Início / user-3411

Abs's questions

Martin Hope
Abs
Asked: 2017-08-30 05:15:43 +0800 CST
  • 0

Eu executei o script abaixo em uma nova Ubuntu 14.04.5 x64caixa. Funciona até o ponto em que o apache bloqueia meu endereço IP para muitas solicitações, conforme o esperado. No entanto, meu endereço IP não é adicionado ao iptables. Acabei de receber um padrão 403, mas gostaria que os pacotes fossem descartados sem erros.

Eu acho que o problema é uma permissão em que apachenão é possível executar arquivos ip-tables. Mas não consigo descobrir, pois dei ao apacheusuário www-dataa capacidade de executar iptableso sudoersarquivo.

Qualquer ajuda apreciada, eu estive brincando com isso o dia todo!

#!/bin/sh

apt-get update
apt-get -y install apache2

# Install mod evasive
apt-get -y install libapache2-mod-evasive

# Enable it
a2enmod evasive
a2enconf evasive

# Create log directory
mkdir /var/log/mod_evasive
chown -R www-data:www-data /var/log/mod_evasive

# Config for mod evasive
cat <<'EOF' > /etc/apache2/mods-available/evasive.conf
  <IfModule mod_evasive20.c>
      DOSHashTableSize     3097

      # Allow 5 requests for the same resource request per second. Per-IP
      DOSPageCount          5
      DOSPageInterval       1

      # Allow up to 50 requests across the domain per second. Per-IP
      DOSSiteCount          50
      DOSSiteInterval       1

      # Block user by IP for 60 minutes
      DOSBlockingPeriod     60

      DOSSystemCommand      "sudo /usr/local/bin/ban_ip.sh %s"

      DOSLogDir             /var/log/mod_evasive
      DOSWhitelist          188.88.90.71
      DOSWhitelist          188.88.90.72
      DOSWhitelist          188.88.90.73
  </IfModule>
EOF

# Config for banning users
cat <<'EOF' > /usr/local/bin/ban_ip.sh
#!/bin/sh

# Offending IP as detected by mod_evasive
IP=$1

# Path to iptables binary executed by user www-data through sudo
IPTABLES="/sbin/iptables"

# mod_evasive lock directory
MOD_EVASIVE_LOGDIR=/var/log/mod_evasive

# Add the following firewall rule (block IP)
sudo $IPTABLES -I INPUT -s $IP -j DROP

# Unblock offending IP after 2 hours through the 'at' command; see 'man at' for further details
echo "sudo $IPTABLES -D INPUT -s $IP -j DROP" | sudo at now + 1 minute

# Remove lock file for future checks
sudo rm -f "$MOD_EVASIVE_LOGDIR"/dos-"$IP"
EOF

echo 'www-data ALL=NOPASSWD: /sbin/iptables *, /usr/bin/at *' | EDITOR='tee -a' visudo
iptables
Martin Hope
Abs
Asked: 2015-03-24 04:14:58 +0800 CST
  • 1

Estou usando o seguinte para forçar o HTTPS no meu site principal.

### Force SSL
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Se você quiser ver o arquivo htaccess completo, coloquei abaixo:

<IfModule mod_rewrite.c>

    RewriteEngine On
    RewriteBase /

    ### Blacklist via Referrers

    RewriteCond %{HTTP_REFERER} removed\.net [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.net [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.sx [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.com [NC,OR]
    RewriteCond %{HTTP_REFERER} removed\.org [NC]
    RewriteRule ^(.*)$ - [F,L]

    ### Force SSL
    #RewriteCond %{HTTPS} !=on
    #RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    ### Canonicalize codeigniter URLs

    # If your default controller is something other than
    # "welcome" you should probably change this
    RewriteRule ^(welcome(/index)?|index(\.php)?)/?$ / [L,R=301]
    RewriteRule ^(.*)/index/?$ $1 [L,R=301]

    # Removes trailing slashes (prevents SEO duplicate content issues)
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.+)/$ $1 [L,R=301]

    # Enforce NO www
    RewriteCond %{HTTP_HOST} ^www [NC]
    RewriteRule ^(.*)$ https://removed.com/$1 [L,R=301]

    # Removes access to the system folder by users.
    # Additionally this will allow you to create a System.php controller,
    # previously this would not have been possible.
    # 'system' can be replaced if you have renamed your system folder.
    RewriteCond %{REQUEST_URI} ^system.*
    RewriteRule ^(.*)$ /index.php/$1 [L]

    # Checks to see if the user is attempting to access a valid file,
    # such as an image or css document, if this isn't true it sends the
    # request to index.php
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*)$ index.php/$1 [L]

</IfModule>

<IfModule !mod_rewrite.c>

    # Without mod_rewrite, route 404's to the front controller
    ErrorDocument 404 /index.php

</IfModule>

Estou lutando para descobrir como o loop de redirecionamento está acontecendo.

Atualizar

Não deixei claro que meu servidor web (Apache) está configurado apenas com um host virtual na porta 80 que recebe o tráfego HTTP e HTTPS direcionado a ele pelo balanceador de carga. O balanceador de carga lida com a conexão SSL.

ssl
Martin Hope
Abs
Asked: 2013-05-30 12:34:27 +0800 CST
  • 99

Recebo o seguinte erro em meus arquivos de log toda vez que tento fazer upload de um arquivo grande.

a client request body is buffered to a temporary file /var/lib/nginx/body/0000000001

Embora o arquivo seja carregado com sucesso, sempre recebo o erro acima.

Aumentei o client_body_buffer_sizeque 1000mé o que espero que seja o maior arquivo enviado. No entanto, isso é apenas um palpite e, embora eu não receba mais esse erro, estou querendo saber se esse é um valor apropriado para definir para o client_body_buffer_size?

Agradeceria se alguém pudesse lançar alguma luz sobre esta diretiva e como ela deve ser usada.

nginx