Na verloop van tijd wanneer we een live site hebben die gebruikmaakt van Nginx we zien vreemd gedrag bij sommige IP-adressen, over het algemeen behoren deze adressen toe aan: robots of kwaadwillende agenten die onze dienst aanvallen.
Hoewel we hebben gezien hoe we toegang en verkeer kunnen blokkeren met behulp van de GeoIP-module, is er ook een eenvoudigere en directere manier om dit soort sloten uit te voeren, dankzij dit als we niet over de GeoIP-module beschikbaar zijn, kunnen we een goede set regels maken waarmee we de toegang tot onze site kunnen reguleren.
Zwarte lijst
Het uitvoeren van het beheer van een server houdt in dat we een bepaald beleid hebben dat de veiligheid van onze gegevens garandeert, naast het garanderen van de juiste prestaties van onze middelen, een obstakel waarmee we worden geconfronteerd zijn aanvallen en massale raadplegingen door bots, verkennerscripts of zelfs kwaadwillende agenten.
Om de bovenstaande redenen moeten we een zwarte lijst beheren waarmee we IP-adressen blokkeren waarvan we weten dat ze gestructureerd zijn en geen betrekking hebben op organisch verkeer voor onze sites die worden bediend door Nginx.
Om deze zwarte lijsten op te bouwen, kunnen we blokkeren per IP of per set van IP-adressen, op deze manier kunnen we de situatie een beetje verlichten en een gezondere serviceontwikkeling hebben.
Hoe de zwarte lijst op te bouwen?
Om onze zwarte lijst op te bouwen, moeten we de regels gebruiken ontkennen Y toestaan zodat we het bereik van de te blokkeren IP's kunnen specificeren of gewoon specifieke adressen kunnen plaatsen, dit moet heel voorzichtig gebeuren, omdat we meer gebruikers kunnen blokkeren dan gewenst als we de regel niet correct plaatsen.
Laten we in de volgende afbeelding een voorbeeldcode zien van hoe een basisconfiguratie van te doen toegang blokkeren:
In de code zien we hoe we gebruiken ontkennen om een bepaald IP-adres op te geven en vervolgens met allow specificeren we een bereik van adressen met behulp van de submasker / 24, Dit voorbeeld wordt veel gebruikt wanneer we een service segmenteren binnen een lokaal netwerk, zodat een afdeling geen verbinding kan maken met de service die het host Nginx.
BelangrijkEen ander aspect dat we kunnen combineren bij het gebruik van dit type sloten is om te weten welke fout we naar ze moeten gooien, bijvoorbeeld als we mogelijke aanvallen blokkeren, is het het beste om een fout te gooien 404 pagina niet gevonden om geen sterkere aanval te stimuleren als de aanvaller weet dat hem de toegang wordt ontzegd, maar in een lokale netwerkomgeving is misschien het meest ideale dat we aangeven met een 403 die toegang heeft tot een beperkt gebied.
Om deze tutorial af te ronden, zien we dat het uitvoeren van dit type slot heel eenvoudig is en dat we niet afhankelijk zijn van andere modules, dankzij dit met een standaard of beperkte installatie van Nginx we in staat zullen zijn om ons beveiligingsbeleid te implementeren.
Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven
