Postupem času, kdy máme k dispozici živý web Nginx u některých IP adres zaznamenáváme podivné chování, obecně tyto adresy patří roboti nebo zákeřní agenti které útočí na naši službu.
Ačkoli jsme viděli, jak blokovat přístup a provoz pomocí Modul GeoIP, existuje také jednodušší a přímější způsob provádění tohoto typu zámků, díky tomu, pokud nemáme Modul GeoIP k dispozici můžeme vytvořit dobrý soubor pravidel, která nám umožní regulovat přístup na naše stránky.
Černá listina
Provádění správy serveru znamená, že máme určité zásady, které kromě zajištění správného výkonu našich zdrojů zaručují také bezpečnost našich dat. Překážkou, se kterou se potýkáme, jsou útoky a rozsáhlé konzultace ze strany roboty, skripty průzkumníků nebo dokonce škodlivé programy.
Z výše uvedených důvodů musíme spravovat černou listinu, která nám to umožňuje blokovat IP adresy o kterých víme, že jsou strukturované a netýkají se organického provozu na našich stránkách, které obsluhují Nginx.
Abychom vytvořili tyto černé listiny, můžeme blokovat podle IP nebo podle sady IP adres, tímto způsobem můžeme situaci trochu zmírnit a mít zdravější vývoj služeb.
Jak vytvořit černou listinu?
K vytvoření naší černé listiny musíme použít pravidla odmítnout Y dovolit abychom mohli specifikovat rozsahy IP k blokování nebo jednoduše umístit konkrétní adresy, musí to být provedeno velmi opatrně, protože pokud pravidlo neumístíme správně, můžeme zablokovat více uživatelů, než je požadováno.
Podívejme se na následujícím obrázku na ukázkový kód, jak provést základní konfiguraci blokování přístupu:
V kódu vidíme, jak používáme odmítnout zadat konkrétní IP a poté pomocí allow specifikujeme rozsah adres pomocí dílčí maska / 24„Tento příklad je široce používán, když segmentujeme službu v rámci místní sítě, takže se oddělení nemůže připojit ke službě, kterou hostuje Nginx.
DůležitéDalším aspektem, který můžeme při používání tohoto typu zámků kombinovat, je vědět, jakou chybu bychom na ně měli hodit, například pokud blokujeme možné útoky, je nejlepší hodit chybu 404 Stránka nenalezena aby nestimulovali silnější útok, pokud útočník ví, že jim byl odepřen vstup, ale v prostředí místní sítě je asi nejideálnější, že označíme 403, který má přístup do omezené oblasti.
Na konci tohoto tutoriálu vidíme, že provádění tohoto typu zámku je velmi jednoduché a nezávisíme na jiných modulech, díky tomu se standardní nebo omezenou instalací Nginx budeme moci implementovat naše zásady zabezpečení.
Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
