Я ищу компактное, но эффективное решение IDS / IDP / WAF для моего крошечного веб-сервера VPS.
В настоящее время я уже использую iptables и psad, но многие попытки сканирования веб-сервера не проходят. Я использую ngingx, но предпочитаю независимое от веб-сервера решение.
Каким будет рациональный и эффективный подход для защиты моего крошечного сервера от постоянного сканирования вредоносными ботами? Желательно низкие эксплуатационные расходы - VPS тоже не слишком мощный.
Большое спасибо за подсказки и рекомендации.
Если вы хотите защитить всего лишь веб-приложение, то ModSecurity будет моей первой рекомендацией, несмотря на то, что вы говорите, что хотите независимости веб-сервера.
Альтернативы обычно включают что-то вроде Snort, OSSEC, Bro, Fail2Ban и компанию. У каждого есть свои сильные и слабые стороны. OSSEC и Fail2Ban могут читать файлы журналов и обновлять правила брандмауэра, но в значительной степени неэффективны против распределенных ботнетов. Они будут замечать отдельные попытки, но многие боты будут пытаться по одной, с большой задержкой от каждой. Сказав, что есть много глупцов, которые постоянно стучат в дверь.
Snort и тому подобное немного тяжелы и требуют осторожного обращения, чтобы избежать массы ложных срабатываний, хотя, поскольку он применяется в одном устройстве, а не во всей сети, это должно быть немного проще. Также вам нужно будет создать свои собственные действия, например, используя Fail2Ban для чтения журналов.
С другой стороны, тщательно настроенная ModSecurity, вероятно, даст вам лучшие результаты с немного меньшими усилиями, чем Snort и другие. и он уже предназначен для защиты того, что вы хотите защитить, а не для того, чтобы быть универсальным, как другие.