Устранение неполадок

На этой странице рассмотрены наиболее распространённые проблемы при запуске PRX-WAF, их причины и решения.

Ошибка подключения к базе данных

Симптомы: PRX-WAF не запускается с ошибками "connection refused" или "authentication failed".

Решения:

1. Проверьте, что PostgreSQL запущен:

# Docker
docker compose ps postgres

# systemd
sudo systemctl status postgresql

2. Проверьте связность:

psql "postgresql://prx_waf:[email protected]:5432/prx_waf"

3. Проверьте строку подключения в вашем TOML-файле конфигурации:

[storage]
database_url = "postgresql://prx_waf:[email protected]:5432/prx_waf"

4. Запустите миграции, если база данных существует, но таблицы отсутствуют:

prx-waf -c configs/default.toml migrate

Правила не загружаются

Симптомы: PRX-WAF запускается, но нет активных правил. Атаки не обнаруживаются.

Решения:

1. Проверьте статистику правил:

prx-waf rules stats

Если вывод показывает 0 правил, каталог правил может быть пустым или неправильно настроенным.

2. Проверьте путь к каталогу правил в вашей конфигурации:

[rules]
dir = "rules/"

3. Проверьте файлы правил:

python rules/tools/validate.py rules/

4. Проверьте синтаксические ошибки YAML — один неправильно сформированный файл может предотвратить загрузку всех правил:

# Проверяйте по одному файлу для нахождения проблемы
python rules/tools/validate.py rules/owasp-crs/sqli.yaml

5. Убедитесь, что встроенные правила включены:

[rules]
enable_builtin_owasp   = true
enable_builtin_bot     = true
enable_builtin_scanner = true

Горячая перезагрузка не работает

Симптомы: Файлы правил изменяются, но изменения не вступают в силу.

Решения:

1. Убедитесь, что горячая перезагрузка включена:

[rules]
hot_reload = true
reload_debounce_ms = 500

2. Запустите перезагрузку вручную:

prx-waf rules reload

3. Отправьте SIGHUP:

kill -HUP $(pgrep prx-waf)

4. Проверьте лимиты inotify (Linux):

cat /proc/sys/fs/inotify/max_user_watches
# Если слишком мало, увеличьте:
echo "fs.inotify.max_user_watches=524288" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Ложные срабатывания

Симптомы: Легитимные запросы блокируются (403 Forbidden).

Решения:

1. Определите блокирующее правило из событий безопасности:

curl -H "Authorization: Bearer $TOKEN" http://localhost:9527/api/security-events

Ищите поле rule_id в событии.

2. Отключите конкретное правило:

prx-waf rules disable CRS-942100

3. Понизьте уровень паранойи. Если вы используете паранойю 2+, попробуйте снизить до 1.

4. Переключите правило в режим log для мониторинга вместо блокировки:

Отредактируйте файл правила, измените action: "block" на action: "log", затем перезагрузите:

prx-waf rules reload

5. Добавьте IP в белый список для доверенных источников:

curl -X POST http://localhost:9527/api/rules/ip \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"ip": "10.0.0.0/8", "action": "allow"}'

TIP

При развёртывании новых правил начинайте с action: log для мониторинга ложных срабатываний перед переключением на action: block.

Проблемы с SSL-сертификатами

Симптомы: Ошибки HTTPS-соединений, ошибки сертификатов или сбои обновления Let's Encrypt.

Решения:

1. Проверьте статус сертификата в Admin UI в разделе SSL Certificates.

2. Убедитесь, что порт 80 доступен из интернета для ACME HTTP-01 challenge.

3. Проверьте пути к сертификатам, если используете сертификаты вручную:

[http3]
cert_pem = "/etc/prx-waf/tls/cert.pem"
key_pem  = "/etc/prx-waf/tls/key.pem"

4. Убедитесь, что сертификат соответствует домену:

openssl x509 -in /etc/prx-waf/tls/cert.pem -text -noout | grep -A1 "Subject Alternative Name"

Узлы кластера не подключаются

Симптомы: Рабочие узлы не могут присоединиться к кластеру. Статус показывает "disconnected" пиры.

Решения:

1. Проверьте сетевую связность на кластерном порту (по умолчанию: UDP 16851):

# От рабочего к главному
nc -zuv node-a 16851

2. Проверьте правила брандмауэра — кластерная коммуникация использует UDP:

sudo ufw allow 16851/udp

3. Проверьте сертификаты — все узлы должны использовать сертификаты, подписанные одним CA:

openssl verify -CAfile cluster-ca.pem node-b.pem

4. Проверьте конфигурацию seed на рабочих узлах:

[cluster]
seeds = ["node-a:16851"]   # Должен разрешаться в главный узел

5. Проверьте журналы с debug-уровнем:

prx-waf -c config.toml run 2>&1 | grep -i "cluster\|quic\|peer"

Высокое использование памяти

Симптомы: Процесс PRX-WAF потребляет больше памяти, чем ожидалось.

Решения:

1. Уменьшите размер кеша ответов:

[cache]
max_size_mb = 128    # Уменьшить с 256 по умолчанию

2. Уменьшите пул соединений с базой данных:

[storage]
max_connections = 10   # Уменьшить с 20 по умолчанию

3. Уменьшите количество рабочих потоков:

[proxy]
worker_threads = 2    # Уменьшить относительно количества CPU

4. Мониторинг использования памяти:

ps aux | grep prx-waf

Проблемы с подключением к CrowdSec

Симптомы: Интеграция CrowdSec показывает "disconnected" или решения не загружаются.

Решения:

1. Проверьте связность LAPI:

prx-waf crowdsec test

2. Проверьте API-ключ:

# На машине с CrowdSec
cscli bouncers list

3. Проверьте URL LAPI:

[crowdsec]
lapi_url = "http://127.0.0.1:8080"
api_key  = "your-bouncer-key"

4. Установите безопасное действие при сбое для случая недоступности LAPI:

[crowdsec]
fallback_action = "log"    # Не блокировать при недоступности LAPI

Настройка производительности

Медленное время отклика

1. Включите кеширование ответов:

[cache]
enabled = true
max_size_mb = 512

2. Увеличьте количество рабочих потоков:

[proxy]
worker_threads = 8

3. Увеличьте количество соединений с базой данных:

[storage]
max_connections = 50

Высокая нагрузка на CPU

1. Уменьшите количество активных правил. Отключите правила уровней паранойи 3-4, если они не нужны.

2. Отключите неиспользуемые фазы обнаружения. Например, если CrowdSec не используется:

[crowdsec]
enabled = false

Получение помощи

Если ни одно из вышеприведённых решений не устраняет проблему:

1. Проверьте существующие issues: github.com/openprx/prx-waf/issues
2. Создайте новый issue с:
   • Версией PRX-WAF
   • Операционной системой и версией ядра
   • Файлом конфигурации (с скрытыми паролями)
   • Соответствующим выводом журналов
   • Шагами для воспроизведения

Следующие шаги

• Справочник конфигурации — тонкая настройка всех параметров
• Движок правил — понимание того, как оцениваются правила
• Кластерный режим — устранение неполадок кластера