abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 18:22 | IT novinky

    V uplynulých dnech byla v depu Českých drah v Brně-Maloměřicích úspěšně dokončena zástavba speciální antény satelitního internetu Starlink od společnosti SpaceX do jednotky InterPanter 660 004 Českých drah. Zástavbu provedla Škoda Group. Cestující se s InterPanterem, vybaveným vysokorychlostním satelitním internetem, setkají například na linkách Svitava Brno – Česká Třebová – Praha nebo Moravan Brno – Břeclav – Přerov – Olomouc.

    Ladislav Hagara | Komentářů: 0
    včera 13:11 | Nová verze

    Byla vydána nová verze 8.7.0 správce sbírky fotografií digiKam (Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení (NEWS). Nejnovější digiKam je ke stažení také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | IT novinky

    Před 30 lety, k 1. 7. 1995, byl v ČR liberalizován Internet - tehdejší Eurotel přišel o svou exkluzivitu a mohli začít vznikat první komerční poskytovatelé přístupu k Internetu [𝕏].

    Ladislav Hagara | Komentářů: 4
    včera 11:33 | Nová verze

    Byla vydána (𝕏) nová verze 7.4 open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    včera 05:44 | Bezpečnostní upozornění

    Balíček s příkazem sudo byl vydán ve verzi 1.9.17p1. Řešeny jsou zranitelnosti CVE-2025-32462 (lokální eskalace práv prostřednictvím volby host) a CVE-2025-32463 (lokální eskalace práv prostřednictvím volby chroot).

    Ladislav Hagara | Komentářů: 6
    včera 05:22 | IT novinky

    Do služeb Seznam.cz se lze nově přihlásit pomocí služby MojeID [𝕏].

    Ladislav Hagara | Komentářů: 1
    včera 03:33 | Bezpečnostní upozornění

    Bezpečnostní výzkumníci zveřejnili informace o osmi zranitelnostech, které postihují více než 700 modelů tiskáren, skenerů a štítkovačů značky Brother. Bezpečnostní upozornění vydali také další výrobci jako Fujifilm, Ricoh, Konica Minolta a Toshiba. Nejzávažnější zranitelnost CVE-2024-51978 umožňuje útočníkovi vzdáleně a bez přihlášení získat administrátorská oprávnění prostřednictvím výchozího hesla, které lze odvodit ze

    … více »
    Ladislav Hagara | Komentářů: 0
    30.6. 16:00 | Komunita

    Společnost Oracle vlastní ochrannou známku JAVASCRIPT. Komunita kolem programovacího jazyka JavaScript zastoupena společností Deno Land vede právní bitvu za její osvobození, viz petice a otevřený dopis na javascript.tm. Do 7. srpna se k nim má vyjádřit Oracle (USPTO TTAB).

    Ladislav Hagara | Komentářů: 6
    30.6. 13:11 | IT novinky

    Byl představen samostatný rádiový modul Raspberry Pi Radio Module 2 s Wi-Fi a Bluetooth.

    Ladislav Hagara | Komentářů: 6
    30.6. 12:44 | Upozornění

    Certifikační autorita Let’s Encrypt ukončila k 4. červnu zasílání e-mailových oznámení o vypršení platnosti certifikátů. Pokud e-maily potřebujete, Let’s Encrypt doporučuje některou z monitorovacích služeb.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 336 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    fail2ban a apache

    7.3.2015 18:26 | Přečteno: 1124× | poslední úprava: 7.3.2015 21:00

    Na mojom webe www.oma.sk sa občasne vyzurujú nejaký crawleri. Trošku mi uniká dôvod prečo si taliani sťahujú webstránku po Slovensku a po slovensky, ale čo už. Ako sa brániť?

    Skúšal som merať koľko ktorá IP zaberie času (trošku problém ukladať dáta medzi sessions ale APC pomohlo). Ale neriešilo to problém.

    Momentálne sa snažím použiť fail2ban a blokovať tých čo využívajú veľa procesorového času. Potreboval som tri kroky: ukladať dĺžku spracovania requestu, zrátať za posledných 5 minút a blokovať.

    Ukladanie dĺžky

    zmena konfiguráku apache aby ukladal dĺžku čo trvalo spracovanie (teda najmä PHP a postgres). Niektoré stránky sú rýchlo (bo sú v cache), ale niektoré sú dosť pomalé.
    LogFormat "%h - - %t %s %D %V%U" testovaci
    CustomLog /var/log/httpd/test-oma.sk.log testovaci 
    
    Rátanie celkovej dĺžky

    do cronu daný shell skript (pričom číslo 212605775 je moja magická konštanta ktorá ešte neblokuje slušných robotov, ale blokuje tých zlých).
    #!/bin/sh
    export LC_ALL=en_GB.utf8
    dd="%d/%b/%Y:%H:%M"
    d0=`date +$dd`
    d1=`date -d '1 minute ago' +$dd`
    d2=`date -d '2 minute ago' +$dd`
    d3=`date -d '3 minute ago' +$dd`
    d4=`date -d '4 minute ago' +$dd`
    
    da="$d0\|$d1\|$d2\|$d3\|$d4";
    #echo $d
    IFS="
    ";
    d=`date --rfc-3339='seconds'`
    #echo "$d :: 194.187.168.25" > /var/log/httpd/dos-oma.log
    
    for i in `cat /var/log/httpd/test-oma.sk.log |grep -v '.ico\|.png\|.jpg\|.js' | grep "$da" | awk 'BEGIN { FS=OFS=SUBSEP=" "}{arr[$1]+=$7 }END {for (i in arr) print arr[i],i}' |sort -g|tail`; do
            l=`echo $i | sed 's/ .*//'`
            if [ `echo "$l > 212605775" |bc` -eq 1 ]; then
                    echo $i | sed "s/.* /$d :: /" >> /var/log/httpd/dos-oma.log
            fi
    done
    
    Fail2ban konfig

    Naj problém bol dať dátum/čas do logu, aby to fail2ban zvládal (viď date --rfc-3339='seconds' hore), nie je to moc dokumentované. Potom to už šlo. Filter filter.d/apache-dos.filter :
    [Definition]
    failregex = ^.* <HOST>$
    
    a jail (popri ostatných typu ssh a pod):
    [oma-dos]
    enabled = true
    filter  = apache-dos
    port     = http,https
    logpath  = /var/log/httpd/dos-oma.log
    maxretry = 1
    findtime = 60
    
    asi by to išlo aj elegantnejšie, teším sa na komentáre.        

    Hodnocení: 67 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Bystroushaak avatar 7.3.2015 22:30 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: fail2ban a apache
    Na mojom webe www.oma.sk sa občasne vyzurujú nejaký crawleri. Trošku mi uniká dôvod prečo si taliani sťahujú webstránku po Slovensku a po slovensky, ale čo už. Ako sa brániť?
    Spíš mi uniká důvod, proč se tomu bránit. Většina těhle crawlerů jsou vyhledávače a tímhle efektivně odřízneš ty italské.
    7.3.2015 22:55 michal00 | skóre: 14 | blog: OpenStreetMap
    Rozbalit Rozbalit vše Re: fail2ban a apache
    lebo desiatky veľmi drahých requestov za sekundu?

    rozumní roboti sú v ok, ale niektorí urobia 100x viac requestov ako googlebot/bingbot/... dokopy.
    Bystroushaak avatar 7.3.2015 23:15 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: fail2ban a apache
    Tak pokud jsou ty requesty tak drahé, tak ano, to potom chápu. Ale spíš bych se asi zamýšlel, jak je zlevnit.
    8.3.2015 13:22 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: fail2ban a apache
    Len 'maly detail': %D nie je procesorovy cas.
    8.3.2015 21:59 michal00 | skóre: 14 | blog: OpenStreetMap
    Rozbalit Rozbalit vše Re: fail2ban a apache
    malo by to byť The time taken to serve the request, in microseconds., teda koľko času stránka trvala (vrátane PHP a SQL). asi to dobre reprezentuje zaťaženie servera.
    9.3.2015 15:53 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: fail2ban a apache
    NIE JE to procesorovy cas a vobec to nereprezentuje zatazenie serveru :) urob si PHP skript, kde bude len sleep(1000) a pochopis, o com hovorim (a taketo 'nicnerobenie' nemusi byt len umelo vyvolane).

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.