Re: MD5 и memcached get value
Konstantin Baryshnikov
konstantin на symbi.org
Чт Июл 14 08:14:21 UTC 2016
> On Jul 14, 2016, at 9:25 AM, LEOWRS <nginx-forum на forum.nginx.org> wrote:
>
> Константин, в штатном режиме ресурсов более чем достаточно, особенно если
> nginx держит постоянный коннект.
>
> Необходима такая функция когда начинается атака на сервер на уровень
> application, скрипты её вычисляют весьма оперативно, и в идеальном варианте
> php записывает в memcached пару denyip$IP=1, а уже nginx бы отбивал.
>
> А иначе надо складывать их куда-то и либо по крону закидывать в map, либо
> вообще писать демона который проверяет изменения файла и закидывает в
> iptable адреса, но это всё опять же криво, так как в идеале блокировку
> делать не постоянную, а к примеру на 1 час, этого достаточно чтобы отбиться,
> но в тоже время влитевший под блок случайный юзер не будет похоронен
> навсегда.
По крону в любом случае нужна перегенерация - заодно и выкидывать. Не вижу особого смысла это все делать на уровне nginx, всякие fail2ban для таких задач существуют.
Впрочем, в порядке извращения, можно попробовать использовать http_auth_request_module с auth_request на внутренний location, читающий из мемкеша, дополненный строчкой наподобие error_page 404 =403.
Подробная информация о списке рассылки nginx-ru