Linux за българи: Форуми

... , когато му се поиска
https://mail.example.net/
да "се прави на умряла лисица", а когато му се поиска
https://mail.example.net/roundcubemail
да го сервира?

Какво имам предвид под да "се прави на умряла лисица"? Например да не отговаря, все едно, че няма такава услуга или, че портът е затворен, или "No route to host".

Или пък, ако е трудно, да пренасочва към друг URL (https://example.net/)

... , когато му се поиска
https://mail.example.net/
да "се прави на умряла лисица", а когато му се поиска
https://mail.example.net/roundcubemail
да го сервира?

Какво имам предвид под да "се прави на умряла лисица"? Например да не отговаря, все едно, че няма такава услуга или, че портът е затворен, или "No route to host".

Или пък, ако е трудно, да пренасочва към друг URL (https://example.net/)

   Праскаш в rootdir (предполага се,че е "/var/www/html") файл
"index.html" в който е записано "No route to host" или каквото те кефи.
Разбира се,освен "index.html", във "/var/www/html" не трябва да има
други файлове/директории ,освен директория "roundcubemail" ...

Не. не трябва нищо да пeчата.
в index.php слагаш само:


от всички HTTP статус кодове, 503 най много прилича на умряла лисица.

освен това е добре за СЕО-то и Гого, защото не означава грешка 4xx, нито ок 2xx, нито редирект 3xx, а означава само: 'в момента извършваме профилактика, затова си гледайте работата....'
https://yoast.com/http-503-site-maintenance-seo/


-----
ps: но ако искаш може заедно с хедъра и да напечаташ нещо (та да го види потребителя), но печатането не е необходимо.

<?php
header(...)'

print ("Умряла лисица ver.1.0\n");

?>

Извинявам се, че най-некадърния ще се обади, но тези неща по никакъв начин не спират nmap да каже, че там има поща. Ако не иска на тази конкретна страница да показва нищо, то спокойно може да сложи празен Index или такъв в който просто пише Forbiden.

Извинявам се, че най-некадърния ще се обади, но тези неща по никакъв начин не спират nmap да каже, че там има поща. Ако не иска на тази конкретна страница да показва нищо, то спокойно може да сложи празен Index или такъв в който просто пише Forbiden.

Колегата е прав. Това да се прави самия уеб сървър на умрела лисица, значи да слезем няколко слоя надолу по мрежата. Докато отварянето си е в горните слоеве.

по никакъв начин не спират nmap да каже, че там има поща. Ако не иска на тази конкретна страница да показва нищо, то спокойно може да сложи празен Index или такъв в който просто пише Forbiden.

+1

Не. не трябва нищо да пeчата.
в index.php слагаш само:

Код:

<?php
header($_SERVER["SERVER_PROTOCOL"]." 503 Service Unavailable", true, 503);
?>

от всички HTTP статус кодове, 503 най много прилича на умряла лисица.

освен това е добре за СЕО-то и Гого, защото не означава грешка 4xx, нито ок 2xx, нито редирект 3xx, а означава само: 'в момента извършваме профилактика, затова си гледайте работата....'

А добра идея ли е към същия index.php да пренасоча и 404 Not Found, или всички тези гимнастики са безсмислени?

А добра идея ли е към същия index.php да пренасоча и 404 Not Found, или всички тези гимнастики са безсмислени?

Не те разбирам. ??? 503 си е едно 404 си е друго.
Ако искаш да имаш страничка с цветничко хубаво иглеждащо 404 - така че за потребителя да не изглежда като 'син екран'...ми направи си отделна страница за 404.
Май можеше директо в апачито да се зададе такава страница....


За умрялата лисица пак не го разбрах напълно и за кой слой трябва да е....Защото той иска да се отваря нормално https://mail.example.net/roundcubemailа а това не е съвсем умряла лисица. Най-малко е в същият виртуален хост.

--------
а да и още една идотска идея. За вбесяване на потребителя (покрай 503) може да сложиш едно анимирано вeчно въртящо се gif-че с надпис Loading......  >:D

roundcubemail
конфигуриран тук:
/etc/apache2/conf.d/roundcubemail.conf

mail.example.net
е конфигуриран тук:
/etc/apache2/sites-enabled/mail.example.net

нали така,
това са два различни сайта
тоест втората конфигурация може много лесно да я счупиш нарочно
единствено трябва BIND да продължи да твърди че mail.example.net се обслужва от локалния хост
в противен случай ще трябва да се достъпва по IP така https://айпиадрес/roundcubemail

За умрялата лисица пак не го разбрах напълно и за кой слой трябва да е....

Да, всъщност няма как да се направи на умряла, понеже вече си е отворила очите, след като е чула заявката и това е забелязано от досадника.

а да и още една идотска идея. За вбесяване на потребителя може да сложиш едно анимирано вeчно въртящо се gif-че с надпис Loading......

  :)

Сега забелязвам че
/etc/apache2/conf.d

в новите дистрибуции е променено на
/etc/apache2/conf-enabled

Не е ли fail2ban нещото, което ще ми свърши работа?

Грешна парола -> No route to host
Грешен URL -> No route to host

Ползвате ли това нещо?

... , когато му се поиска
https://mail.example.net/
да "се прави на умряла лисица", а когато му се поиска
https://mail.example.net/roundcubemail
да го сервира?

Какво имам предвид под да "се прави на умряла лисица"? Например да не отговаря, все едно, че няма такава услуга или, че портът е затворен, или "No route to host".

Или пък, ако е трудно, да пренасочва към друг URL (https://example.net/)

В https://mail.example.net/ имаш ли някакъв index.* ?

Ако нямаш , просто промени в конфа на апачето:
Options -Indexes

Мисля че може и през htaccess, но така е по сигурно.

ПП: Ако нямаш индекс но имаш файлове, които не искаш да се виждат, ще трябва да забраниш и тях. Реално ефектът ще е форбитън, но друго не мисля че можеш да постигнеш, ако искаш апача да може да сервира домейна/нещо . Това последното си е моя мисъл, според това, което знам за апача, така че може да греша, но не намирам логика да друго яче :)

Не е ли fail2ban нещото, което ще ми свърши работа?

Грешна парола -> No route to host
Грешен URL -> No route to host

Ползвате ли това нещо?

Вече не го използвам, но принципът е следния:
Чете логовете и му казваш при "толкова пъти от това"  блоквай.
Ползвал съм го за брутфорс, но в днешно време има и други решения.

Например:
Това отгоре което съм ти предложил ще връща форбитън. Аз използвам CSF  за защитна стена. На него мога да му кажа ,като видиш 10 форбитана блоквай (реално прави iptables правила). При fail2ban имах много проблеми с това как чете логовете. При ъпдейт на апача или на някой друг сървис, като си промени синтаксиса в логовете, почват едни перипети с регигси да го натъкмя. CSF за сега е нямал тоя проблем и реално работя с един конф файл, на който му давам "LF_APACHE_403 = "10" и от там нататък си работи.

В https://mail.example.net/ имаш ли някакъв index.* ?

Ако нямаш , просто промени в конфа на апачето:
Options -Indexes

.....

Най ми хареса предложението на Naka по-горе и го направих по предложения от него начин.

Надявам се някой да коментира и fail2ban

А, ти си писал и за него! Благодаря! Ще чета :)

Цитат на: makeme в Feb 10, 2020, 09:27

В https://mail.example.net/ имаш ли някакъв index.* ?

Ако нямаш , просто промени в конфа на апачето:
Options -Indexes

.....

Най ми хареса предложението на Naka по-горе и го направих по предложения от него начин.

Надявам се някой да коментира и fail2ban

А, ти си писал и за него! Благодаря! Ще чета :)

Предложението на Нака е добро, но това което ти предложих за апача е на по-ниско ниво. И както вече казах и 2те предложения не спират от това да се отварят файлове. Например домейн/файл.тхт и за това споделих че ако имаш такива е добре и тях да забраниш (обикновенно през htaccess). Ако нямаш, игнорирай това, което ти пиша.