ConfigServer Security & Firewall

#1
Bonjour :)

J'ai beaucoup d'IP à blacklister sur l'outil ConfigServer Security & Firewall (serveur Hybricloud).

Le fichier /etc/csf/csf.deny est-il limité en nombre d'IP ou poids du fichier ?
Car je trouve beaucoup de citations du genre sur le web :
As we know that the IP address deny file in csf.deny is limited to 1000 ip's
J'ai bien trouvé la conf DENY_IP_LIMIT mais il est précisé
Care should be taken when increasing this value on servers with low memory
resources or hard limits (such as Virtuozzo/OpenVZ) as too many rules (in the
thousands) can sometimes cause network slowdown
Je trouve également une astuce consistant à faire un include pour lister les IP si trop nombreuses Include /etc/csf/csf.denytoo : quelqu'un a un exemple concret ou une doc officielle ?
Cet include est-il compris dans la limite ?

Merci pour vos retours :cool:.
 
Dernière édition:

PH-Marc-André.B.

Conseiller technique
Membre du personnel
#2
Bonjour,

De notre côté nous n'avons jamais testé cette solution mais si nous fouillons sur le net nous trouvons bien ce fil sur StackExchange (anglais)
https://serverfault.com/questions/2...stead-of-csf-allow-in-csf-like-conf-in-apache

Selon "user9517 " il ne s'agirait que de placer la directive "include" dans le fichier /etc/csf/csf.deny

Code:
Include /etc/csf/csf.deny2
Ensuite il s'agirait de créer le fichier csf.deny2 et pour ça il est possible que l'accès root soit requis sur l'HybridCloud,

Il faut donc remplir le formulaire suivant et nous le retourner par ticket via la section mon support de votre espace client PlanetHoster:

https://assets.planethoster.com/pdf/degagement_de_responsabilite_acces_administrateur_fr.pdf


Autrement pourquoi pas simplement tester avec une limite plus élevée?

Bien que je ne l'ai pas testé d'après mon expérience le résultat sera le même au final que vous ayez paramétré un include ou que vous ayez rehaussé la limite.
 
#3
Bonjour :)

Merci pour cette réponse.:cool:

Peur de faire planter le serveur en production ou de le ralentir un peu trop.
Du coup je sélectionné 1000IP frauduleuse aléatoirement que je défini dans le csf et met à jour régulièrement.
 

PH-Marc-André.B.

Conseiller technique
Membre du personnel
#4
Bonjour,

Autrement saviez vous que vous pouvez "deny from IP" via .htaccess?


Code:
deny from  XX.XX.XX.XX
Pas de limites connues pour cette directive dans le fichier .htaccess
 
#5
c'est ce que je faisait avant mais vu la liste grandissante :eek:
je vais tenter de travailler par plage d'ip ce sera mieux je pense :D
 

PH-Marc-André.B.

Conseiller technique
Membre du personnel
#6
Pourquoi bloquer des milliers d'adresses IP ce n'est pas normal.

Avez-vous aussi songé à vérifier les logs ? Possiblement que par "user-agent" sera plus efficace par exemple si vous avez des bots indésirables.
 

PH-Marc-André.B.

Conseiller technique
Membre du personnel
#7
Voici un exemple pour bloquer des mauvais user-agent via .htaccess

Code:
RewriteCond %{QUERY_STRING} .
RewriteCond %{HTTP_USER_AGENT} 11A465|Ahrefs|ArchiveBot|AspiegelBot|Serf|Baiduspider|BLEXBot|Bytespider|CCBot|Curebot|Daum|Detectify|DotBot|Grapeshot|heritrix|Kinza|LieBaoFast|Linguee|LMY47V|MauiBot|Mb2345Browser|MegaIndex|MicroMessenger|MJ12bot|MQQBrowser|PageFreezer|PiplBot|Riddler|Screaming.Frog|Search365bot|Seekport|SemanticScholarBot|SemrushBot|SEOkicks|serpstatbot|Siteimprove.com|Sogou.web.spider|trendictionbot|TurnitinBot|UCBrowser|weborama-fetcher|Vagabondo|VelenPublicWebCrawler|YandexBot|YisouSpider [NC]
RewriteRule ^.* - [F,L]
 
Haut