Virkjar mod_evasive á Apache

Mod_evasive er eining fyrir Apache sem grípur sjálfkrafa til aðgerða þegar HTTP DoS árás eða brute force árás greinist. Mod_evasive er fær um að skrá og tilkynna misnotkun og tilkynna vandamál með tölvupósti. Áður en þú fylgir þessari handbók ættirðu nú þegar að hafa LAMP netþjón á sínum stað sem virkar rétt.

Þessi handbók var skrifuð fyrir CentOS og afbrigði þess (svo sem RHEL) og Debian og afbrigði þess (eins og Ubuntu).

Einingin býr til töflu yfir IP tölur og vefslóðir. Ef skilyrði sem sett eru í uppsetningunni (eins og lýst er síðar í þessu skjali) eru uppfyllt munu notendur sem misnota hana fá 403 (bannað) villu. Einnig er IP-talan skráð og ef valkosturinn er stilltur verður tölvupóstur sendur á tilgreint netfang.

Skref 1: Uppsetning httpd-devel

httpd-devel pakkinn inniheldur nauðsynlegar skrár sem þú þarft til að smíða Dynamic Shared Objects fyrir Apache. Við þurfum þennan pakka til að setja upp eininguna, þar sem við munum setja hann saman í eftirfarandi skrefum.

Á CentOS/RHEL skaltu framkvæma:

yum install httpd-devel

Á Debian/Ubuntu skaltu framkvæma:

apt-get install apache2-utils

Eftir að þessi pakki hefur verið settur upp skaltu halda áfram í næsta skref. Ef uppsetningu er ekki rétt lokið mun næsta skref (líklegast) mistakast.

Skref 2: Niðurhal og uppsetning mod_evasive

Aðferð 1: Samsetning

Sæktu eininguna:

cd /usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz

Dragðu út eininguna:

tar xzf mod_evasive*.tar.gz

Farðu í möppuna:

cd mod_evasive

Næst munum við nota apxs2, tól sem er búið til til að byggja og setja upp einingar sem auka virkni Apache. Apxs2byggir Dynamic Shared Object, þess vegna settum við upp httpd-develí skrefi #1.

Framkvæma:

apxs2 -cia mod_evasive20.c

Aðferð 2: Uppsetning með því að nota yum(mælt með)

Þegar þú hefur epel-releasesett upp geymsluna mod_evasiveer hún fáanleg í gegnum yum.

Bættu við geymslunni:

yum install epel-release

Settu upp eininguna með því að nota yum:

 yum install mod_evasive

Skref 3: Bættu einingunni við Apache

Almennt séð hleður Apache allar einingar úr mods-enabled, þannig að alltaf þegar einingu er bætt við þá möppu þarf ekki að bæta henni við Apache stillingarnar handvirkt. Opnaðu stillingarskrána þína til að athuga hvort þetta sé raunin.

Á CentOS er viðeigandi skrá: /etc/httpd/conf/httpd.conf

Á Ubuntu er viðeigandi skrá: /etc/apache2/apache2.conf

Leitaðu að Include. Lína eins og Include mods-enabled/*.confsegir Apache að hlaða allar einingar. Ef það er ekki til staðar skaltu bæta þeirri línu efst í skrána og endurræsa Apache.

Fyrir Ubuntu skaltu bæta við eftirfarandi innihaldi neðst í skránni:

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Skref 4: Stilla og breyta stillingum

Bættu eftirfarandi blokk við stillingarskrána. Leiðirnar eru þær sömu og í skrefi #3.

<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 60
    DOSEmailNotify <william@williamdavidedwards.com>
</IfModule>

Fljótt yfirlit yfir þessar færibreytur er að finna í README. Þú getur lesið README skrána sem hér segir:

cat /usr/src/cd mod_evasive/README

Líklegast þarftu að fínstilla þessar stillingar af og til til að ganga úr skugga um að þær séu bara rétt fyrir netþjóninn þinn og vefsíður. Þegar öllu er á botninn hvolft hafa sumir netþjónar meiri virkni og umferð en aðrir.

Skref 5: Endurræstu vefþjóninn

Endurræstu Apache vefþjóninn til að breytingarnar taki gildi og einingin á að hlaðast:

service httpd restart

Gakktu úr skugga um að einingin sé hlaðin inn í Apache:

httpd -M | grep evasive

Þetta ætti að skila sér evasive20_module (shared). Ef ekki, var einingin ekki rétt hlaðin og við mælum með að athuga stillingarskrárnar aftur og hvort þær hafi verið vistaðar rétt.

Athugaðu að þessi eining kemur ekki í staðinn fyrir DDoS vernd þar sem hún getur ekki virkað þegar getu netþjónsins er uppurin. Reyndar býður Vultr upp á DDoS vernd sem er mjög gagnleg til að vernda þjóninn betur (ásamt því að nota þessa einingu). Fyrir einfaldari ógnir, sérstaklega árásir sem byggjast á handriti, vinnur einingin sitt og er örugglega gagnlegt.

Þú hefur nú sett upp mod_evasiveeininguna í Apache og þannig gert vefforritið þitt öruggara.