zoraxy - универсальный reverse-proxy с WebUI, написаный на Go.

Из особенностей - встроенная Web Console для управления, Утилиты (IP сканер, mDNS сканер, конвертер CIDR IP), интеграция с SSO, поддержка ACME протокола (включая DNS Challenge) , поддержка SNI. Помимо протокола HTTP/2 умеет и в режим TCP Proxy.

https://github.com/tobychui/zoraxy

#proxy #nginx #traefik #haproxy

Sablier - позволяtn запускать контейнеры и поды в зависимости от нагрузки по требованию и останавливать их после периода бездействия.

Поддерживает:
- docker
- docker swarm
- kubernetes

Поддерживает reverse proxy:
- nginx
- caddy
- traefik

https://github.com/acouvreur/sablier

Документация: https://acouvreur.github.io/sablier/#/

опубликовано в  @gitgate

#docker #swarm #k8s #ondemand #nginx #caddy #traefik

nginx-proxy реверс прокси сервер с autodiscovery на базе nginx.

Контейнер, на котором работают nginx и docker-gen, который генерирует конфигурации обратного прокси-сервера для nginx и перезагружает nginx при запуске и остановке контейнеров.

Подробности проекта в блоге: http://jasonwilder.com/blog/2014/03/25/automated-nginx-reverse-proxy-for-docker/

https://github.com/nginx-proxy/nginx-proxy

опубликовано в @gitgate

PS. Активно и давно использую у себя в мелких проектах.

#nginx #proxy #autodiscovery

rhit - читает ваши файлы журналов nginx в их стандартном расположении (даже в сжатом виде), проводит некоторый анализ и сообщает вам об этом в виде красивых таблиц в вашей консоли.

Он позволяет фильтровать обращения по датам, статусу, ссылкам или путям, а также выполняет анализ тенденций.

https://github.com/Canop/rhit

опубликовано в @gitgate

#nginx #tui #moni #log #viewer

Authelia - сервер аутентификации и авторизации с открытым исходным кодом, обеспечивающий двухфакторную аутентификацию и единый вход (SSO) для ваших приложений через веб-портал. Он действует как компаньон для обратных прокси, разрешая, запрещая или перенаправляя запросы.

Список ключевых особенностей Authelia:

- несколько методов второго фактора:
* ключи безопасности, поддерживающие FIDO2 WebAuthn, с такими устройствами, как YubiKey.
* одноразовый пароль на основе времени с совместимыми приложениями аутентификации.
* мобильные push-уведомления с Duo.
- сброс пароля с проверкой личности с помощью подтверждения по электронной почте.
- ограничение доступа после слишком большого количества неверных попыток аутентификации.
- детализированное управление доступом с использованием правил, которые соответствуют таким критериям, как поддомен, пользователь, членство в группе пользователей, URI запроса, метод запроса и сеть.
- выбор между однофакторной и двухфакторной политикой для каждого правила.
- поддержка базовой аутентификации для конечных точек, защищенных однофакторной политикой.
- высокая доступность с использованием удаленной базы данных и Redis в качестве высокодоступного хранилища.
- совместим с Traefik из коробки с использованием промежуточного программного обеспечения ForwardAuth.
- совместим с Caddy с помощью директивы front_auth.
- поддержка Кубернетеса:
- бета-поддержка OAuth 2.0 и OpenID Connect 1.0

https://github.com/authelia/authelia

опубликовано в @gitgate

#sso #traefic #haproxy #nginx #reverse-proxy #auth

Gixy инструмент для анализа конфигурации NGINX.

Основная цель Gixy - предотвратить неправильную конфигурацию безопасности и автоматизировать обнаружение недостатков.

https://github.com/yandex/gixy

опубликовано в @gitgate

#nginx #security #tools #cli

nginx-client-certificate-authentication - пример конфигурации NGINX, включающий аутентификацию по сертификату клиента, то есть пользователь/клиент должен представить сертификат, чтобы получить доступ.

https://gist.github.com/ronau/f78dfef5c496e4240708bbedc6ca512d

опубликовано в @gitgate

#nginx #security #auth #ssl #cert

nginx-tuning - пример настроек nginx / angie под большие нагрузки

Как правило, правильно настроенный NGINX может обрабатывать до 400 тыс. До 500 тыс. запросов в секунду (кластерный). Большинство то, что я видел, составляет от 50 до 80 тыс. (Не кластеризованные) запросов в секунду и 30% нагрузки на CPU, конечно, это было 2 x Intel Xeon с включенным HyperThreading, но это может работать без проблем на более медленных машинах.

Вы должны понимать, что эта конфигурация используется в среде тестирования, а не в производстве, поэтому вам нужно будет вдумчиво и с пониманием пытаться реализовать большинство из этих функций с учетом потребностей ваших сервисов.

Отдельную ценность представляют ссылочки в конце описания репки.

https://github.com/denji/nginx-tuning

опубликовано в #gitgate

#nginx #performance #highload #tuning

BunkerWeb - следующее поколение брандмауэра WAF для web-приложений c открытым исходным кодом

Будучи полнофункциональным веб-сервером (на основе Nginx под капотом), он защитит ваши веб-сервисы, чтобы сделать их «безопасными по умолчанию». BunkerWeb плавно интегрируется в ваши существующие среды (Linux, Docker, Swarm, Kubernetes,…) и полностью настраивается (не паникуйте, есть потрясающий веб-интерфейс, если вам не нравится CLI). Другими словами, кибербезопасность больше не является хлопотом.

BunkerWeb содержит первичные функции безопасности как часть ядра, но его можно легко расширить с помощью дополнительных благодаря системы плагинов.

Функции безопасности

- поддержка HTTPS с прозрачной автоматизацией Let's Encrypt
- современная веб-безопасность: заголовки HTTP Security, предотвращение утечек, TLS hardering
- встроенный Modsecurity WAF с набором правил Core OWASP
- автоматический запрет странного поведения на основе кода состояния HTTP
- применение лимитов подключений и запросов для клиентов
- блок ботов для решения проблем (например: cookie, JavaScript, Captcha, Hcaptcha или Recaptcha)
- блокировка известных плохих IP с внешними черными списками и DNSBL
- и многое другое...

https://github.com/bunkerity/bunkerweb

Домукентация: https://docs.bunkerweb.io
Демо: https://demo.bunkerweb.io
Примеры: https://github.com/bunkerity/bunkerweb/raw/v1.5.12/examples
Конфигуратор: https://config.bunkerweb.io

опубликовано в #gitgate

#nginx #waf #linux #docker #swarm #k8s #webui #cli #dnsbl

bunkerweb-plugins - репозиторий содержит «официальные» плагины для BunkerWeb

Каждый плагин расположен в подкаталоге этого репозитория. Файл Readme, расположенный в каждом подкаталоге, содержит документацию о плагине.

Список плагинов:

- ClamAV
- CrowdSec
- Coraza
- Discord
- Slack
- VirusTotal
- WebHook

https://github.com/bunkerity/bunkerweb-plugins

опубликовано в @gitgate

#nginx #bunkerweb #plugin

Nginx-Lua-Анти-DDoS - cкрипт Anti-DDoS для защиты веб-серверов Nginx с использованием Lua и головоломки аутентификации на основе Javascript, вдохновленные Cloudflare

Если вы подверглись атаке и используете мой скрипт во время атаки, посетители будут видеть промежуточную страницу примерно в течение пяти секунд, пока я анализирую трафик, чтобы убедиться, что это настоящий посетитель-человек.

Это может защитить вас от различных форм DDoS-атак как с трафиком HTTP, так и с трафиком HTTPS/SSL.

Нет ограничений на размер атаки Гарантия бесперебойной работы

Безопасность:
- я нахожусь в режиме атаки (HTML-страница аутентификации DDoS)
- белый список IP-адресов
- белый список диапазонов подсетей IP
- черный список IP-адресов

WAF (брандмауэр веб-приложений):
- блокировка и добавление в белый список IPv4 и IPv6, включая диапазоны подсетей.
- блокировка User-Agent и создание белых списков для блокировки вредоносных ботов и эксплойтов/сканеров.
- возможность проверки данных/полей POST и блокирования вредоносных запросов/эксплойтов POST.
- возможность проверки URL-адресов на наличие вредоносного контента, SQL/SQI-инъекций, XSS-атак/эксплойтов.
- возможность проверки строк запросов и аргументов на предмет вредоносного контента/эксплойтов.
- возможность проверки всех заголовков запросов, предоставленных подключающимся клиентом.
- возможность проверки файлов cookie на предмет уязвимостей.

Производительность кэширование:
- сортировка строки запроса
- белый список строк запроса
- удаление строки запроса (это черный список, но он просто отбрасывает/удаляет аргумент из URL, а не блокирует запрос)
- минимизация / сжатие файлов, удаление пробелов и обнуление кода / строк JS JavaScript, таблиц стилей CSS, HTML и т. д.

https://github.com/C0nw0nk/Nginx-Lua-Anti-DDoS

опубликовано в @gitgate

#ddos #nginx #lua #waf #security