location ^~ /files/ {
          root   /path/to/server;
          autoindex    on;
          autoindex_exact_size  off;
          auth_basic "Hello, please login";
          auth_basic_user_file /usr/nginx/passwords;
          access_log   /usr/nginx/logs/files.log   download;
      }

либо админки с ограничением по IP-адресу:

location ^~ /admin/ {
            fastcgi_pass unix:/home/project/server.sock;
            include  conf/fastcgi.conf;
            allow 11.11.0.0/16;
            allow 22.22.22.22;
            deny all;
            auth_basic "Hello, Admin, please login";
            auth_basic_user_file /usr/nginx/adminpassword;
            access_log   /usr/nginx/logs/admin.log  main;
}

Добавить пользователя можно с помощью стандартной утилиты от apache:

htpasswd -b passwords NewUser NewPassword

В файле запись с зашифрованным паролем имеет вид NewUser:P47ghZ4kloG78: #Your Can Comment Here

Защиту от перебора паролей можно организовать одновременно двумя методами, основанными на использовании iptables:

  • Блокирование IP на время, если количество запросов в секунду превышает какое-либо разумное количество
  • Вести лог неудачных попыток подбора пароля и скриптом раз в минуту проверять лог и заносить IP адреса в iptables

Для первого варианта достаточно создать правила:

iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW
            -m recent --name bhttp --set
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW
            -m recent --name bhttp --update --seconds 120 
            --hitcount 360 -j DROP
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -j ACCEPT

Можно вместо DROP использовать TARPIT, чтобы усложнить жизнь ломателям.

Для второго варианта надо добавить в конфиг:

location /401.html {
            root   /usr/nginx;
            access_log   /usr/nginx/logs/denied.log  error401;
        }

Формат error401, у меня например такой:

log_format error401  '$remote_addr - $remote_user [$time_local] '
                     '$status "$request"';
# nginx, security
Ошибка NGINX - 413 Request Entity Too Large
Установка Icecast на Centos

Комментарии

Подписаться

ссылки

недавние

теги

apache 3
archlinux 5
asterisk 2
backup 5
bareos 6
bind 1
centos 59
ceph 11
cisco 17
cluster 15
dns 5
elasticsearch 1
elementaryos 2
firewall 8
freebsd 1
gentoo 2
git 6
glusterfs 1
icinga 8
juniper 2
kibana 1
kvm 19
logstash 1
lsyncd 1
macos 4
monitoring 20
mysql 30
networks 38
nginx 23
observium 4
opennebula 14
openvswitch 4
postgresql 1
raid 11
redmine 1
security 39
troubleshooting 48
ubuntu 1
virtualization 40
vmware 18
vnc 2
vpn 3
vsan 1
vyos 6
windows 8
zabbix 2

недавние

теги

apache 3
archlinux 5
asterisk 2
backup 5
bareos 6
bind 1
centos 59
ceph 11
cisco 17
cluster 15
dns 5
elasticsearch 1
elementaryos 2
firewall 8
freebsd 1
gentoo 2
git 6
glusterfs 1
icinga 8
juniper 2
kibana 1
kvm 19
logstash 1
lsyncd 1
macos 4
monitoring 20
mysql 30
networks 38
nginx 23
observium 4
opennebula 14
openvswitch 4
postgresql 1
raid 11
redmine 1
security 39
troubleshooting 48
ubuntu 1
virtualization 40
vmware 18
vnc 2
vpn 3
vsan 1
vyos 6
windows 8
zabbix 2
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×