la015 авг 2013 в 07:53

Простой способ защиты от распределённого брутфорса доступов к CMS

3 мин

13K

Комментарии 12

rozhik 15 авг 2013 в 08:54

Направление решения хорошее.
Я бы рекомендовал только вместо файла сделать memcached ключ. Он и удалится автоматом, и Disk IO снизит, и позволит обслуживать распределённо.

la0 15 авг 2013 в 08:55

Пожалуйста, поделитесь ссылками на доки =)

TheRaven 15 авг 2013 в 09:01

www.php.net/manual/en/class.memcache.php

$m = new Memcache;

$m->connect(«127.0.0.1», 11211);
$m->set('unique_key_in_memcached', 'data', 0, 600);

$m->close();

la0 15 авг 2013 в 09:05

А как вы это на nginx проверите?

rozhik 15 авг 2013 в 09:06

HttpMemcModule — замените просто файловые операции на операции с мемкэшем в конфиге nginx.

la0 15 авг 2013 в 09:15

Спасибо за полезный комментарий!
Думаю лучше базовый мэмкеш, просто потому, что он базовый и есть в пакетных сборках.
Добавляю в пост.

spions 15 авг 2013 в 09:26

При очередном проходе любого поискового бота ваш сайт выпадет из индекса, т.к. куки они как правило не поддерживают, и кнопки нажимать не умеют. Или я ошибаюсь?

la0 15 авг 2013 в 09:32

Мы применяем фильтр только на авторизационных страничках движков. Они, думаю, не очень интересны поисковикам.
+ см. возможный улучшайзер на GET

sunnybear 15 авг 2013 в 15:09

если я правильно понял логику, то решение срабатывает при повторном запросе той же страницы, а не какой-нибудь другой.
К автору поста: хорошо бы прокомментировать логику отдельно, из конфига она не очень понятна.

la0 15 авг 2013 в 15:30

Это сработает на location ~* /(i|i2)\.html$, т.е страниц может описано быть и пять и десять. Хост не участвует
Это не готовое решение уровня копипаста, поэтому, пожалуйста, задавайте конкретный вопрос, я отвечу и добавлю ответ в пост, если это что-то существенное.

sisaenkov 21 окт 2013 в 08:08

Как реализовать этот кусок для апача?

location @wlgui {
        internal;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root/wlgui.php;
        fastcgi_intercept_errors on;
        include        fastcgi_params;
}

la0 21 окт 2013 в 09:41

В смысле для апача? Если ставите его бэкэндом?
Самое простое — proxy_pass с нужным HTTP-host, например, поднять хост апачем на 81 порту и проксировать на него.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий