On Mon, 7 Sep 2015 15:24:21 -0400, Arian Molina Aguilera wrote:
cual es la diferencia de usar nginx-naxsi, no lo conozco, al parecer
cuando instalaste diste ese nombre, y por supuesto el mismo no aparece
en los repo oficiales de ngix, y el de dotdeb es más reciente que el
del repo de sistema, y por eso se instala, dime que ventaja tendría en cambiar a esa versión nginx-naxsi en mis servidores. Viste lo otro que
te mande, para protegerse un poco. Salu2.

Si, el paquete nginx-naxsi instala nginx con el modulo naxsi.

Naxsi [1] es un cortafuegos para nginx relativamente flexible, que funciona con el principio de denegación por defecto, y viene con reglas genéricas anti-XSS y anti-injection.

De todas formas yo agregué a mi virtualhost algunas medidas adicionales antes de mi primer location, en parte basándome por lo que pusiste, y en parte por otras cosas que he leido, por ejemplo, estas dos parecen útiles para filtrar usos raros:

        if ($request_method !~ ^(GET|HEAD|POST)$ ) {
                return 403;
        }

        if ($http_user_agent ~ ^$) {
                return 444;
        }

Me faltan aun algunas cosas como limitar la cantidad máxima de conexiones persistentes simultáneas, establecer el límite de peticiones por segundo para cada cliente, ajustar el tamaño de los buffers, etc.

Saludos, Hugo

[1] https://github.com/nbs-system/naxsi


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a