Wallarm Node - Обновление 2.10

Изменения в системе

  • Переработан механизм загрузки правил фильтрации.
    • Важно: изменение прав доступа
  • Расширен формат правил фильтрации.
    • Селекторы по отсутствию значения.
    • Селекторы по методу http-запроса.
    • Устранен конфликт между отключением типов атак и применением vpatch.
  • Добавлена поддержка системы мониторинга Prometheus.
  • Добавлено сохранение информации о факте блокировки запроса.
  • Добавлена возможность устанавливать тэги в конфиге Nginx.
  • Директива wallarm_worker_rlimit_vmem помечена устаревшей.
  • Прекращена поддержка ОС Debian GNU/Linux 7.x (wheezy).

Новый способ загрузки правил фильтрации

Раньше ЛОМ-файл загружался в память в процессе обработки конфиг-файла и для обновления правил фильтрации была необходима перезагрузка Nginx.

Теперь обновление правил фильтрации происходит в фоне в рамках отдельного процесса "cache manager", нет необходимости перезапускать воркеры Nginx.

Кроме этого поменялся способ хранения загруженных данных в памяти и результаты загрузки кэшируются в файл. Благодаря этому нет необходимости перезагружать правила фильтрации при каждом обновлении конфиг файла.

Права доступа!

Файлы license.key, proton.db и lom должны быть доступны на чтение пользователю, под которым запускаются worker-процессы Nginx.

При стандартных настройках ничего дополнительно настраивать не потребуется, но если вы используете кастомную сборку Nginx или запускаете его под нестандартныи пользователем потребуется внести следующие изменения:

  • при установке нового фильтрующего узла запускать addnode --nginx-group ... для подключения к облаку
  • на имеющихся инсталляциях добавить в /etc/wallarm/node.yaml следующее
    syncnode:
      group: ...
    

Изменения формата правил фильтрации

Добавлена возможность создавать правила для особенной обработки тех запросов, в которых присутствует или, наоборот, отсутствует заданный параметр.

Добавлена возможность создавать правила для особенной обработки запросов в зависимости от метода запроса (GET/POST и другие).

Исправлен ранее присутствующий конфликт между правилами отключения типа атаки и виртуальным патчем, применяемых на один и тот же параметр.

Поддержка системы мониторинга Prometheus

Директива wallarm_status теперь позволяет настроить отдачу метрик в формате, совместимом с prometheus.

А также...

Фильтрующий узел теперь сохраняет информацию о факте блокировки запроса. Эта информация доступна при просмотре атак в личном кабинете.

В конфиге Nginx теперь можно с помощью директивы wallarm_set_tag к каждому запросу добавлять дополнительную информацию в формате ключ-значение. Эта информация доступна для использования в подсистеме постаналитики.

Директива wallarm_worker_rlimit_vmem теперь считается устаревшей и ее поведение полностью аналогично wallarm_ts_request_memory_limit.

Поддержка ОС Debian GNU/Linux 7.x (wheezy) прекращена.

results matching ""

    No results matching ""