Zippy1970's questions

使用 Linux Debian Bookworm。

问题

我想阻止来自特定国家/地区的所有传入连接到我的服务器。

编辑

正如有人在评论中指出的那样，我真的不应该使用 iptables 这样做，因为一旦它阻止的 IP 地址列表增长到无法管理的大小（例如数千个 IP 地址），这将使我的服务器停止运行。相反，我应该使用ipset（阻止整个范围）。问题在于它取决于我需要定期下载的列表。我想要我设置过一次的东西（最好）。

那么如何阻止来自特定国家/地区的连接呢？来自中国和俄罗斯的流量（有时是暴力攻击）正在失控。他们经常让我的服务器瘫痪。他们不遵守 robots.txt 文件，并且非常积极地抓取网站（同时有数百个、有时数千个连接）。我真的需要阻止这种情况。我的猜测是，我的服务器处理的所有流量中 90% 以上都是恶意/格式错误的。

编辑2

我找到了一些在线教程（比如这个）如何做到这一点，但这些教程似乎很旧。此外，它还需要下载和编译/安装一些模块。我担心这可能会在未来中断（当更新/升级其他软件包甚至发行版时）或者可能成为未来的安全风险。我使我的服务器保持最新状态（通过定期运行 apt-get update / apt-get Upgrade / apt-get dist-upgrade ）。

原始信息

我在网上找到了一个脚本（简而言之）每秒获取已建立连接的 IP 地址列表，然后使用 geoiplookup 获取 IP 地址的国家/地区。如果国家/地区位于您想要阻止的国家/地区列表中，它会使用 iptables 将 IP 地址添加到您的防火墙过滤器中。我对脚本做了一些细微的更改（使其更具可读性，因为我对这个脚本每次阻止 IP 地址时都会向我发送电子邮件不感兴趣）。然后该脚本通过 crontab 每分钟运行一次：

#!/bin/bash
# Script found on lautenbacher.io"

end=$((SECONDS+55))

while [ $SECONDS -lt $end ]; do
  echo $SECONDS
  netstat -ant | egrep ':.*ESTABLISHED' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c > testcc.txt
  sed 's/^[ t]*//' -i testcc.txt
  sed '/^$/d' -i testcc.txt

  while read c d; do

    if [[ $c > "0" ]]; then
      bGF1dGVuYmFjaGVyLmlv=$(geoiplookup $d | awk -v ip="$d" '{FS=" "} {if($4 == "RU," || $4 == "CN," || $4 == "BLR,") {print 1}}')

      if [[ $bGF1dGVuYmFjaGVyLmlv = "1" ]]; then
        echo "running geolookup"
        echo checking ip $d
        geoiplookup $d

        isCloudflare=0
        # The original script made an exception for CLOUDFLARE. I don't want that exception
        # bGF1dGVuYmFjaGVyLmlX=$(whois $d)
        # if [[ "$bGF1dGVuYmFjaGVyLmlX" == *"CLOUDFLARE "* ]]; then
        #  isCloudflare=1
        #  echo Cloudflare detected
        # fi

        if [[ "$isCloudflare" != 1 ]]; then
          echo try to add ip $d to blocklist
          sudo iptables -I INPUT -s $d -j DROP
          ### I would like to sever the connection here ###
        fi

      fi

    fi
  done < testcc.txt

  sleep 1
    :
done

顺便说一句，我不知道为什么脚本的作者使用如此奇怪的变量名称（“bGF1dGVuYmFjaGVyLmlv”）。

无论如何，问题是每当它发现与来自被禁止国家的 IP 地址的连接时，它就会运行

sudo iptables -I INPUT -s $d -j DROP

在IP地址上。这一切都很好，但大多数连接都有些持久，这意味着一秒钟后会找到相同的 IP 地址并再次使用 iptables 添加。我不确定会发生什么（它会创建重复的规则吗？），但我想在使用 iptables 添加 ipaddress 后立即删除连接。

简而言之：如何终止具有 IP 地址的连接？

今天我将我的网络服务器从 Debian Buster 升级到 Bullseye，这实际上是一个非常简单的升级。在我尝试访问服务器上的几个 WordPress 站点之前，一切似乎都正常。起初我收到一些关于缺少 MySQL 模块的错误。我从 PHPMyAdmin 收到的错误消息给了我一个更好的线索：它说它缺少 mysqli 模块。

所以我安装了它， apt install php7.4-mysqli 这实际上让我的 WordPress 网站再次运行。

然而，现在唯一的问题是我无法更新 Wordpress。每次我尝试更新 WordPress 时，都会出现错误：

我怀疑我需要安装suphp。但在我这样做之前，任何人都可以确认情况确实如此吗？还是在从 Buster 升级到 Bullseye 后我需要做其他事情？

编辑： 我花了很长时间才弄清楚到底发生了什么。现在我知道了，我不知道如何解决这个问题。

WP给出的错误消息实际上是不正确的。事实证明，它能够在正确的文件夹中很好地解压缩更新。但是当它检查文件是否真正解包时，它会出错。问题在于update-core.php中的这段代码：

foreach ( $roots as $root ) {
  if ( $wp_filesystem->exists( $from . $root . 'readme.html' )
    && $wp_filesystem->exists( $from . $root . 'wp-includes/version.php' )
  ) {
    $distro = $root;
    break;
  }
}
    
if ( ! $distro ) {
  $wp_filesystem->delete( $from, true );
  return new WP_Error( 'insane_distro', __( 'The update could not be unpacked.' ) );
}

它在这里所做的只是检查它刚刚将 zip 文件解压缩到的文件夹中是否存在两个文件。这失败了。原因如下：

我使用 FTP 方法安装更新。因此，当我告诉它更新时，它首先会确定应该将 zipfile 下载到的文件夹。此文件夹存储在$working_dir中，并从那时起用于其余的更新过程。服务器上的真实路径是，/domains/domainname.com/htdocs/wp-content/upgrade/但是由于 FTP 用户是 chroot 的，WP 会查找并存储/htdocs/wp-content/upgrade/。更新文件下载到此文件夹，然后解压缩。

接下来它会进行上述检查。这失败了，因为它试图在/htdocs/wp-content/upgrade/真实位置为/domains/domainname.com/htdocs/wp-content/upgrade/.

我理解为什么它可以很好地下载软件包（因为 FTP 用户是 chroot 的）。但我不明白为什么它在解压之后没有失败，但是在检查文件是否存在时它确实失败了......

我检查了所有 php 设置，并没有发现与 Debian 升级之前的设置有什么不同……

也许是一个简单的问题，也许是一个愚蠢的问题，但我找不到答案......

每当我这样做

apt-get update
apt-get upgrade

我明白了

The following packages have been kept back:
  linux-image-amd64

Sooooo，这里到底发生了什么？

我正在复制远程网络服务器并使用 rsync 传输文件：

rsync -rvz --ignore-existing -e ssh . root@(localip):/usr/files

传输 115GB 的文件花了大约 12 个小时才发现我忘记了“-a”选项。所以现在我有 115GB 的文件拥有错误的所有者/组和权限。

有没有办法使用 rsync 所以它只更新所有者/组/权限而不再次传输文件？