> For the complete documentation index, see [llms.txt](https://docs.iexexchanger.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.iexexchanger.com/help-center/ai-base/bezopasnost-i-processy/security.md). # Безопасность ## Для чего нужен раздел Раздел нужен для защиты админ-панели, клиентов и заявок: двухфакторный вход, CAPTCHA, ограничения по IP, защита сессий, контроль смены IP, антиспам заявок, доверенные прокси и правила доступа к чекам. ## Когда использовать Открывайте этот раздел при запуске обменника, подключении защиты от DDoS, смене домена, появлении спама, подозрительных входах, жалобах на недоступность админки или при настройке доступа сотрудников. ## Основные возможности | Возможность | Что означает простыми словами | Когда использовать | | ------------------------- | ----------------------------------------------------- | ----------------------------------------------------------------- | | Google Authenticator | Дополнительный код при входе в админку | Обязательно для владельцев и администраторов с доступом к деньгам | | Время жизни сессии | Через сколько минут вход “устаревает” | Чтобы снизить риск работы со старой открытой сессией | | Лимит неверных входов | Сколько раз можно ошибиться с паролем | Для защиты от подбора пароля | | Блокировка после ошибок | На сколько минут ограничить вход после ошибок | При попытках перебора паролей | | Контроль смены IP | Что делать, если IP администратора изменился | Для защиты от перехвата сессии | | Ограничение админки по IP | Пускать в админку только с разрешённых IP | Для закрытых команд и офисных IP | | Доверенные прокси | От каких прокси можно принимать реальный IP клиента | При Cloudflare, StormWall, балансировщике или reverse прокси | | CAPTCHA | Проверка, что действие делает человек | Для входа, регистрации, заявки, сброса пароля | | Антиспам заявок | Защита от массовых пустых заявок | При спаме, атаке или занятых резервах | | Доступ к чеку заявки | Кто может открыть чек по ссылке | Чтобы чек не видели посторонние | | Сброс ключа при входе | Старые ключи авторизации становятся недействительными | Если нужен более строгий режим | | Видимость активных сессий | Пользователь видит свои активные устройства | Для контроля личного кабинета | ## Поля и настройки | Поле / настройка | Что означает | Как правильно заполнять | Важно знать | | ----------------------------------------- | --------------------------------------------------------- | ---------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------- | | Двухфакторная авторизация | Требовать код Google Authenticator | Включайте после настройки 2FA у ключевых админов | Если включить без подготовки, можно потерять доступ | | Доверенные прокси | Файл провайдера прокси | Выберите Cloudflare, StormWall или свой файл только если сайт реально за прокси | Неверная настройка ломает определение IP | | Название файла прокси | Короткое имя файла | Например `cloudflare` или `stormwall` | Не добавляйте расширение и секреты | | IP/CIDR прокси | Список адресов доверенных прокси | По одному адресу или сети на строку | Указывайте только прокси, которым доверяете | | Время жизни сессии | Сколько минут активна сессия | Обычно 60–240 минут | Слишком маленькое значение мешает операторам | | Максимум неверных входов | Количество ошибок до ограничения | Обычно 5–10 попыток | Слишком низкий лимит может блокировать сотрудников | | Блокировка после неверных паролей | Длительность ограничения | Обычно не меньше 10 минут | При атаке можно увеличить | | Контроль изменения IP | Проверка IP во время сессии | Средний режим — завершает сессию при смене IP; высокий — строже отслеживает и уведомляет | Не включайте жёсткий режим для сотрудников с нестабильным интернетом без проверки | | Ограничить вход по IP | Разрешить админку только с указанных IP | Включайте только если IP команды стабильные | Неверный список может закрыть доступ всем | | Разрешённые IP | Список IPv4, IPv6 или CIDR | Через запятую: `192.0.2.10, 2001:db8::1` | Не добавляйте приватные рабочие данные в публичные документы | | Сбрасывать ключ при каждом входе | Завершать старые авторизационные ключи | Включайте при строгой безопасности | Может чаще выкидывать пользователей | | Показывать активные сессии | Видимость устройств в личном кабинете | Включайте для прозрачности | Требует корректного определения IP и устройства | | Тип CAPTCHA | Какой сервис CAPTCHA используется | Выберите поддерживаемый тип | Ключи должны быть настроены отдельно | | Публичный ключ CAPTCHA | Ключ, который нужен форме на сайте | Вставляется из сервиса CAPTCHA | Не путать с секретным ключом | | Секретный ключ CAPTCHA | Закрытый ключ для проверки CAPTCHA | Хранить только в закрытой админке | Нельзя добавлять в документацию | | CAPTCHA при входе | Проверять вход пользователя | Включайте при попытках подбора пароля | Может ухудшить удобство | | CAPTCHA при регистрации | Проверять регистрацию | Включайте при спаме регистраций | Нужно проверить форму регистрации | | CAPTCHA при создании заявки | Проверять заявку | Включайте при спаме заявок | После включения проверьте, что обычный клиент может создать заявку | | CAPTCHA для админки | Проверять вход в админку | Полезно при атаках на админский вход | Проверьте, что ключи работают | | CAPTCHA при сбросе пароля | Проверять форму восстановления | Включайте при попытках перебора email | Клиент должен видеть понятную ошибку | | Антиспам заявок | Включить проверку подозрительных заявок | Включайте сначала в мягком режиме | Жёсткий режим может блокировать обычных клиентов | | Период частых заявок | За сколько минут смотреть попытки | Обычно 5 минут | Чем меньше период, тем мягче проверка | | Разрешённое количество быстрых заявок | Сколько заявок можно создать за период | Обычно 3–5 | При высокой нагрузке настройте аккуратно | | Период неоплаченных заявок | За сколько часов смотреть неоплаченные заявки | Обычно 24 часа | Помогает не занимать резервы пустыми заявками | | Допустимое количество неоплаченных заявок | Сколько неоплаченных заявок разрешить | Обычно 2–3 | Слишком низко мешает клиентам с ошибками оплаты | | Период проверки личности | За сколько часов смотреть связанные личности | Обычно 72 часа | Используется против обхода через новые аккаунты | | Максимум пользователей на одну личность | Сколько аккаунтов допускается на одни данные | Обычно 2–3 | Требует аккуратной проверки, чтобы не блокировать семьи/офисы | | Период email и направления | За сколько минут смотреть одинаковый email по направлению | Обычно 30 минут | Помогает от массовых повторов по одному направлению | | Максимум попыток email по направлению | Сколько попыток разрешить | Обычно 5 | Снижайте при атаке | | Балл репутации для отметки | С какого риска помечать заявку | Обычно 70 | Не путать с AML-риск скором | | Время блокировки личности | На сколько часов блокировать подозрительную связку | Обычно 24 часа | Используйте осторожно | ## Как настроить 1. Сначала включите 2FA для владельца и старших администраторов. 2. Настройте время жизни сессии и лимиты неверного входа. 3. Если сайт работает через Cloudflare, StormWall или другой прокси, выберите или создайте файл доверенных прокси. 4. Если хотите ограничить админку по IP, сначала добавьте все рабочие IP, затем включайте ограничение. 5. Подключите CAPTCHA и проверьте её на входе, регистрации и создании заявки. 6. Включите антиспам заявок в мягком режиме. 7. Проверьте создание обычной заявки с публичного сайта. 8. После нескольких дней работы скорректируйте лимиты по реальным заявкам. ## Типовые ошибки | Ошибка / ситуация | Причина | Что сделать | | --------------------------------------------- | ------------------------------------------------------- | ------------------------------------------------------ | | Админ не может войти | Включили 2FA или IP-ограничение без подготовки | Проверить резервный доступ и список разрешённых IP | | Все клиенты видны с одним IP | Не настроены доверенные прокси | Выбрать корректный файл прокси и обновить IP-адреса | | CAPTCHA не проходит | Неверные ключи или домен не добавлен в сервисе CAPTCHA | Проверить ключи и домен | | Клиенты жалуются, что не могут создать заявку | Антиспам слишком строгий или включена CAPTCHA с ошибкой | Смягчить лимиты, проверить логи и форму заявки | | Операторов часто выкидывает из админки | Малое время сессии или строгий контроль IP | Увеличить время сессии или снизить уровень контроля IP | | Чек по ссылке не открывается | Включён строгий доступ к чеку | Проверить режим доступа к чеку и авторизацию клиента | ## Важные предупреждения Настройки безопасности могут полностью закрыть доступ к админке. Перед включением ограничения по IP, 2FA и строгого контроля IP убедитесь, что есть резервный администратор, доступ к серверу и актуальные инструкции восстановления. Не сохраняйте в документации реальные CAPTCHA-ключи, IP сотрудников, пароли, 2FA-секреты, токены, приватные адреса и данные клиентов. ## Связанные разделы Роли и доступ, Пользователи, Заявки, Логи, Email-уведомления, Telegram Bot, CRON и процессы, Ошибки и диагностика. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.iexexchanger.com/help-center/ai-base/bezopasnost-i-processy/security.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.