fail2ban a apache

AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Rust 1.93.0

dnes 16:55 | Nová verze

Byla vydána verze 1.93.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

ReactOS slaví 30. narozeniny

dnes 14:00 | Komunita

Svobodný operační systém ReactOS (Wikipedie), jehož cílem je kompletní binární kompatibilita s aplikacemi a ovladači pro Windows, slaví 30. narozeniny.

Ladislav Hagara | Komentářů: 3

Raspberry Pi Flash Drive

dnes 11:00 | IT novinky

Společnost Raspberry Pi má nově v nabídce flash disky Raspberry Pi Flash Drive: 128 GB za 30 dolarů a 256 GB za 55 dolarů.

Ladislav Hagara | Komentářů: 2

Technologie Skip pro multiplatformní mobilní vývoj je nově open source

dnes 10:22 | Zajímavý software

Technologie Skip pro multiplatformní mobilní vývoj, která umožňuje vývojářům vytvářet iOS a Android aplikace z jediné Swift a SwiftUI kódové základny, se s vydáním verze 1.7 stala open source.

Ladislav Hagara | Komentářů: 2

Algoritmus "Pro vás" sociální sítě X

dnes 03:33 | Zajímavý software

Na GitHubu byl zveřejněn algoritmus "Pro vás" sociální sítě 𝕏.

Ladislav Hagara | Komentářů: 1

Pale Moon 34.0.0

dnes 00:11 | Nová verze

Byla vydána nová major verze 34.0.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Desktopové prostředí Win8DE

včera 16:11 | Humor

Win8DE je desktopové prostředí pro Wayland, inspirované nechvalně proslulým uživatelským rozhraním Metro z Windows 8. Nabízí dlaždicové rozhraní s velkými tlačítky a jednoduchou navigací, optimalizované pro dotyková zařízení. Cílem projektu je přetvořit design operačního systému Windows 8 do funkčního a minimalistického rozhraní vhodného pro každodenní použití na Linuxu.

NUKE GAZA! 🎆 | Komentářů: 11

Datovka 4.28.0 a Mobilní Datovka 2.6.0

včera 14:33 | Nová verze

Laboratoře CZ.NIC vydaly Datovku 4.28.0 a Mobilní Datovku 2.6.0. Hlavní novinkou je ukládání rozpracovaných datových zpráv do konceptů. Datovka je svobodné multiplatformní aplikace pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi.

Ladislav Hagara | Komentářů: 6

Karetní hra 'Unix Pipe Game'

včera 14:22 | Zajímavý projekt

Unix Pipe Game je vzdělávací karetní hra zaměřená na děti a rodiče, která děti učí používat unixové příkazy prostřednictvím interaktivních úkolů. Klíčovým prvkem hry je využití symbolu | pro pipeline neboli 'rouru', který umožňuje propojit výstupy a vstupy jednotlivých unixových příkazů, v tomto případě vytištěných na kartičkách. Předpokládá se, že rodič má alespoň nějaké povědomí o unixových příkazech a jejich provazování pomocí |.

… více »

NUKE GAZA! 🎆 | Komentářů: 3

PCIem

včera 13:55 | Zajímavý software

PCIem je linuxový framework, který vytváří virtuální zařízení PCIe pomocí technik, které umožňují hostitelskému operačnímu systému rozpoznat tyto syntetické 'neexistující' karty jako fyzické zařízení přítomné na sběrnici. Framework PCIem je primárně zamýšlen jako pomůcka pro vývoj a testování ovladačů bez nutnosti použít skutečný hardware. Dle tvrzení projektu si fungování PCIem můžeme představit jako MITM (Man-in-the-Middle), který se nachází mezi ovladači a kernelem.

NUKE GAZA! 🎆 | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 17, poslední dnes 15:24

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / OpenStreetMap / fail2ban a apache

Štítky: Apache, AWK, data, For, grep, log, PHP, port, problém, programování, sed, skript, SSH, Su, www, změna

fail2ban a apache

7.3.2015 18:26 | Přečteno: 1182× | poslední úprava: 7.3.2015 21:00

Na mojom webe www.oma.sk sa občasne vyzurujú nejaký crawleri. Trošku mi uniká dôvod prečo si taliani sťahujú webstránku po Slovensku a po slovensky, ale čo už. Ako sa brániť?

Skúšal som merať koľko ktorá IP zaberie času (trošku problém ukladať dáta medzi sessions ale APC pomohlo). Ale neriešilo to problém.

Momentálne sa snažím použiť fail2ban a blokovať tých čo využívajú veľa procesorového času. Potreboval som tri kroky: ukladať dĺžku spracovania requestu, zrátať za posledných 5 minút a blokovať.

Ukladanie dĺžky

zmena konfiguráku apache aby ukladal dĺžku čo trvalo spracovanie (teda najmä PHP a postgres). Niektoré stránky sú rýchlo (bo sú v cache), ale niektoré sú dosť pomalé.

LogFormat "%h - - %t %s %D %V%U" testovaci
CustomLog /var/log/httpd/test-oma.sk.log testovaci

Rátanie celkovej dĺžky

do cronu daný shell skript (pričom číslo 212605775 je moja magická konštanta ktorá ešte neblokuje slušných robotov, ale blokuje tých zlých).

#!/bin/sh
export LC_ALL=en_GB.utf8
dd="%d/%b/%Y:%H:%M"
d0=`date +$dd`
d1=`date -d '1 minute ago' +$dd`
d2=`date -d '2 minute ago' +$dd`
d3=`date -d '3 minute ago' +$dd`
d4=`date -d '4 minute ago' +$dd`

da="$d0\|$d1\|$d2\|$d3\|$d4";
#echo $d
IFS="
";
d=`date --rfc-3339='seconds'`
#echo "$d :: 194.187.168.25" > /var/log/httpd/dos-oma.log

for i in `cat /var/log/httpd/test-oma.sk.log |grep -v '.ico\|.png\|.jpg\|.js' | grep "$da" | awk 'BEGIN { FS=OFS=SUBSEP=" "}{arr[$1]+=$7 }END {for (i in arr) print arr[i],i}' |sort -g|tail`; do
        l=`echo $i | sed 's/ .*//'`
        if [ `echo "$l > 212605775" |bc` -eq 1 ]; then
                echo $i | sed "s/.* /$d :: /" >> /var/log/httpd/dos-oma.log
        fi
done

Fail2ban konfig

Naj problém bol dať dátum/čas do logu, aby to fail2ban zvládal (viď date --rfc-3339='seconds' hore), nie je to moc dokumentované. Potom to už šlo. Filter filter.d/apache-dos.filter :

[Definition]
failregex = ^.* <HOST>$

a jail (popri ostatných typu ssh a pod):

[oma-dos]
enabled = true
filter  = apache-dos
port     = http,https
logpath  = /var/log/httpd/dos-oma.log
maxretry = 1
findtime = 60

asi by to išlo aj elegantnejšie, teším sa na komentáre.

Hodnocení: 67 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

7.3.2015 22:30 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: fail2ban a apache

Odpovědět | Sbalit | Link | Blokovat | Admin

Na mojom webe www.oma.sk sa občasne vyzurujú nejaký crawleri. Trošku mi uniká dôvod prečo si taliani sťahujú webstránku po Slovensku a po slovensky, ale čo už. Ako sa brániť?

Spíš mi uniká důvod, proč se tomu bránit. Většina těhle crawlerů jsou vyhledávače a tímhle efektivně odřízneš ty italské.

blog.rfox.eu | DREAMLAND

7.3.2015 22:55 michal00 | skóre: 14 | blog: OpenStreetMap
Rozbalit Rozbalit vše Re: fail2ban a apache

lebo desiatky veľmi drahých requestov za sekundu?

rozumní roboti sú v ok, ale niektorí urobia 100x viac requestov ako googlebot/bingbot/... dokopy.

7.3.2015 23:15 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: fail2ban a apache

Tak pokud jsou ty requesty tak drahé, tak ano, to potom chápu. Ale spíš bych se asi zamýšlel, jak je zlevnit.

blog.rfox.eu | DREAMLAND

8.3.2015 13:22 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: fail2ban a apache

Odpovědět | Sbalit | Link | Blokovat | Admin

Len 'maly detail': %D nie je procesorovy cas.

8.3.2015 21:59 michal00 | skóre: 14 | blog: OpenStreetMap
Rozbalit Rozbalit vše Re: fail2ban a apache

malo by to byť The time taken to serve the request, in microseconds., teda koľko času stránka trvala (vrátane PHP a SQL). asi to dobre reprezentuje zaťaženie servera.

9.3.2015 15:53 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: fail2ban a apache

NIE JE to procesorovy cas a vobec to nereprezentuje zatazenie serveru :) urob si PHP skript, kde bude len sleep(1000) a pochopis, o com hovorim (a taketo 'nicnerobenie' nemusi byt len umelo vyvolane).

Založit nové vlákno • Nahoru