Здравствуйте,Dark-Time!
Данная тема создана на тему: Server configuration и все что с ней связанно.
Тема будет наполнятся по мере возможности.
--------------------------------------------------------------------------------------------------------------------------------------------------Данная тема создана на тему: Server configuration и все что с ней связанно.
Тема будет наполнятся по мере возможности.
++++++++++++++++++++++++
1) SSL in NGINX with A+
++++++++++++++++++++++++
Все просто
1. открывай /etc/nginx/nginx.conf и вставляй все что ниже
ssl on;
ssl_certificate /etc/nginx/cert.crt; (путь к .crt файлу)
ssl_certificate_key /etc/nginx/cert.key;(путь к .key файлу)
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DESES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
add_header Strict-Transport-Security "max-age=31536000;";
ssl_dhparam /etc/nginx/dhparam.pem; (а тут надо тебе дорогую друг сделать PEM)
2. так cd /etc/nginx/ и так openssl dhparam -out dhparam.pem 4096
P.S не забываем рестартить сервис ну и что бы все пути совпали, а то все Nginx по мрэ.
ну и если сделал все так будет тебе на тесте SSL A+
++++++++++++++++++++++++
2) DDOS или кто балуется F5
++++++++++++++++++++++++
С какого IP сколько запросов: - тут может и быть 127.0.0.1 и ваш ИП сервера, но вы и щите те ип которыt левые и делают от 5+ конектов
netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more
Дальше баним школьника
iptables -I INPUT тут его IP -s -j DROP
Если у вас прокачеyный Linux и есть iplimit
Следующим этапом мы ограничиваем максимального число «полуоткрытых» соединений с 1-го IP для нужного порта:
iptables -I INPUT -p tcp —syn —dport 80 -m iplimit —iplimit-above 10 -j DROP
Защита от ICMP-flood
iptables -A INPUT -p icmp -j DROP —icmp-type 8
Защита от UDP-flood
iptables -I INPUT -p udp —dport 53 -j DROP -m iplimit —iplimit-above 1
Настройка защиты в Centos
в /etc/rc.local добавить
echo "20000" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "5" > /proc/sys/net/ipv4/tcp_keepalive_probes
echo "15" > /proc/sys/net/ipv4/tcp_keepalive_intvl
echo "20000" > /proc/sys/net/core/netdev_max_backlog
echo "20000" > /proc/sys/net/core/somaxconn
Используя эти команды можно посмотреть на список заблокированных ip адресов
iptables -L -v
iptables -L INPUT -v
iptables -L INPUT -v -n
++++++++++++++++++++++++
3) Mysql жрет все подряд, а кодеры ноют что ты админ кривой?
Все просто, покажем где их кривые запросы.
++++++++++++++++++++++++
Debian / Ubuntu
$ sudo apt-get update
$ sudo apt-get install mytop
$ mytop -u username -p password -d mysql
P.S можно запустить так просто в терминале набрать mytop