nginx + WordPress = kilka słów o bezpieczeństwie

Wpis w zasadzie jest moim podsumowaniem w temacie malware, bezpieczeństwa, wykonywania kodu dziwnego w zainfekowanym WordPressie co usłyszałem na jednym z WordUp Trójmiasto. Na spotkaniu były omawiane metody związane z Apache2, którego ja nie używam tak więc poniżej pare wpisów dla nginx-a. :) Jak mówił prelegent na WordUp – WordPress nie musi/nie powinien wykonywać kodu


Linux, Windows, WordPress

nginx + cgi-bin

Czasem jest potrzeba uruchomić jakis skrypt perl-a czy coś innego via cgi-bin :) Na start instalujemy paczkę:

Teraz musimy dodać odpowiedni wpis location do konfiguracji vhosta, coś jak poiniżej:

Oczywiście katalog cgi-bin musimy mieć w /web/domena.pl/app i w nim skrypt do uruchomienia. Wszystko :)


Linux

NFS klient, serwer @ Debian

NFS jak wiadomo to sieciowy system plików, zastosowań cała masa: od serwera storage pod backup czy maszyny wirtualne po udostępnianie udziałów dla takich aplikacji ja ToonBoom Harmony dla systemów OSX czy Linux. Na początek instalujemy paczuszki :) na serwerze (w przypadku Debiana i pochodnych):

oraz w przypadku klienta gdzie systemem jest Debian i pochodne:


Linux, Windows

WordPress/Joomla/404 + Fail2Ban = Ochrona przed brute force attacks

O samym fail2ban już pisałem przy okazji postfix-a. Teraz czas przyszedł na WordPress i Joomle oraz inne dziwne wynalazki :) Oczywiście fail2ban musi być zainstalowany :)

To na początek. W przypadku obu skryptów musimy dodać odpowiednie dodatki które nam do logów wyplują info o nie udanej próbie logowania. Tak więc: Joomla: http://extensions.joomla.org/extension/fail2ban oraz WordPress:


Linux, Windows, WordPress

nginx – „zmuszenie” do pobrania pliku

Czasem jest potrzeba aby plik został pobrany – ot pdf czy jakaś grafika, a nie otworzony przez przeglądarkę. Metoda prosta :) zmuszamy do tego nasz ulubiony serwer poprzez dodanie odpowiedniego nagłówka do lokacji. Przykład poniżej:

Oczywiście zapis trzeba dostosować pod siebie.


Linux

Samba4, problem z gpupdate

Ot problem, gdy nie mogę zaaktualizaować GPO, jak poniżej

Rozwiązanie jest bardzo proste:

I to wszystko :)


Linux, Windows

Motek sieciowy, bounding, LACP – Debian/Ubuntu

Mostek jak mostek :) Czasem się przydaje, później napiszę coś o kontenerach LXC i tutaj będzie to wymagane. Bounding to łączenie kilku interfejsów fizycznych w jeden. Przydaje się gdy chcemy rozłożyć ruchu sieciowy lub ograniczyć awaryjność. W pierwszej kolejności instalujemy kilka paczek:

Ja posiadam cztery fizyczne karty sieciowe w moim serwerze – Dell r610.


Linux

nginx jako revers proxy

A czasem przydaje się użycia revers proxy, a to dla jakiegoś apache czy aol. Konfiguracja jest banalna :)

Ot dla przykładu nginx jest revers proxy dla aplikacji postawione na localhoscie na porcie 8080. Dodatkowo można poprzez location można by dać odwołanie bezpośrednie dla katalogu z jakimiś mediami. Dla apacza jeden drobiazg.

I tutaj


Linux