Comments 23
Как долго происходит процесс обучения? Ведь за это время злоумышленники успевают сделать довольно мнгого?
Как потом восстанавливаете (и восстанавливаете ли) работоспособность сайта в случае повреждения БД злоумышленниками?
Часа достаточно. Да, риск большой. Лучше, чем ничего))
Обязательно всегда ежедневно делается бэкап, что позволяет восстановить БД.
А можно поподробнее про создание собственного репозитория? В идеале хотелось бы увидеть статью на эту тему.
При выходе обновления nginx вы пересобираете пакет вручную, или все автоматизировано?
Сделаем отдельную статью на эту тему.
Обновления стараемся автоматизировать.
Кастомные пакеты приходится обновлять вручную.
Было бы здорово!

Потому что для RHEL/CentOS, увы, репозиториев, содержащий актуальный nginx с интересными модулями, практически нет…
Можно еще сбилдить пакет -> rpm -> puppet, например, у нас так jdk/jre живут определенных версий, да и некоторые другие сервисы.
Вот тут как бы репозиторий для актуального nginx есть. Да, может быть интересных модулей нет, но сам nginx актуален сейчас Stable версия 1.6.3 в этих репах.
Мне нужен mainline с GeoIP как минимум, и рядом других модулей…

В atomic версия stable, в ней нет ряда новых функций, которые нужны и которые есть в mainline.
C CentALT непонятно что происходит…
По ссылке что я дал, если ниже крутануть есть раздел с репозиторием для mainline «Готовые пакеты mainline-версии»
Спасибо!) Я про них в курсе, и использую уже давно там, где достаточно стандартного набора модулей.
А вот GeoIP, к сожалению, ни в mainline-, ни в stable-пакеты на оффсайте nginx не входит…
Кстати, этот плагин может быть очень полезен, если его настроить до атаки.
Включил плагин в режиме learning на недельку, сформировал свои правила и применил.
Правда, потом нужно иногда просматривать логи и актуализировать список.
А так же переводить в режим learning при выгрузке нового функционала.
Да, все верно. Вы правы.
Надо только посмотреть какую он может дать нагрузку.
Это вопрос отдельного сложного теста: нужно на высоконагруженном проекте запустить и посмотреть.
XSS атака — а что, такие бывают? Я думал никто в здравом уме не будет охотиться за пользователями когда рядом SQLi.

Надеюсь вы клиенту объяснили что naxsi это подорожник, а они сами должны фиксить приложение?
Для апача есть WAF, называется mod_security. Такая-же недозащита как и naxsi)
Думаю проще и быстрее было бы определить единую точку входа для приложения, написать там несколько строчек, которые автоматически экранируют все входящие данные. Трюк конечно грязный, но универсальный, а остальное время можно было бы тратить на исправление.
Вы меня, конечно, извините, статья сама по себе ничего, но повод мне кажется выдуманным. Слабо представляю себе человека который, зная, что у него на сайте дыра, которая активно используется, не закроет его (сайт) сразу же на техобслуживание и не придаст ускорение девам, а будет ждать пару часов, а потом должен будет доверять непонятной надсройке на nginx-е. Не встречал еще таких.
В теории — да, но, кмк, данный метод позволяет «закостылить дыры», не уводя сайт в maintenance до hotfix. IMHO идея годна. Фиг его знает сколько займет создание hotfix и накладывание его. Понятно, что случаи разные бывают.
Only those users with full accounts are able to leave comments. Log in, please.