Рубрики
Наследие

Пример конфигурации nginx для NameBased виртуальных хостов с хотлинком.

nginx — это легкий высокопроизводительный веб-сервер, разработанный Игорем Сысоевым. Однако у него есть существенный недостаток — недостаточная документированность.
Рассмотрим на примере, как сконфигурировать nginx для отдачи статического контента — html и картинок — напрямую и проброс остальных запросов веб-серверу apache. Также настроим страницу ошибок и хотлинк.

Хотлинк — защита от похищения контента и трафика, когда один сайт включает в себя изображения с другого сайта.

Для начала необходимо установить сам nginx и mod_realip для apache.

Допустим, у нас есть 2 сайта на одном IP. Прежде всего необходимо изменить их в apache, «рассадив» каждый сайт на выделенный внутренний IP (127.0.0.2, 127.0.0.3), изменив IP в VirtualHost. Также не забудьте добавить сетевые алиасы к каждому из используемых внутренних IP.
Далее необходимо указать реальные IP через директиву mod_realip:
RealIP 127.0.0.2 127.0.0.3 xfwd

Далее приступим к конфигурации nginx, файл nginx.conf:

user nobody nobody;
worker_processes 3;
pid /var/run/nginx.pid;
error_log /var/log/nginx.error_log info;
events {
connections 1000;
use kqueue;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '%addr - - [%time] "%request" %status ' '%length "%{Referer}i" "%{User-Agent}i" ' '"%gzip_ratio"';
client_header_timeout 3m;
client_body_timeout 3m;
send_timeout 3m;
client_header_buffer_size 1k;
large_client_header_buffers 4 4k;
gzip on;
gzip_min_length 1100;
gzip_buffers 4 8k;
gzip_types text/plain;
output_buffers 1 32k;
postpone_output 1460;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
send_lowat 12000;
keepalive_timeout 75 20;
server {
listen реальный.ip.адрес.сервера;
server_name имя.сайта1 www.имя.сайта1;
access_log /var/log/сайт1.access_log main;
location / {
proxy_pass http://127.0.0.2/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
client_max_body_size 10m;
client_body_buffer_size 128k;
client_body_temp_path /var/nginx/client_body_temp;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_send_lowat 12000;
proxy_header_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /var/nginx/proxy_temp;
}
error_page 404 /index.html;
location /index.html {
root /путь/к/размещению/страницы/ошибки;
}
location ~* ^.+\.(jpg|jpeg|gif)$ {
valid_referers server_names *.имя.сайта1/;
if ($invalid_referer) {
return 403;
}
root /путь/к/размещению/сайта1;
}
location ~* ^.+\.(htm|html)$ {
root /путь/к/размещению/сайта1;
}
}

server {
listen реальный.ip.адрес.сервера;
server_name имя.сайта2 www.имя.сайта2;
access_log /var/log/сайт2.access_log main;
location / {
proxy_pass http://127.0.0.3/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
client_max_body_size 10m;
client_body_buffer_size 128k;
client_body_temp_path /var/nginx/client_body_temp;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_send_lowat 12000;
proxy_header_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /var/nginx/proxy_temp;
}
error_page 404 /index.html;
location /index.html {
root /путь/к/размещению/страницы/ошибки;
}
location ~* ^.+\.(jpg|jpeg|gif)$ {
valid_referers server_names *.имя.сайта2/;
if ($invalid_referer) {
return 403;
}
root /путь/к/размещению/сайта2;
}
location ~* ^.+\.(htm|html)$ {
root /путь/к/размещению/сайта2;
}
}

}

Надеемся, что на таком простом и реально работоспособном примере мы наглядно продемонстрировали ту небольшую, но наиболее полезную большинству часть возможностей nginx.

Рубрики
Старье

BFD для Linux и FreeBSD

Роб из HSpherePackages.com создал хороший BFD (Brute Force Detection) скрипт, который позволяет автоматически блокировать атакующие хосты.
Скрипт бесплатный и может работать как на Linux, так и FreeBSD.

Установка проста:

wget http://dedic.ru/files/H-SphereBFD.tar.gz
tar xzf H-SphereBFD.tar.gz
cd H-SphereBFD
./install

Далее отвечаем на ряд несложных вопросов. По окончании установки необходимо установить запуск hspherebfd в /etc/crontab:

echo '* * * * * root hspherebfd >> /dev/null' >> /etc/crontab

после чего перезапустить cron.

Конфигурационный файл очень прост:
$instdir — установочная директория. Все, кроме бинарника, должно находиться в этой директории;
$rules — директория с сохраненными правилами. В коррекции не нуждается;
$excluded — путь к файлу с белым списком IP;
$notify — установите «1″ для получения сообщений на e-mail или «0″ для отключения оповещений;
$email — адрес, на который будут отправляться сообщения;
$autoblock — включение автоблокировки через firewall. 0 = нет, 1 = да;
$block_cmd — команда, использующаяся для блокировки. Слово “attacker” будет заменено на IP атакующего хоста;
$email_subject — заголовок сообщения.

Для IPTABLES firewall необходимо установить
$block_cmd=”iptables -I INPUT -s attacker -j DROP”;

Также обязательно указать корректный путь к логу ошибок apache: /%cfgpath/bfd/rules/apache

Внимание! Не забудьте добавить свой IP в белый лист, иначе скрипт может заблокировать и Вас.

Рубрики
Наследие

IFTOP: Мониторим трафик в реальном режиме времени

Очень часто бывает полезным узнать, куда и как расходуется трафик. Разнообразные логи, к сожалению, не могут дать полной картины. Например, php-скрипт может генерировать большой исходящий трафик, который не будет отражен в логах веб-сервера.

Для решения этой проблемы и существует iftop.
Данная утилита позволяет в удобной форме наблюдать за расходом трафика.
Установка очень проста и требует установленные библиотеки libpcap и libcurses:

wget -c http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.16.tar.gz
cd iftop-0.16
./configure
make
make install