Pull to refresh
77
0
foboss @foboss

User

Send message

Ограничение количества попыток ввода пароля в веб-форме авторизации при помощи Nginx или HAProxy на примере WordPress

Reading time3 min
Views17K
Рассмотрим на примере WordPress способ усиления безопасности при помощи ограничения количества HTTP-запросов к форме ввода пароля. Это позволит оградить опубликованный блог от брутфорса (поиска и взлома пароля путем перебора всех теоретически возможных вариантов из определенного набора символов или подбора по словарю распространенных паролей). Данный способ, в принципе, можно использовать и для защиты других веб-приложений.

Задача может быть реализована в Nginx с помощью модуля ngx_http_limit_req_module [1], выступающем в роли фронт-энда к Apache или веб-сервера FastCGI, или же с помощью HAProxy [2, 3], выступающем в роли балансировщика нагрузки перед веб-серверами.

В обоих случаях алгоритм работы следующий. При аутентификации браузер обращается по адресу, содержащему в себе подстроку "/wp-login.php". Необходимо отследить ее и ограничить количество запросов с одного IP не затрагивая обращения по всем остальным адресам. Параметры блокировки необходимо подобрать таким образом, чтобы не создавать неудобств обычным пользователями. Особенно внимательно следует настраивать блокировки в том случае, когда формой авторизации пользуется большое количество пользователей с одного IP-адреса.
Читать дальше →
Total votes 29: ↑25 and ↓4+21
Comments30

Получаем IP-адреса HTTPS-клиентов с HAProxy (frontend) на Nginx (backend) в режимах HTTP и TCP-балансировки

Reading time3 min
Views55K
Довольно часто требуется балансировать нагрузку между несколькими веб-серверами. При этом, как правило, необходимо, чтобы веб-приложения получали реальные IP-адреса клиентов, а не IP балансировщика.

В случае балансировки и терминации HTTP(S)-трафика на HAProxy (Layer 7 [1]) данная задача легко решается добавлением заголовка “X-Real-IP” и его обработкой на Nginx при помощи модуля ngx_http_realip_module [2]. При балансировке TCP-трафика от HTTPS-клиентов и передаче его на веб-сервера напрямую без модификации или терминации (Layer 4 [3]) добавить данный заголовок невозможно, поэтому требуется воспользоваться возможностями, предоставляемыми Proxy Protocol [4, 5, 6].

Рассмотрим оба варианта (балансировка L7 и L4) на примере выдержек из конфигурационных файлов haproxy 1.5.9 и nginx 1.6.2

Читать дальше →
Total votes 33: ↑30 and ↓3+27
Comments14

«HTTP Strict-Transport-Security» или как обезопасить себя от атак «man-in-the-middle» и заставить браузер всегда использовать HTTPS

Reading time4 min
Views101K
Внимание к мелочам рождает совершенство,
а вот совершенство уже не мелочь.


Микеланджело Буонарроти


C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [1].
HSTS направлен на закрытие следующих уязвимостей к атакам:
Пользователь помещает в закладки или набирает в адресной строке http://example.com/ и становится жертвой атаки «man-in-the-middle» HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Веб-приложение, предполагаемое к использованию строго по HTTPS, по небрежности содержит HTTP-ссылки или отдает контент по HTTP HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена
Атакующий «man-in-the-middle» пытается перехватить трафик жертвы используя поддельный сертификат в надежде, что пользователь не обратит внимания на сообщение о невалидном сертификате HSTS не даст пользователю пройти дальше сообщения о проблемах с сертификатом
Включается данная технология проще простого, необходимо возвращать пользователю HTTP-заголовок «Strict-Transport-Security» в тот момент, когда он заходит на сайт по HTTPS:
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]

expireTime
    Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
    Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам.
Читать дальше →
Total votes 42: ↑39 and ↓3+36
Comments33

OS X: настраиваем дисковые квоты локальным пользователям

Reading time2 min
Views5.9K

Введение

Файловая система (ФС) HFS+ на OS X поддерживает квотирование пользователей и групп по ID на уровне томов. Соответствующие файлы .quota.user и .quota.group располагаются в корневом каталоге. В каждом из них содержится заголовок, идущая следом хэш-таблица с определением лимитов, а так же потребляемые значения на ID пользователя или группы.
Читать дальше →
Total votes 6: ↑5 and ↓1+4
Comments3

Работа и жизнь гика с проблемами концентрации внимания

Reading time8 min
Views220K
Каждый — гениален. Но если вы будете судить рыбу по ее способности лазать по деревьям,
она всю жизнь проживет с верой в свою глупость.

Альберт Эйнштейн

Лень — это привычка отдыхать до того, как ты устанешь.

Жюль Ренар


Проблемы с концентрацией внимания? Внешнее воздействие сбивает с толку? Кажется, что все кругом рушится? Не получается запоминать вещи? Выход есть. Чтобы все было нормально, надо только чуть-чуть помочь. Надо принять себя и научиться с этим жить.

Решительно сократить количество проблем можно, придерживаясь следующих рекомендаций:
  1. В голове держать не больше трех-пяти вещей за раз, объединив действия в большие смысловые блоки.
  2. Раз и навсегда выбрать решение по ежедневному набору мелочей: вносить дела к календарь, проверять утюг и т.п.
  3. Разложить все вещи по своим местам и поддерживать заведенный порядок.
  4. Дублировать необходимые и часто используемые вещи; разложить их по всем углам.
  5. Умело пользоваться календарем, мобильником и другими инструментами интернет-века.
  6. И самое главное: НЕ ОТВЛЕКАТЬСЯ ПО МЕЛОЧАМ!
Интересно? Читаем дальше!
Total votes 122: ↑105 and ↓17+88
Comments84

Электропочта, SaaS и «Облака»

Reading time3 min
Views1.7K
«Из-за недобитого гвоздя потеряли подкову;
потеряли подкову – потеряли коня;
потеряли коня – не доставили донесение;
не доставили донесение – проиграли войну»


Много где пишут про пользователей, не желающих пользоваться «корпоративной» почтовой системой. С упорством, достойным лучшего применения, люди продолжают использовать бесплатные ящики или, как это теперь становится модно, сервисы обмена личными сообщениями в популярных соц. сетях. Показателен пример с сайтом gosuslugi.ru, на котором можно посмотреть, сколько официальных государственных учреждений России используют в своей работе бесплатную почту настолько плотно, что не возникает даже мыслей указывать корпоративный электронный адрес (если он вообще есть). По статистике, опубликованной Иваном Бегтиным по адресу ivbeg.livejournal.com/364050.html, получается целых 22.5%. Что же толкает людей на подобное поведение? Есть ли тому разумное объяснение или же всему виной простая недалекость, отсутствие денег и лень?
Читать дальше →
Total votes 12: ↑7 and ↓5+2
Comments22

А еще я люблю тендеры!

Reading time3 min
Views1.5K
Посудите сами, как же это здорово — платить меньше, а получать больше. Фантастика? Вовсе нет. Весь истеричный вой вокруг системы гос. торгов РФ, сайта госзакупок и золотой пилы поднимают либо те, у кого их собственная пилка маловата и к сочному нефтяному или министрескому пирогу никак не получилось присосаться, либо те, кто вообще не способен работать на конкурсной основе. Ребята, 94-ФЗ, — это же настоящее золото! Целый, можно даже сказать, Клондайк. Ведь тендер, это не просто определенный ритуал. Основная ценность в том, что он силой принуждения заставляет шевелиться всех без исключения участников процесса: заказчик по закону обязан ежегодно оценивать рынок в поисках лучшего, а продавцы вправе оспаривать его выбор и предлагать свои варианты. И бухгалтерия не ноет. Точнее ноет, но это уже никого совершенно не волнует.

Взять, к примеру, наш ВУЗ, старейший и крупнейший в регионе. В 2006 году мы, если память не подводит, платили за интернет по 3 рубля за мегабайт со скоростью в районе одного мегабита, а сейчас отдаем 25 000 р. в месяц за 20 полноценных Мбит/с. Здорово, правда? Да не то слово! Получилось бы такое без ежегодных конкурсов на услуги? Не уверен: вряд ли бухгалтерия дала бы постоянно перезаключать договора, найдя тысячу причин, покрывающих собственную лень. Да и провайдеры регулярно пытаются надавить или же изменить условия в свою пользу.… Но тут, как чертик из табакерки, на свет появляется 94-ФЗ и действует кое на кого получше иных таблеток отрезвина или микстуры от жадности.
Читать дальше →
Total votes 39: ↑19 and ↓20-1
Comments40

Документация: домены и ip-адреса

Reading time1 min
Views4.7K
Часто перед системными администраторами, как впрочем и перед множеством других околоайтишных людей, возникает необходимость в написании статей, кратких руководств и рецептов настройки оборудования и разного рода софта. В огромном числе подобного рода публикаций можно встретить упоминания о ip-адресах и доменных именах; при этом, фантазия авторов не знает границ, встречаются все виды невозможных с точки зрения двоичной арифметики адресов вроде «120.340.560.780/22» и доменов, к примеру «domen.ru», «test.net» и др.

Хочется предостеречь авторов от подобной практики, посколько это вносит сумятицу в документацию, особенно в случае правки статьи, составленной несколькими людьми, а так-же впрямую противоречит рекомендациям комитета IETF, имеющего на этот счет вполне четкие и формализованные рекомендации:
  • Согласно RFC 2606 в качестве доменных имен для примеров в документации допустимо использование доменов и поддоменов: .example, example.com, example.net и example.org
  • Согласно RFC 5735 в качестве «белых» ip-адресов для примеров в документации допустимо использование ip-диапазонов: 192.0.2.0/24, 198.51.100.0/24 и 203.0.113.0/24
Коллеги, давайте же писать документацию в соответствии с нашими собственными стандартами. Так оно, в итоге-то, лучше получается.
Total votes 105: ↑74 and ↓31+43
Comments33

Запредельная наглость SMS-мошенников

Reading time8 min
Views2.2K
Так можно ли обеспечить 100% защиту компьютера от проделок хакеров и вирусных атак? Отвечаем без тени сомнения: ДА! Мы предлагаем вашему вниманию систему, которая действительно работает. Работает как часы, без неполадок и ограничений. И это не пустые слова. Это реальность, лишенная досадных компьютерных сбоев и зависаний ОС.

Наверняка всем знаком бич отечественного интернета — семейство win-локеров с SMS оплатой. Поражает даже не размах эпидемии и безнаказанность организаторов, в голове не укладывается цинизм подобных деятелей. Вы никогда не пробовали читать пользовательское соглашение, которое мелким шрифтом подсовывают пользователю перед установкой трояна?

Не удержусь и приведу один из таких шедевров целиком. Неужели подобные «писульки» имеют хоть какую-то юридическую силу?
Читать дальше →
Total votes 78: ↑62 and ↓16+46
Comments104

Антивирусы, провайдеры, спам и все-все-все

Reading time4 min
Views901
В обилии спама и беспощадного DDoS, захлестнувшего интернет, частенько любят винить пользователей зараженных вирусами ПК, через которые собственно и идет поток вредоносного траффика. Это в корне неверная позиция. Виноваты все: производители пк, провайдеры интернет, антивирусные компании… вся IT-братия, кроме end user'а. Совершенно логичной для пользователя (и при этом абсолютно дикой для компьютерщика) является позиция: мне не мешает и ладно, антиврус покупать запало; или к примеру: у меня на 2х Гб памяти теперь вирусы не тормозят etc. И правильно. так и должно быть. Потому что вирусов не должно быть. Это недоразумение, в котором виноваты производители ПК и в особенности корпорация Microsoft. Потому что в грамотных, хорошо спроектированных, поддерживаемых и обновляемых ОС, вирусов <=n, где n это общее число найденных уязвимостей (*NIX, да-да). Сколько известно вирусов под Linux, AIX, HP-UX, Mac OS? Что, малораспространенные? А под Cisco IOS, воткнутую в несметное число интеллектуального сетевого железа? Было б смешно, если б не так грустно.
Читать дальше →
Total votes 20: ↑9 and ↓11-2
Comments73

Подмена time.windows.com локальным ntp-сервером

Reading time1 min
Views18K
Демократия есть искусство управления цирком изнутри обезьяньей клетки.
Генри Луис Менкен


В крупных, постоянно меняющихся и развивающихся гетерогенных сетях установка адреса локального ntp-сервера на всех машинах может представлять определенную проблему. В данном случае можно воспользоваться возможностями DNS-сервера BIND и подменить выдаваемый по запросу «time.windows.com» ip-адрес.
Читать дальше →
Total votes 20: ↑11 and ↓9+2
Comments31

Автоматический перезапуск сервера pSeries после сбоя питания

Reading time1 min
Views531
Каждому системному администратору знакома ситуация, когда вдруг неожиданно пропадает свет. Надолго. Ночью/в выходной/праздник/и т.д. Каждый раз включать сервер руками под бодрые крики руководства и звонки раскаленных телефонов — процедурочка та еще, не из приятных. Поэтому обычно на небольшом предприятии администратор старается сделать так, чтобы «оно работало» в как можно более автономном режиме и требовало вмешательства человека только в самом крайнем случае.

Читать дальше →
Total votes 3: ↑3 and ↓0+3
Comments2

Администрирование без галстука.

Reading time3 min
Views3.4K
В системном администрировании существует как минимум два противоположных подхода, я называю их «Из говна и палок» ( di_halt) он же подход «левши» и «пижонский». Каждый их них судя по обилию холиваров в интернете имеет достаточно приверженцев. Каждый администратор выбирает для себя один из подходов исходя из внутренних убеждений и реалий бытия. Чаще всего ему приходится идти на различного рода компромиссы как со своей совестью, так и с бюджетом на IT.

Конечно есть еще и третий подход — «раздолбайский», но про него говорить как-то не очень хочется. Если администратор хочет навести порядок — наведет. Если не хочет, то большие деньги и современное оборудование не помогут. Уж очень много на нынешней работе примеров такого подхода.
Читать дальше →
Total votes 115: ↑93 and ↓22+71
Comments83

Обратная связь с пользователями — великая вещь!

Reading time2 min
Views10K
Главная задача пользователя сидеть в одноклассниках эффективно выполнять свою работу. Главная задача администратора — этому всячески помогать. Делать это можно по-всякому (в том числе, к примеру, блокировкой вышеупомянутого ресурса), однако большим подспорьем в работе являлась, является и будет являться обратная связь. Пренебрегать ею ни в коем случае не стоит.

В небольших конторах все просто — до админа рукой подать. Все проблемы, заморочки, мелкие недочеты всплывают практически сразу же. В больших и территориально распределенных сетях обратная связь начинает представлять некоторую проблему. Нет, ну конечно всегда есть возможность позвонить по телефону или написать письмо, но. Не каждый человек во-первых знает куда, кому и что сообщать и во-вторых не всегда вообще есть такое желание, общаться на непонятные темы с неизвестным человеком «где-то там». К тому же, если вдруг большинство пользователей с компьютером на «Вы», то имеются все шансы даже в случае телефонного звонка получить вместо описания проблемы лишь невнятное бормотание.
Читать дальше →
Total votes 83: ↑76 and ↓7+69
Comments53

Information

Rating
Does not participate
Location
Россия
Works in
Registered
Activity