De-a lungul timpului, când avem un site live folosind Nginx observăm un comportament ciudat al unor adrese IP, în general aceste adrese aparțin roboți sau agenți rău intenționați care ne atacă serviciul.
Deși am văzut cum să blocăm accesul și traficul folosind Modul GeoIP, există, de asemenea, o modalitate mai simplă și mai directă de a efectua acest tip de încuietori, datorită acestui fapt, dacă nu avem Modul GeoIP disponibile, putem face un set bun de reguli care ne permit să reglementăm accesul la site-ul nostru.
Lista neagră
Efectuarea administrării unui server implică faptul că avem anumite politici care garantează securitatea datelor noastre, pe lângă asigurarea performanței corecte a resurselor noastre, un obstacol cu care ne confruntăm sunt atacurile și consultările masive de către roboți, scripturi de explorare sau chiar agenți rău intenționați.
Din motivele de mai sus trebuie să gestionăm o listă neagră care ne permite blocați adresele IP despre care știm că sunt structurate și nu se referă la traficul organic pentru site-urile noastre deservite de Nginx.
Pentru a construi aceste liste negre, putem bloca prin IP sau prin set de adrese IP, în acest fel putem atenua puțin situația și putem dezvolta servicii mai sănătoase.
Cum se construiește lista neagră?
Pentru a construi lista noastră neagră trebuie să folosim regulile nega Da permite astfel încât să putem specifica intervalele IP-urilor de blocat sau pur și simplu să plasăm adrese specifice, acest lucru trebuie făcut foarte atent, deoarece putem bloca mai mulți utilizatori decât dorim dacă nu plasăm regula corect.
Să vedem în imaginea următoare un exemplu de cod despre cum să faci o configurație de bază a blocarea accesului:
În cod vedem cum folosim nega pentru a specifica un anumit IP și apoi cu permitem specificăm o gamă de adrese folosind sub-mască / 24, Acest exemplu este utilizat pe scară largă atunci când segmentăm un serviciu într-o rețea locală, astfel încât un departament să nu se poată conecta la serviciul pe care îl găzduiește Nginx.
ImportantUn alt aspect pe care îl putem combina atunci când folosim acest tip de blocare este să știm ce eroare ar trebui să aruncăm asupra lor, de exemplu, dacă blocăm atacuri posibile, cel mai bine este să aruncăm o eroare 404 Pagina nu a fost găsită pentru a nu stimula un atac mai puternic dacă atacatorul știe că li se refuză intrarea, dar într-un mediu de rețea local poate cel mai ideal este să indicăm cu un 403 care accesează o zonă restricționată.
Pentru a finaliza acest tutorial vedem că efectuarea acestui tip de blocare este foarte simplă și nu depindem de alte module, datorită acestui lucru cu o instalare standard sau redusă a Nginx vom putea implementa politicile noastre de securitate.
V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
