Как сделать nginx безопасным

[Number7]

Идея вообщем-то хорошая тем, что можно получить некое решение по безопасности "из коробки", но бесполезная.
Перекидывать входядий траф в докер, а из докера в апп или в вебрут, который модет лежать где угодно — сомнительное удовольствие полное бесполезности.
Особенно если хайлоад или стрим.
Если хочется запарониться или усилить секурность, не нужно усложнять. Достаточно вынести реверс нгикс на отдельный впс (кстати не обязательно супермощный, достаточно 4 вцпу, 4гб памяти для обработки до 10м запросов в сутки — исходя из личного опыта).
Либо ставить нгикс фронтом на сервер + докеры, где крутится апп или сайт.

Как засекурить нгикс — полон интернет информации, начиная от всем известного стековерфлоу.
Ксли кратко:
1) ботов по user agent отправлять на 40x
2) сканеров по регэкспам (think, cgi,setup, phpmy,dbadm,sysadm,mstohash,install, backup.tgz и тд) отправлять туда же + отдельно в лог, который отдавать fail2ban
3) тупо забанить через blackhole все спам ip (списки спамовых черных ip можно найти в инете)
4) гео бан, например весь CN или точечно по китайским подсетям
5) limit rates на запросы и отдачу контента

Вся инфа по настройке находится в гугле, в целом все не так сложно настроить самостоятельно.

[9660]

1) ботов по user agent отправлять на 40x

Люди деньги на раскрутку проекта тратят, гуглю и яндексу серьезные суммы заносят, а вы предлагаете банить роботов.
Если сайт магазин то банить ботов плохая идея.

[idmrty]

Мне вот интересен ход мыслей тех, кто «банит ботов по UA». Если бот не скрывает от вас того, что он бот, то он и robots.txt уважает — правильнее ему там всё сказать.

[Bonio]

Про защиту от ботов, как у CloudFlare, было бы интересно почитать в виде отдельной статьи.

[noRoman]

Защита CloudFlare от DDOS «подождите 5 сек сейчас все будет» обходится (потому что и рассчитана от DDOS).

Если на уровне докажите что не робот, это эффективнее, но раздражает.

[NTHub]

А можно попросить Вас HowTo написать как поставить Linux-Ngnix-MariaDB-PHP7- на последней версии Debian 10 + защита сервера+ кэширование + настройка бэкапов и восстановление из них + HTTPS LetsENCript + HTTP/2 (и всё это желательно с комментариями что делаем, зачем и почему) — в розницу это всё описано, но как правило для разных версий ПО + каждый админ всё настраивает немного по своему, получатся разнобой.
Есть некоторое количество начинающих админов которым VPS нужна для форума, СMS и т.п. квалификации нормально настроить всё это хозяйство нет :(

[AlexGluck]

Хостинг для вас уже сделал такую услугу, просто приобретите работающий проект на вордпресе или что там у вас.

[AlexGluck]

Зачем минусовать, ведь цены даже у владельцев блога не самые высокие и там всё есть. А каждые пол года писать однотипные статьи, практически превратится в желтуху.

[timurc]

Интересно, когда vdsina успел превратиться в ruvds…

[AlexGluck]

Посылаю голову пеплом, мой косяк, простите.

[vasyakrg]

начинающие админы никогда не познают дзен не пройдя путь самурая.
вы просите не научить, а тупо под ключ настроить конкретное решение, заточенное под вас.

[stobaksov100]

Есть некоторое количество начинающих админов которым VPS нужна для форума, СMS и т.п. квалификации нормально настроить всё это хозяйство нет :(

Для таких админов давным давно существует очень распространенная услуга виртуального хостинга (не путать с виртуальным сервером). Это услуга стала широко распространенной даже раньше, чем VDS.

[Andrey_Rogovsky]

И тут у ваннаби сисадмина подламывают сам докер

[johndow]

Сделали бы приписку что ли, что это только тупой пример и так делать не надо

if ($host = www.website1.com) {
      proxy_pass http://192.168.42.10$request_uri;
}

If is Evil

[rexen]

Почему?

[AlexGluck]

https://github.com/uran1980/web-dev-blog/blob/master/Nginx/if-is-evil.md
https://habr.com/ru/articles/570996/

[ckpunT]

Сама по себе тема достаточно интересная, но гифка в полторы минуты и if-ы сильно портят впечатление о статье.

[Chloyka]

Пользуемся на проекте 3 месяца. Почти каждый пуш автора bunkerized nginx в докер регистри ломает обратную совместимость, к сожалению пока сыровато, чтобы использовать в серьезных проектах. Версионирования нет, поэтому единственная возможность — форкнуть рабочую версию в свой регистри и тянуть стабильный образ оттуда.

[site6893]

а можно не скромный вопрос, зачем там внутри докера QEMU?

[domix32]

Он вроде через него виртуализацию делает, по крайней мере в качестве фолбэка в osx

[stobaksov100]

Он вроде через него виртуализацию делает, по крайней мере в качестве фолбэка в osx

В Linux докер ранее всегда был всего лишь контейнером. Какая виртуализация, о чем это вы?

А в OSX ранее всегда был именно виртуальной машиной. И под Windows тоже. Точнее Linux-ом в виртуализации внутри которого уже запускался в контейнере Докер как в Linux.

Что то изменилось в последних версиях Докера?

[domix32]

Понятия не имею. Я видел его только с виртуалкой.
И тут я понял что вопрос у вас получился маленько двоякий — внутри докера в смысле внутри контейнера с nginx или в поставке с самим докером/исходниках докера.

[stobaksov100]

Понятия не имею. Я видел его только с виртуалкой.

Docker изначально разработан для эксплуатации на серверах Linux.
И там он запускается в легковесных контейнерах. Которые куда как легче полноценных виртуальных машин.

А под Windows и MacOSX приходится запускать Docker в виртуалках вынужденно и только для целей отладки. Для «боевой» эксплуатации Docker в этих операционных системах не предназначен.

[776166]

Отвратительная статья.

— Как сделать nginx безопасным?
— Поставьте вот этот Docker-контейнер.
— Всё?
— Да.
— А подробнее как-то нет? Теория какая-то, примеры, как это в контейнере устроено?
— Нет, а зачем? Вам мало собранного Docker'а? Сейчас разбираться в любых вопросах не модно, надо пользоваться готовыми Docker-контейнерами.

И вишенкой на торте if'ы в конфиге nginx.