Rproxy: Skillnad mellan sidversioner
Nsg (diskussion | bidrag) |
Nsg (diskussion | bidrag) |
||
| Rad 45: | Rad 45: | ||
Konfiguration hittar du i <code>/etc/traefik</code> | Konfiguration hittar du i <code>/etc/traefik</code> | ||
=== Fail2ban === | |||
Förutom sshd som är på som standard på Debian så har jag skapat ett filter som heter <code>shakespeer-ip</code> som ser ut så här: | |||
[Definition] | |||
failregex = ^<HOST>.+\/~mhe\/ip.shtml.+\"shakespeer\/.+$ | |||
ignoreregex = | |||
Set är sedan laddat från <code>jail.d/customisation.local</code> så här: | |||
[traefik-shakespeer] | |||
enabled = true | |||
filter = shakespeer-ip | |||
logpath = /var/log/traefik/access.log | |||
maxretry = 3 | |||
findtime = 60 | |||
bantime = 900 | |||
port = http,https | |||
Det lägger iptables-regler som blockar alla Shakespeer som spammar sönder oss med att försöka använda ip.shtml som inte har funkat på många, många år ... | |||
=== Mediawiki === | === Mediawiki === | ||
Versionen från 16 december 2018 kl. 14.58
rproxy är en maskin som agerar reverse proxy för ett flertalet tjänster på Stacken.
Konfiguration
Hårdvara
Maskinen är ett VM
OS m.m.
- Ubuntu 18.04 LTS
- Automatiska säkerhetsuppdateringar
Docker
- docker-bench-security körd och Docker är lite mer nerlåst
# daemon.json
{
"userns-remap": "dockremap",
"live-restore": true,
"userland-proxy": false,
"no-new-privileges": true
}
Traefik
Traefik används för att ta i mot trafik samt terminera TLS. Det finns en systemd unit med samma namn som ser ut så här:
# /etc/systemd/system/traefik.service [Unit] Description=Traefik Reverse Proxy After=network.target [Service] Type=notify ExecStart=/usr/local/bin/traefik --configFile=/etc/traefik/traefik.toml Restart=always WatchdogSec=60s NoNewPrivileges=yes ProtectSystem=strict ReadWritePaths=/etc/traefik/state/ ProtectHome=yes [Install] WantedBy=multi-user.target
Konfiguration hittar du i /etc/traefik
Fail2ban
Förutom sshd som är på som standard på Debian så har jag skapat ett filter som heter shakespeer-ip som ser ut så här:
[Definition] failregex = ^<HOST>.+\/~mhe\/ip.shtml.+\"shakespeer\/.+$ ignoreregex =
Set är sedan laddat från jail.d/customisation.local så här:
[traefik-shakespeer] enabled = true filter = shakespeer-ip logpath = /var/log/traefik/access.log maxretry = 3 findtime = 60 bantime = 900 port = http,https
Det lägger iptables-regler som blockar alla Shakespeer som spammar sönder oss med att försöka använda ip.shtml som inte har funkat på många, många år ...
Mediawiki
Mediawiki körs i en Docker container och startas med Docker Compose. Du hittar konfigurationen för det i /etc/mediawiki. Bilderna ligger i /var/mediawiki/images.
Bucky
Bucky används som en statsd till carbon relay som Traefik använder för att att skicka in data till Graphite. Den kör i Docker och startas med Docker Compose och ligger i /etc/bucky.