Настраиваем fail2ban: защита от DoS и подбора паролей
HTML-код
- Опубликовано: 9 фев 2021
- Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной поддержкой сайтов более 19 лет, мы накопили значительный опыт, которым готовы делиться с помощью наших видео. Так что присоединяйтесь, будет интересно!
Профессиональная поддержка сайтов: www.methodlab.ru/price/suppor...
Тестирование скорости сайтов: xn--80aanaoiczhuihpc.xn--p1ai/
Сервис оптимизации картинок: www.fotorubka.ru/
Группа "Ускорение сайтов" в VK: sitespeedup
Метод Лаб в VK: methodlab
Не забываем писать вопросы в комментах!
про limit_zone что бы оно работало надо Nginx пересобирать так ?
@@egorgorbachev Нет, это стандратный модуль, обычно он есть в поставке.
@@NickLavlinsky ага спасибо но если будет повтор темы этой ) то будет супер
@@egorgorbachev Пожалуйста: ruclips.net/video/S5kB0_mACJQ/видео.html
Благодарю за полезное видео
Спасибо.
ого как тема. больше админских тем!
Спасибо за видео и ваши труды! Есть пожелание...
Снимайте больше видео для нубов и чайников.
Вот например мне интересна вся эта тематика со стороны пользователя. Я бы хотел понимать для чего мне все эти инструменты, какие из них лучше и почему. Так же хотелось бы понимать как проверить результат работы специалиста, различные инструменты и метрики. На просторах ютуба на эту тематику вообще нет видео.
Вот здесь подробнее нужно: вы какой пользователь? У вас есть проект и вы за него отвечаете, но не являетесь техническим специалистом?
@@NickLavlinsky у меня свой сайт. Лично мне интересно узнавать какие сервера лучше, какие панели управления, как защитить свой сайт, что хорошего в CDN, что такое Apache и Nginx (но на уровне пользователя). Так же интересны обзоры и метрики. Так же хотелось бы понимать как понять что исполнитель настроил все правильно....ну тп
Спасибо за классное видео. У меня почему-то ipset всегда показывает timeout 0 . Вот не пойму почему .
Я правильно понимаю, что это имеет смысл применять в случае если nginx обращается к php-fpm. А если он отдает статические файлы то есть смысл?
В джейле [sshd] 9:20 всё будет работать по умолчанию, а в джейле [proftpd] 10:10 заметьте что нет enable значит он не включён. Так как понять в каком случае надо ставить enable, а в каком нет?
Здравствуйте Николай. Спасибо за видео.
Вопрос такой: из какого слоя OSI limitreq берёт значение реального ip адреса?
Можно ли как-то повлиять на значение IP адреса, который limitreq считает реальным?
Это вопрос в контексте связви nginx limitreq + fail2ban + cloudflare. Я задавал вопрос об этом в другом видео. У меня пока не получилось это решить.
Проблема в том что находязь за cloudflare limitreq все внутренние адреса этого сервиса воспринимает как реальные и банит их. В переменной $binary_remote_addr всегда хранится один из внутренних адресов cloudflare. В то время как без limitreq, nginx нормально обрабатывает все запросы и значение reail_ip берет из заголовков.
IP всегда в одном уровне OSI. Читайте доки, поставьте ключом realip: nginx.org/ru/docs/http/ngx_http_limit_req_module.html#limit_req_zone
Настроил на сервере openvpn и закрыл 22й порт фаерволом, а подключения разрешил только с интерфейса tun (с которого идут пакеты openvpn), проблема ботов была решена решена.
Хорошее решение, пока работает OpenVPN.
Wordpress не работает с такими настройками ограничения трафика Nginx
Если говорить глобально, то лимиты нужно подбирать индивидуально для проекта, не нужно копировать настройки из видео, они могут вам не подойти.
увы, но f2b уже не торт. в него навернули столько свистелок и перделок, что применять его можно в таком виде только нигде.
А чем вы пользутесь? Может какие алтернативы подскажете?
А чем защищаться владельцам к примеру игровых серверов?) У меня мощное железо с огромным запасом, тоесть сам игровой сервер может использовать лишь 30% мощности в пиковой нагрузке, тобишь 70% мощности сервера запас в простое. Интернет канал в 500 мегабит, навороченный роутер с межсетевым экраном за конские бабки. Но пара ip стрессеров укладывают его без проблем, не всегда ложат, в большинстве сервер увеличивает задержку. Как защититься хотябы от этих любителей, речь конечно не идет о профи с бот нетом, им игровые проекты в целом не интересны и цены пусуточные за это дело платить мало кто готов. Не нада только предлагать мне переезд в дата центр, я вас прошу. Еще этот виндовс сервер который вообще при любой атаке начинает кашлять и чихать, линукс куда интереснее, но ядро сервера умеет работать только с виндовс.
Используйте специальные сервисы защиты, например qrator
Не рекомендую ставить Fail2Ban в качестве защиты от Dos атак через nginx, если у вас более тысячи запросов в секунду он просто съест всё ЦП и убьёт сервер. В интернете уже давно есть большое количество более оптимизированных решений, в том числе от обычных пользователей.
Посоветуйте, что, по вашему мнению, является более лучшим решением