我有一個要阻止的機器人列表,所以我認為fail2ban可能是一個解決方案,直到我意識到mod_security在此類任務中會更有效。
機器人數量龐大,因此配置檔案將包含很長的列表。
我的問題是關於效能(記憶體、處理器、磁碟等):
擁有大量要阻止的機器人是否會影響 apache 在大流量網站中的效能?
答案1
性能應該不是問題;檢查 ModSecurity 的 @rbl 功能與本機 DNS 快取相結合,這將使您能夠追蹤 DNS 中的違規者,並在決定允許或封鎖某些連線時利用該 DNS 區域作為參考。
答案2
您可以根據用戶代理字串中存在的幾個關鍵字過濾掉機器人,並只允許某些機器人通過,而不是管理一長串機器人。
我用它來阻止所有我不想爬行我的網站的蜘蛛/機器人。然後,我只讓那些人通過,我有興趣為網站建立索引。所有其他人都被防火牆阻止。
到目前為止,這對我來說表現得很好。
sudo nohup tail -f /var/log/apache2/access.log | awk -F' - |\"' 'tolower($7) ~ /bot|crawler|spider/ && tolower($7) !~ /google|yahoo|bing|msn|ask|aol|duckduckgo/{system(" sudo ufw deny from "$1" to any comment \""$7"\"")}' > /dev/null &