Menu

nginx

nginx content security policy header

, , , , , 0

Здравейте,

В този пост ще споделя как можем да защитим сайта си ако използваме nginx за уеб сървър.

Воден от поста на Скот Хелме за CSP тръгнах да тествам CSP header-и на root.bg. Използвах неговия инструмент securityheaders.com и накрая постигнах желания резултат – A+ 🙂

nginx content security policy header

 

nginx content security policy header

Във виртуалния хост на сайта ни добавяме следните редове след location /

add_header Content-Security-Policy "block-all-mixed-content; frame-ancestors 'self' root.bg cdn.root.bg s.root.bg go.root.bg git.root.bg fonts.gstatic.com;"; 
add_header Content-Security-Policy-Report-Only "default-src https: data: 'unsafe-inline' 'unsafe-eval'; report-uri https://rootbg.report-uri.com/r/d/csp/reportOnly";

report-uri.com

Направих си регистрация в сайта report-uri.com и така започнах да събирам информация от уеб сървъра ми за XSS атаки, грешки в конфигурацията на уеб сървъра, мониторинг и всичко останало свързано с новите уеб стандарти.

Аз лично малко съм се олял с добавянето на излишни header-и, но почти всички от тях са за защита 🙂

HTTP/2 200 
date: Wed, 17 Oct 2018 07:13:17 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding
set-cookie: PHPSESSID=d2lar8sp9vq24752mip9lu31ls; path=/; secure; HttpOnly
expires: Thu, 19 Nov 1981 08:52:00 GMT
cache-control: no-store, no-cache, must-revalidate
pragma: no-cache
x-powered-by: 🐧
link: https://root.bg/wp-json/; rel="https://api.w.org/"
link: https://go.root.bg/21; rel=shortlink
server: rws
strict-transport-security: max-age=31536000; includeSubDomains; preload
x-cache: HIT
x-xss-protection: 1; mode=block; report=https://rootbg.report-uri.com/r/d/xss/enforce
x-frame-options: SAMEORIGIN
x-content-type-options: nosniff
p3p: Can I help you? Contact me via https://root.bg/contacts/, CP=CAO ADMa DEVa IND PHY ONL UNI COM LOC
feature-policy: sync-xhr 'self' https://root.bg
content-security-policy: block-all-mixed-content; frame-ancestors 'self' root.bg cdn.root.bg s.root.bg go.root.bg git.root.bg fonts.gstatic.com;
content-security-policy-report-only: default-src https: data: 'unsafe-inline' 'unsafe-eval'; report-uri https://rootbg.report-uri.com/r/d/csp/reportOnly
referrer-policy: no-referrer-when-downgrade
expect-ct: enforce; max-age=86400; report-uri=https://rootbg.report-uri.com/r/d/ct/enforce
x-app-server: gevi
x-slogan: Respect is earned, not given!

Това е!

WordPress webp картинки

, , , 0

WebP е съвременен формат на изображението, който осигурява отлична компресия без загуби на изображенията в мрежата.

В този пост ще споделя, как да направим нашият wordpress блог да работи с този формат за по-добра оптимизация с помощта на nginx и webp.

Wordpress webp images

 

Инсталираме webp

apt-get install webp

webp е нужен за скрипта ни, който ще конвертира всичките ни картинки jpg/png във webp.

Webp script

Скрипта изглежда така:

Още..

Apache global gzip compression in WHM/Cpanel

, , , , , , , 0

Привет!

Както може би повечето от вас знаят, аз съм голям фен на nginx! В работата ми обаче неизбежно присъства и apache – главно заради WHM/Cpanel сървърите които поддържам!

Накратко – до сега използвах преправен от мен скрипт (engintron) който кръстих fosnginx!
Той работи на принципа на прокси, като слага nginx на порт 80 и сменя порт-а на apache-то на 8081, но праща всички php заявки към apache! Така всичко що го има в .htaccess файловете на клиентите продължава да работи! До тук добре, обаче се появи letsencrypt!
Благодарение на него, вече имаме безплатни валидни SSL сертификати което е супер! Обачеее в моят случай всички HTTPS заявки продължават да се обработват от apache!

Тук идва и въпросът с оптимизацията на apache, за да могат тези сайтове да зареждат еднакно бързо както на http, така и на https!

Аз много харесвам онлайн туул-а varvy.com и с него правя тестове когато ми се налага да оптимизирам сайт!

В този пост ще споделя как глобално се активира gzip компресията във WHM/Cpanel за да може да се спести излишен трафик при зареждане на сайт (Apache global gzip compression in WHM/Cpanel)!

Логваме се във WHM/Cpanel сървъра и отиваме до : Home »Service Configuration »Apache Configuration »Include Editor и отваряме Pre VirtualHost Include и слагаме следните редове в „All Versions“ на апачето :

Още..

apache2 http2 proxy problem

, , , 0

Здравейте,

apache2 http2 proxy problemВ тази публикация ще споделя за един много странен проблем който борих днес.

Става дума за apache2 http2 proxy problem, като накратко схемата ми беше следната :

 

  1. Имам сайт domain.com който се намира на сървър с nginx и php-fpm.
  2. Имам blog.domain.com който се намира на WHM сървър с apache2.4 с последните му обновления
  3. Направил съм прокси настройка на domain.com така че, когато се достъпи domain.com/blog да зарежда садържанието от blog.domain.com (от WHM/cpanel сървъра).

Nginx конфигурацията

Nginx конфигурацията при domain.com е следната :

location /blog/ {
rewrite ^/blog/(.*) /$1 break;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 90;
proxy_pass https://blog.domain.com/;
proxy_redirect https://blog.domain.com/ /blog/;

Тя се слага преди location

Проблемът

Така настроен domain.com/blog се отваря без проблем на всички браузъри без на safari. При safari върти и върти.. и накрая нищо. В логовете на WHM сървъра наблюдавах изключително много заявки от моя айпи адрес които все едно флудваха сървъра.

Решението

Решението на проблемът се оказа изключително просто. Бяхме сложили mod_http2 на WHM сървъра, след като прочетохме, че пичовете от Cpanel са го пуснали като stable модул за WHM. Оказа се , че именно в него беше и нашия проблем. След като го махнахме domain.com/blog започна да се зарежда без проблеми отново от safari.

До това решение стигнахме, след като тествахме с blog.domain.com от друг сървър който беше също изцяло на nginx.

Извода

Максимата „щом нещо работи, не го пипай“ за пореден път се оказа вярна, особенно когато сървърната ни топология е толкова сложна.

Това е!

nginx naxsi http2

, , , 1

nginx naxsi http2Привет,

В продължение на публикацията ми от 08.12.2016г.  искам да споля, че вече е възможна работата на naxsi в комбинация с проткола http2 и nginx.

 

За целта е нужно да клонираме последната версия на naxsi от github и да добавил следните параметри след това:

cd /usr/src/
git clone https://github.com/nbs-system/naxsi.git
cd naxsi
git checkout http2
git fetch origin pull/309/head:http2-309
git checkout http2-309

Следва прекомпилиране на nginx :

./configure --add-module=../naxsi/naxsi_src --add-module=../ngx_cache_purge/ --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --user=www-data --group=www-data --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --with-http_stub_status_module --with-http_realip_module --with-sha1=/usr/include/openssl --with-md5=/usr/include/openssl --with-openssl=../openssl-1.0.2k/ --with-http_mp4_module --with-poll_module --add-module=../nginx-rtmp-module --add-module=../headers-more-nginx-module-0.25/ --with-ipv6 --add-module=../nginx-module-vts --with-http_v2_module --add-module=../ngx_devel_kit --add-module=../set-misc-nginx-module-0.30 --add-module=/usr/src/ngx_brotli/ngx_brotli_module-master/

и активиране на naxsi модулите както следва :

в /etc/nginx/nginx.conf :

include /etc/nginx/naxsi_core.rules;

а във виртуалният ни хост :

location / {
try_files $uri $uri/ /index.php?$args;
include /etc/nginx/naxsi.rules;

Тук за шарения добавих и :

error_page 418 /418.html;

location /RequestDenied {
return 418;
}

така всяка „зла“ заявка ще бъде препратена със статус 418 към 418.html което в моя случай е един „среден пръст“ 😀

След рестартиране на nginx може да тестваме дали работи нашият NAXSI Firewall например ето така :

root@server:~# wget --server-response --spider https://root.bg/%3C?php%20echo%20%22hello%22;%20?%3E
Spider mode enabled. Check if remote file exists.
--2017-06-07 08:43:13-- https://root.bg/%3C?php%20echo%20%22hello%22
Resolving root.bg (root.bg)... 87.97.157.122
Connecting to root.bg (root.bg)|87.97.157.122|:443... connected.
HTTP request sent, awaiting response...
HTTP/1.1 418
Date: Wed, 07 Jun 2017 08:42:45 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 192
Connection: keep-alive
ETag: "5937b9e3-c0"
Server: rws

 

Ами… това е!

Огромни благодарности за пичовете стоящи зад този страхотен продукт наречен NAXSI!

Load More