Comments 14
А почему не гитхаб?
Кажется, вы забыли requirements.txt положить в гит.
Как раз недавно задумывался подобное сделать для себя. Теперь задача упрощена, спасибо за статью!
P.S. не думали перенести репозиторий на GitHub? Мне кажется, там больше активного комьюнити, чем на bitbucket.
P.S. не думали перенести репозиторий на GitHub? Мне кажется, там больше активного комьюнити, чем на bitbucket.
Без защиты от брутофорса бесполезно sakurity.com/otp
Заголовок про защиту на уровне nginx, на деле же получаем еще большое приложение с зависимостями.
И странное следствие из этого:
Ну и да, выше заметили, что в данный момент приложение не устойчиво к брутфорсу. Скажем, если у меня не удастся успешно попасть в одноразовый пароль, судя по коду приложения, мне ничто не мешает перебрать 8 цифр и получить emergency.
но они требовали обработку коллбэков. Эти решения мне не понравились и я их отверг.
И странное следствие из этого:
И так. Я набросал простое приложение.
Ну и да, выше заметили, что в данный момент приложение не устойчиво к брутфорсу. Скажем, если у меня не удастся успешно попасть в одноразовый пароль, судя по коду приложения, мне ничто не мешает перебрать 8 цифр и получить emergency.
Вообще не вижу противоречий. Одно дело вносить изменения в код сайта, а другое — написать аж 100-200 строк на flask'e. Готов посмотреть ваше решение на голом nginx или с каким-нибудь модулем.
Опять же, для безопасности веб-сервисов применяется комплекс мер, и это — одна из мер.
Опять же, для безопасности веб-сервисов применяется комплекс мер, и это — одна из мер.
Я себе не представляю сервер, выпушенный в продакшен, на котором нет fail2ban. Вот честно, не представляю. Последние лет 5 я таких серверов не видел.
Последние лет 5 я таких серверов не видел
fail2ban — парсер логов, с постлогикой. Если проект весомо нагружен посетителями, то access логи могут отсутствовать, либо быть весьма кастомными (структура, размера буфера, etc.), что так же не очень хорошо. Из этого можно сделать несколько выводов относительно ваших слов.
В общем поделитесь своими правилами fail2ban, или поправьте меня.
Согласен, что fail2ban не особо нужен.
Лучше ограничить количество запросов с помощью haproxy или nginx.
Лучше ограничить количество запросов с помощью haproxy или nginx.
Полноте, access логи. Ладно статика, ладно cdn, хрен с ними. Но логи к динамике, д-и-н-а-м-и-к-е или к другим важным местам сайта, уж они то должны присутствовать!
Хоть чисти их каждые 3 дня, но они должны быть!
Хоть чисти их каждые 3 дня, но они должны быть!
В общем поделитесь своими правилами fail2ban, или поправьте меня.
google fail2ban regexpSign up to leave a comment.
Nginx: защищаем урл одноразовым паролем