poniedziałek, 20 czerwca 2016

Konfiguracja serwera: fail2ban

Postanowiłem notować tutaj moje poczynania na serwerze na którym uruchomiłem ownClouda.
Ostatnio problemem okazał potop żądań GET próbujących dostać się do różnorakich domen (google, btcdice, setki innych). Mój problem został całkiem trafnie opisany tutaj.

Pierwsze co zrobiłem, to zablokowałem możliwość używania serwera jako proxy przez ustawienie ProxyRequests na off in w /etc/apache2/apache2.conf. To zmieniło rezultat wszystkich przybywających zapytań z 502 na 200 (to dobrze, można o tym przeczytać tutaj).

Chciałem jednak jeszcze pozbyć się tych wszystkich wścibskich odwiedzających.
Sugerowanym rozwiązaniem jest użycie narzędzia, które automatycznie banuje hosty próbujące użyć mój serwer jako proxy. Skonfigurowałem zatem fail2ban zgodnie z tym linkiem.
W /etc/fail2ban/jail.local umieściłem własne zasady, które zostaną dodane (lub nadpiszą) te z /etc/fail2ban/jail.conf.
To natychmiastowo zbanowało kilkanaście adresów, ale nadal other_vhosts_access.log puchł od zapytań. Ustawiłem zatem 'enabled' na true w kilku gotowych wpisach w jail.conf: apache-multiport, apache-noscript i apache. Po ustawieniu maxretries na 0, apache-noscript zbanował szereg adresów. Niestety, nie przerzedziło to znacząco przychodzące logi.

Co gorsza, fail2ban zaczął raz za razem banować własny adres... Na szczęście:
1) Zatrzymanie fail2bana odbanowuje wszystko co zrobił do tej pory
2) Mogłem dopisać własny IP do listy ignoreip w jail.conf

Podsumowując, zapytań jest nadal wiele, ale serwer już nie muli. Na razie to mi musi wystarczyć.

Update:

Zrozumiałem źródło problemu. Ustawiając serwer jako reverse proxy (było to wymagane do działania ownclouda), ustawiłem go jako otwarte proxy. Błąd polegał na ustawieniu ProxyRequests On w /etc/apache2/mods-enabled/proxy.conf. A zatem mój "fix" opisany na początku tego posta nic nie dawał. Oświecił mnie ten post.
Po drugie, przeniosłem wszystkie moje konfiguracje fail2bana z jail.conf do jail.local.
Po trzecie zaktualizowałem serwer z Wheezy na Jessie. To ten krok zmusił mnie do przejrzenia i zastanowienia się nad wszystkimi zedytowanymi plikami konfiguracyjnymi.

Po tym wszystkim, niechciane wpisy w logach zmalały dramatycznie. Fail2bana zostawię włączonego, dopisałem tam tylko jeszcze moje domowe ip do whitelisty.

czwartek, 24 lipca 2014

Sesja VIII

Dzień 20 - walka nad dziurą

Podchwyciwszy, że napędy ser Henryka pochodziły ze świątyń, drużyna z kapitanem udała się do świątyni. Kapłan zgodził się odprawić rytuał błogosławieństwa na napędzie, ale niestety nic to nie dało. Załamane Arylin i Kaja zostały na pokładzie.

Schodząc ponownie ze statku, drużyna rozpoczęła negocjację ze Szwaczką. William chciał zorientować się w kosztach operacji uszycia żagli z prześcieradeł (których, jak się okazało, w mieście nie brakowało). Reszta drużyny była mniej entuzjastycznie nastawiona do prospektu bujania się wśród fal, pociągnęła pirata w stronę olbrzymiej niecki z ruinami miasta. Aby odnaleźć drogę, poszli za siedmioma młodzieńcami.
Ci nie życzyli sobie jednak ogona i zasadzili się, by skonfrontować drużynę. Doszło do przepychanek słownych, potem do rękoczynów. Józek przerażony przez Maerwala uciekł w siną dal, dwóch kolegów pobiegło za nim. Reszta nie była już taka pewna siebie.

Idąc w głąb miasta, drużynę zaskoczył olbrzymi metalowy golem, który wybiegł przez zamknięte drzwi jednego z budynków. W ogniu walki, Maerwal podał Mab drąg wypełniony silną, pierwotną, magiczną mocą, która pozwoliła druidce odzyskać swe moce. Czując się pełna potęgi, skierowała ją na golema, roztapiając go oraz metalowe podłoże pod ulicą.

Maerwal wszedł do pomieszczenia, gdzie wcześniej był golem. Po chwili wybiegł z krzykiem, a za nim szarżowała trójka barbarzyńców. Rozgorzała druga walka nad wypaloną dziurą w ulicy.

Pierwszy spadł William, zderzając się czołowo (au) w skoku nad dziurą. Potem Maerwal zrzucił barbarzyńcę, po czym sam spadł z kolejnym przeciwnikiem. Ostatnia wskoczyła Mab w postaci niedźwiedzia. I tak, wszyscy siedzieli w dziurze.
Powrót do budynku ujawnił dziwny przyrząd. Ustrojstwo okazało się być odpowiedzialne za ruchy golema - drugi wybiegł na ulicę z sąsiedniego budynku w odpowiedzi na ruchy przyrządu.

piątek, 6 czerwca 2014

Sesja VII

Dzień 19 - z deszczu pod rynnę

Zanim bohaterowie zdążyli zaplanować dalsze kroki, ich uszy pochwyciły zbliżający się tętent kopyt. Kilkunastu jeźdźców, którzy wpadli na dziedziniec zobaczyli małą grupkę wbiegającą do stodoły. Krótka wymiana zdań doprowadziła do rękoczynów. Arylinn została związana, a reszta uciekła z powrotem do wampirzych podziemi, podczas gdy stodołę objął niszczycielski płomień. Gdy mocodawcy złupili posiadłość, zaprószyli ogień pod rezydencję, odjechali do swego mocodawcy - ser Ryszarda. Drużyna uratowała drobny ułamek kolekcji obrazów przodków zwampirzonej, zakochanej w pogrążonym w śpiączce lokaju lady Moonroe.

Będąc niezainteresowanym wobec tragicznych losów lokaja, samolubnych czynów lady Moonroe oraz tajemniczej zmiany charakteru ser Ryszarda, bohaterowie ruszyli do miasta portowego Koncen. Po drodze napotkali dwóch gigantów, którzy w małej jaskini zgubili swoją "błyskotkę". Drużyna postawiona wobec kammiennych argumentów, szybko odzyskała przedmiot, który okazał się być stalową tarczą z łacińskimi inskrypcjami oraz trójką światełek.

Oddawszy bez żalu artefakt dwójce gigantów, bohaterowie o zmroku dotarli do Koncen. Miasto otaczał kordon slumsów, a za miastem widać było ogromną nieckę, większą od miasta wypełnioną czymś, co z daleka wyglądało jak ruiny metropolii. Maerwal zaczął wypytywać miejscowych o plotki - wiele z nich (jak to plotki) było dziwnych lub wręcz sprzecznych ze sobą. Bogowie mieli rzekomo umrzeć, powiedział zdesperowany kapłan. Ruiny są pełne artefaktów, które mają własną inteligencję i mogą dać ludziom siłę, lub pochłonąć właściciela. Jest tam jedzenie sycące na tygodnie. Są tam podobno klany barbarzyńców, z których jeden ogłosił się królem.

Trzymając się wcześniej ustalonego planu, William poprowadził drużynę do portu. Tylko jeden kapitan był gotów odpłynąć. Do portu przybywało wiele statków, ale większość zamierzała poczekać, by wypełnić ładownie artefaktami z ruin. Pirat z niesmakiem zauważył, że w tym świecie statki nie żaglują, a poruszają się raczej przy pomocy napędów ser Henryka.

Dzień 20 - wiatr w żagle!

Rozgrzmiały rozkazy kapitana, pokład zadrżał od tupotu stóp załogi zajmującej pozycje. Wszyscy napięli mięśnie oczekując nagłego zrywu, który nastąpi po włączeniu napędu ser Henryka. Jakby na złość drużynie, nic się nie wydarzyło. Duży czerwony przycisk w maszynowni co prawda wydawał charakterystyczne "klik", ale nic więcej się nie działo. Gdy Maerwal dowiedział się, że napędy były dostarczane od kapłanów, postanowił pomodlić się o przewodnictwo.
Tymczasem William uśmiechał się pod nosem. Jego znajomość fachu żeglarskiego może okazać się jeszcze przydatna!