С течение на времето, когато използваме сайт на живо Nginx забелязваме някакво странно поведение от някои IP адреси, обикновено тези адреси принадлежат роботи или злонамерени агенти които атакуват нашата услуга.
Въпреки че видяхме как да блокираме достъпа и трафика, използвайки Модул GeoIP, има и по -прост и по -директен начин за извършване на този тип ключалки, благодарение на това, ако нямаме Модул GeoIP налични можем да направим добър набор от правила, които ни позволяват да регулираме достъпа до нашия сайт.
Черен списък
Извършването на администриране на сървър предполага, че имаме определени политики, които гарантират сигурността на нашите данни, в допълнение към правилното изпълнение на нашите ресурси, пречка, пред която сме изправени, са атаки и масирани консултации от ботове, скриптове на изследовател или дори злонамерени агенти.
По горните причини трябва да управляваме черен списък, който ни позволява блокиране на IP адреси които знаем, че са структурирани и не се отнасят до органичен трафик за нашите сайтове, обслужвани от Nginx.
За да изградим тези черни списъци, можем да блокираме по IP или по набор от IP адреси, като по този начин можем да облекчим малко ситуацията и да имаме по -здравословно развитие на услугите.
Как да съставим черния списък?
За да изградим нашия черен списък, трябва да използваме правилата отричам Y позволява за да можем да посочим диапазоните на IP адресите, които да блокираме или просто да поставим конкретни адреси, това трябва да стане много внимателно, тъй като можем да блокираме повече потребители от желаното, ако не поставим правилото правилно.
Нека да видим на следващото изображение примерен код за това как да се направи основна конфигурация на блокиране на достъпа:
В кода виждаме как използваме отричам , за да посочите конкретен IP адрес и след това с позволяваме задаваме диапазон от адреси, използвайки подмаска / 24, Този пример се използва широко, когато сегментираме услуга в локална мрежа, така че отдел не може да се свърже с услугата, която хоства Nginx.
ВажноДруг аспект, който можем да комбинираме, когато използваме този тип ключалки, е да знаем каква грешка трябва да им изпратим, например, ако блокираме възможни атаки, най -добре е да хвърлим грешка 404 страница не е намерена за да не се стимулира по -силна атака, ако нападателят знае, че им е отказано влизане, но в локална мрежова среда може би най -идеалното е да посочим с 403, който има достъп до забранена зона.
За да завършим този урок, виждаме, че извършването на този тип заключване е много просто и не зависим от други модули, благодарение на това със стандартна или намалена инсталация на Nginx ще можем да прилагаме нашите политики за сигурност.
Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка