Nginx – К2® Cloud Info

Реальный IP- адрес клиента при двойном проксировании NGINX

09.02.2018 rudjuk Leave a comment

Вдруг так случилось и появилась необходимость организовать цепочку NGIXN -> NGINX ->APACHE, например если первый Nginx выступает как балансировщик нагрузки. При данной цепочке теряется реальный IP адрес пользователя. А если вы используете GEOIP то он вам нужен. Есть простое решение используя дополнительную переменную: Пример конфигурации первого NGINX в цепочке:

    location / {
         proxy_pass http://IP:80; #IP-адрес:порт где стоит второй nginx
         proxy_set_header Host $http_host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header realip $remote_addr; # сохраним IP посетителя в переменную
    }

location / {

proxy_pass http://IP:80; #IP-адрес:порт где стоит второй nginx

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header realip $remote_addr; # сохраним IP посетителя в переменную

}

Пример конфигурации второго NGINX:

    location / {
         proxy_pass http://127.0.0.1:81; #IP-адрес:порт с apache
         proxy_set_header Host $http_host;
         proxy_set_header X-Real-IP $http_realip;
         proxy_set_header X-Forwarded-For $http_realip;
         proxy_set_header realip ''; # удалим переменную
    }

location / {

proxy_pass http://127.0.0.1:81; #IP-адрес:порт с apache

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $http_realip;

proxy_set_header X-Forwarded-For $http_realip;

proxy_set_header realip ''; # удалим переменную

}

Источник: https://www.poseti.net/articles/realnyij-ip-pri-dvojnom-proksirovanii

Nginx

VDoc – веб-система коллективной работы над файловыми версиями документов с сохранением истории изменений, высоким уровнем защищенности информации и эффективным резервным копированием

11.10.2017 rudjuk Leave a comment

Презентация системы VDoc в формате PowerPoint (скачать). Программный продукт VDoc предназначен для коллективной работы с документами в произвольных форматах (например, Word, Excel и т.п.) с сохранением истории изменений, централизованным хранением данных с возможностью удобного резервного копирования информации и разнесение данных по разным накопителям данных и серверам. Возможности системы VDoc: 1. Система VDoc представляет собой веб-интерфейс и работает по протоколам http или https (протокол с шифрацией трафика). 2. Программный продукт VDoc – кросс-платформенный. Серверная часть системы может работать в Windows, Linux, MacOS. Пользователи же могут работать практически в любой операционной системе (Windows, Linux, MacOS, Android, IOS, FreeBSD и т.п.) и на любом устройстве (ноутбук, персональный компьютер, мобильный телефон, планшет, телевизор и т.п.), где есть современные браузеры. 3. Система VDoc – система с открытым исходным кодом. Вы можете приобрести систему вместе с исходными кодами и при необходимости изучать исходные коды, модифицировать систему под свои потребности. 4. В качестве сервера базы данных используется наиболее популярные кросс-платформенные СУБД: MsSQL, Postgresql. 5. Объем данных, который может вестись в системе – не ограниченный. Вы не увидите большой разницы в работе между массива информации размером мегабайты и данными размером во много терабайт. 6. Вирусы и другие вредоносные программы не смогут уничтожить данные, т.к. не могут получить такого доступа… 7. Пользователи не могут уничтожить данные. Т.к. все изменения логируются и сохраняются, а файлы не могут пользователи удалять (могут только помечать на удаление). 8. VDoc прост в использовании. Не нужно устанавливать программу – просто заходите на сайт и работаете. Интерфейс – интуитивно-понятный с всплывающими подсказками. Для работы VDoc нет […]

Ограничение размера POST запроса в PHP

29.09.2017 rudjuk Leave a comment

Иногда проект вырастает в нечто большее. Первоначальные POST запросы вырастают в размере, а времени менять архитектуру нет. В первую очередь настройки php.ini. (если апач /etc/php5/apache2/php.ini или если fpm /etc/php5/fpm/php.ini) post_max_size равный или больше предполагаемому размеру post. upload_max_filesize — для загрузки файлов побольше. обычно равный post. max_execution_time и max_input_time побольше, чтобы скрипт не отвалился на долгой загрузке. Документация php.ini — http://www.php.net/manual/ru/ini.list.php Так же сразу отключить, если установлено расширение php — suhosin. Найти можно по suhosin.so, suhosin.ini. Его можно и не отключать, а настроить в suhosin.ini параметры: suhosin.post.max_value_length suhosin.request.max_value_length Документация suhosin — http://www.hardened-php.net/suhosin/configuration.html Если используется nginx, то в файле /etc/nginx/nginx.conf: client_max_body_size больше предполагаемого post. Так же send_timeout и fastcgi_read_timeout побольше, иначе будет 504 ошибка. Документация nginx — http://nginx.org/ru/ Если используется apache2, то в /etc/apache2/apache.conf: LimitRequestFieldsize — размер поля LimitRequestBody — размер всего запроса Документация apache2 директив — http://httpd.apache.org/docs/2.2/mod/core.html

Nginx
PHP

VDoc документооборот (веб-приложение для файлового документооборота)

23.09.2017 rudjuk Leave a comment

Программный продукт VDoc предназначен для коллективной работы с документами в произвольных форматах (например, Word, Excel и т.п.) с сохранением истории изменений, централизованным хранением данных с возможностью удобного резервного копирования информации и разнесение данных по разным накопителям данных и серверам. Возможности системы VDoc: 1. Система VDoc представляет собой веб-интерфейс и работает по протоколам http или https (протокол с шифрацией трафика). 2. Программный продукт VDoc – кросс-платформенный. Серверная часть системы может работать в Windows, Linux, MacOS. Пользователи же могут работать практически в любой операционной системе (Windows, Linux, MacOS, Android, IOS, FreeBSD и т.п.) и на любом устройстве (ноутбук, персональный компьютер, мобильный телефон, планшет, телевизор и т.п.), где есть современные браузеры. 3. Система VDoc – система с открытым исходным кодом. Вы можете приобрести систему вместе с исходными кодами и при необходимости изучать исходные коды, модифицировать систему под свои потребности. 4. В качестве сервера базы данных используется наиболее популярные кросс-платформенные СУБД: MsSQL, Postgresql. 5. Объем данных, который может вестись в системе – не ограниченный. Вы не увидите большой разницы в работе между массива информации размером мегабайты и данными размером во много терабайт. 6. Вирусы и другие вредоносные программы не смогут уничтожить данные, т.к. не могут получить такого доступа… 7. Пользователи не могут уничтожить данные. Т.к. все изменения логируются и сохраняются, а файлы не могут пользователи удалять (могут только помечать на удаление). 8. VDoc прост в использовании. Не нужно устанавливать программу – просто заходите на сайт и работаете. Интерфейс – интуитивно-понятный с всплывающими подсказками. Для работы VDoc нет необходимости в установке плагинов или другого стороннего […]

Урок 5 Создание домена

27.09.2016 rudjuk Leave a comment

Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

nginx + php-fpm + PHP APC + WordPress multisite (subdirectory) + WP Super

14.10.2015 rudjuk Leave a comment

У меня на хостинге использовался Nginx+Apache. Однако, в один прекрасный момент я столкнулся с тем, что интернет-магазины на WordPress не закидывали в корзину товары. Вначале я думал, что это проблема в CMS, потом, что проблема PHP. Но, в результате, после длительной борьбы с проблемой я увидел, что проблема в Nginx. Просто при ЧПУ нужно исправить настройки. В результате, получилось решение Nginx + PHP-FPM. Вот настройки /etc/nginx/nginx.conf:

# Generic startup file.
user {user} {group};
worker_processes  3;

error_log  /var/log/nginx/error.log;
pid        /var/run/nginx.pid;

# Keeps the logs free of messages about not being able to bind().
#daemon     off;

events {
	worker_connections  1024;
}

http {
#	rewrite_log on;

	include mime.types;
	default_type       application/octet-stream;
	access_log         /var/log/nginx/access.log;
	sendfile           on;
#	tcp_nopush         on;
	keepalive_timeout  3;
#	tcp_nodelay        on;
#	gzip               on;
	index              index.php index.html index.htm;

	# Upstream to abstract backend connection(s) for PHP.
	upstream php {
#        	server unix:/tmp/php-fpm.sock;
       	     server 127.0.0.1:9000;
	}

	include sites-enabled/*;
}

# Generic startup file.

user {user} {group};

worker_processes 3;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

# Keeps the logs free of messages about not being able to bind().

#daemon off;

events {

worker_connections 1024;

}

http {

# rewrite_log on;

include mime.types;

default_type application/octet-stream;

access_log /var/log/nginx/access.log;

sendfile on;

# tcp_nopush on;

keepalive_timeout 3;

# tcp_nodelay on;

# gzip on;

index index.php index.html index.htm;

# Upstream to abstract backend connection(s) for PHP.

upstream php {

# server unix:/tmp/php-fpm.sock;

server 127.0.0.1:9000;

}

include sites-enabled/*;

}

Настройка виртуального хостинга:

# WordPress multisite subdirectory rules.
# Designed to be included in any server {} block.

# This order might seem weird - this is attempted to match last if rules below fail.
# http://wiki.nginx.org/HttpCoreModule
location / {
	try_files $uri $uri/ /index.php?$args;
}

# Add trailing slash to */wp-admin requests.
rewrite /wp-admin$ $scheme://$host$uri/ permanent;

# Directives to send expires headers and turn off 404 error logging.
location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
	expires 24h;
	log_not_found off;
}

# Pass uploaded files to wp-includes/ms-files.php.
rewrite /files/$ /index.php last;

# For multisite:  Use a caching plugin/script that creates symlinks to the correct subdirectory structure to get some performance gains.
set $cachetest "$document_root/wp-content/cache/ms-filemap/${host}${uri}";
if ($uri ~ /$) {
	set $cachetest "";
}
if (-f $cachetest) {
	# Rewrites the URI and stops rewrite processing so it doesn't start over and attempt to pass it to the next rule.
	rewrite ^ /wp-content/cache/ms-filemap/${host}${uri} break;
}

if ($uri !~ wp-content/plugins) {
	rewrite /files/(.+)$ /wp-includes/ms-files.php?file=$1 last;
}

# Uncomment one of the lines below for the appropriate caching plugin (if used).
# include global/wordpress-ms-subdir-wp-super-cache.conf;
# include global/wordpress-ms-subdir-w3-total-cache.conf;

# Rewrite multisite '.../wp-.*' and '.../*.php'.
if (!-e $request_filename) {
	rewrite ^/[_0-9a-zA-Z-]+(/wp-.*) $1 last;
	rewrite ^/[_0-9a-zA-Z-]+(/.*\.php)$ $1 last;
}

# Pass all .php files onto a php-fpm/php-fcgi server.
location ~ \.php$ {
	# Zero-day exploit defense.
	# http://forum.nginx.org/read.php?2,88845,page=3
	# Won't work properly (404 error) if the file is not stored on this server, which is entirely possible with php-fpm/php-fcgi.
	# Comment the 'try_files' line out if you set up php-fpm/php-fcgi on another machine.  And then cross your fingers that you won't get hacked.
	try_files $uri =404;

	fastcgi_split_path_info ^(.+\.php)(/.+)$;
	include fastcgi_params;
	fastcgi_index index.php;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#	fastcgi_intercept_errors on;
	fastcgi_pass php;
}

# WordPress multisite subdirectory rules.

# Designed to be included in any server {} block.

# This order might seem weird - this is attempted to match last if rules below fail.

# http://wiki.nginx.org/HttpCoreModule

location / {

try_files $uri $uri/ /index.php?$args;

}

# Add trailing slash to */wp-admin requests.

rewrite /wp-admin$ $scheme://$host$uri/ permanent;

# Directives to send expires headers and turn off 404 error logging.

location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {

expires 24h;

log_not_found off;

}

# Pass uploaded files to wp-includes/ms-files.php.

rewrite /files/$ /index.php last;

# For multisite: Use a caching plugin/script that creates symlinks to the correct subdirectory structure to get some performance gains.

set $cachetest "$document_root/wp-content/cache/ms-filemap/${host}${uri}";

if ($uri ~ /$) {

set $cachetest "";

}

if (-f $cachetest) {

# Rewrites the URI and stops rewrite processing so it doesn't start over and attempt to pass it to the next rule.

rewrite ^ /wp-content/cache/ms-filemap/${host}${uri} break;

}

if ($uri !~ wp-content/plugins) {

rewrite /files/(.+)$ /wp-includes/ms-files.php?file=$1 last;

}

# Uncomment one of the lines below for the appropriate caching plugin (if used).

# include global/wordpress-ms-subdir-wp-super-cache.conf;

# include global/wordpress-ms-subdir-w3-total-cache.conf;

# Rewrite multisite '.../wp-.*' and '.../*.php'.

if (!-e $request_filename) {

rewrite ^/[_0-9a-zA-Z-]+(/wp-.*) $1 last;

rewrite ^/[_0-9a-zA-Z-]+(/.*\.php)$ $1 last;

}

# Pass all .php files onto a php-fpm/php-fcgi server.

location ~ \.php$ {

# Zero-day exploit defense.

# http://forum.nginx.org/read.php?2,88845,page=3

# Won't work properly (404 error) if the file is not stored on this server, which is entirely possible with php-fpm/php-fcgi.

# Comment the 'try_files' line out if you set up php-fpm/php-fcgi on another machine. And then cross your fingers that you won't get hacked.

try_files $uri =404;

fastcgi_split_path_info ^(.+\.php)(/.+)$;

include fastcgi_params;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

# fastcgi_intercept_errors on;

fastcgi_pass php;

}

Для WP Super Cache:

# WP Super Cache rules.
# Designed to be included from a 'wordpress-ms-...' configuration file.

# Enable detection of the .gz extension for statically compressed content.
# Comment out this line if static gzip support is not compiled into nginx.
gzip_static on;

set $supercacheuri "";
set $supercachefile "$document_root/wp-content/cache/supercache/${http_host}${uri}index.html";
if (-e $supercachefile) {
	set $supercacheuri "/wp-content/cache/supercache/${http_host}${uri}index.html";
}

# If this is a POST request, pass the request onto WordPress.
if ($request_method = POST) {
	set $supercacheuri "";
}

# If there is a query string, serve the uncached version.
if ($query_string) {
	set $supercacheuri "";
}

# Logged in users and those who have posted a comment get the non-cached version.
if ($http_cookie ~* comment_author_|wordpress_logged_in|wp-postpass_) {
	set $supercacheuri "";
}

# Mobile browsers get the non-cached version.
# Wastes CPU cycles if there isn't a mobile browser WP theme for the site.
if ($http_x_wap_profile) {
	set $supercacheuri "";
}

if ($http_profile) {
	set $supercacheuri "";
}

if ($http_user_agent ~* (2.0\ MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800)) {
	set $supercacheuri "";
}

if ($http_user_agent ~* (w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-)) {
	set $supercacheuri "";
}

# Stop processing if the supercache file is valid.
if ($supercacheuri) {
	rewrite ^ $supercacheuri break;
}

# WP Super Cache rules.

# Designed to be included from a 'wordpress-ms-...' configuration file.

# Enable detection of the .gz extension for statically compressed content.

# Comment out this line if static gzip support is not compiled into nginx.

gzip_static on;

set $supercacheuri "";

set $supercachefile "$document_root/wp-content/cache/supercache/${http_host}${uri}index.html";

if (-e $supercachefile) {

set $supercacheuri "/wp-content/cache/supercache/${http_host}${uri}index.html";

}

# If this is a POST request, pass the request onto WordPress.

if ($request_method = POST) {

set $supercacheuri "";

}

# If there is a query string, serve the uncached version.

if ($query_string) {

set $supercacheuri "";

}

# Logged in users and those who have posted a comment get the non-cached version.

if ($http_cookie ~* comment_author_|wordpress_logged_in|wp-postpass_) {

set $supercacheuri "";

}

# Mobile browsers get the non-cached version.

# Wastes CPU cycles if there isn't a mobile browser WP theme for the site.

if ($http_x_wap_profile) {

set $supercacheuri "";

}

if ($http_profile) {

set $supercacheuri "";

}

if ($http_user_agent ~* (2.0\ MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800)) {

set $supercacheuri "";

}

if ($http_user_agent ~* (w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-)) {

set $supercacheuri "";

}

# Stop processing if the supercache file is valid.

if ($supercacheuri) {

rewrite ^ $supercacheuri break;

}

Источник: https://wordpress.org/support/topic/nginx-php-fpm-php-apc-wordpress-multisite-subdirectory-wp-super-cache

Ubuntu: установка и настройка связки nginx + apache + php + mysql

13.10.2015 rudjuk 9 коментарів

В это статье я расскажу как быстро развернуть LAMP сервер на Ubuntu с кеширующим nginx Для всех команд необходим sudo, потому сразу войдем для удобства в этот режим:

sudo su

sudo su

Далее, обновляем данные из репозитариев:

apt-get -y update

1	apt-get -y update

Установка MySQL сервер:

apt-get install mysql-server mysql-client

1	apt-get install mysql-server mysql-client

Во время установки нас попросят ввести пароль root для сервера MySQL, вводим 2 раза. Дожидаемся окончания установки. Установка Apache, nginx, php:

apt-get install apache2 nginx apache2-mpm-prefork apache2-utils libapache2-mod-php5 php5 php5-dev php5-mysql php5-common php5-curl php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt php5-mhash php5-ming php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

1	apt-get install apache2 nginx apache2-mpm-prefork apache2-utils libapache2-mod-php5 php5 php5-dev php5-mysql php5-common php5-curl php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt php5-mhash php5-ming php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Дожидаемся окончания установки. Включаем модули rewrite и include в apache2 при помощи утилиты — a2enmod:

a2enmod rewrite
a2enmod include

1 2	a2enmod rewrite a2enmod include

Меняем порт в apache2 со стандартного 80 на 8080 (2 строчки):

nano /etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080

nano /etc/apache2/ports.conf

NameVirtualHost *:8080

Listen 8080

Создаем новый веб сервер (VirtualHost), создаем файл конфигурации:

touch /etc/apache2/sites-available/domain.com

1	touch /etc/apache2/sites-available/domain.com

И вставляем в него следующий текст:

<VirtualHost *:8080>
ServerName domain.com
ServerAlias www.domain.com
ServerAdmin admin@domain.com
DocumentRoot /var/www/domain.com
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/domain.com/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog /var/log/domain.com_error.log
LogLevel warn
CustomLog /var/log/domain.com_access.log combined
</VirtualHost>

ServerName domain.com

ServerAlias www.domain.com

ServerAdmin admin@domain.com

DocumentRoot /var/www/domain.com

Options FollowSymLinks

AllowOverride None

</Directory>

Options Indexes FollowSymLinks MultiViews

AllowOverride All

Order allow,deny

allow from all

</Directory>

ErrorLog /var/log/domain.com_error.log

LogLevel warn

CustomLog /var/log/domain.com_access.log combined

</VirtualHost>

Далее, создаем папку сайта и запускаем сайт:

mkdir -p /var/www/domain.com
a2ensite domain.com

1 2	mkdir -p /var/www/domain.com a2ensite domain.com

Проверяем в браузере — http://domain.com:8080 Конфигурируем nginx:

nano /etc/nginx/nginx.conf

1	nano /etc/nginx/nginx.conf

Приводим конфиг к такому виду:

    user www-data;
    worker_processes 4; #По количеству ядер
    pid /var/run/nginx.pid;
    error_log /sites/nginx/error.log;
    events {
    worker_connections 4096;
    multi_accept on;
    }

    http {

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    server_tokens off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    access_log /var/log/nginx-access.log;
    error_log /var/log/nginx-error.log;

    gzip on;
    gzip_disable «msie6″;
    gzip_proxied any;
    gzip_min_length 500;
    gzip_proxied expired no-cache no-store private auth;
    gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
    }

user www-data;

worker_processes 4; #По количеству ядер

pid /var/run/nginx.pid;

error_log /sites/nginx/error.log;

events {

worker_connections 4096;

multi_accept on;

}

http {

sendfile on;

tcp_nopush on;

tcp_nodelay on;

keepalive_timeout 65;

types_hash_max_size 2048;

server_tokens off;

include /etc/nginx/mime.types;

default_type application/octet-stream;

access_log /var/log/nginx-access.log;

error_log /var/log/nginx-error.log;

gzip on;

gzip_disable «msie6″;

gzip_proxied any;

gzip_min_length 500;

gzip_proxied expired no-cache no-store private auth;

gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;

include /etc/nginx/conf.d/*.conf;

include /etc/nginx/sites-enabled/*;

}

Далее создаем и правим конфиг нашего сайта:

nano /etc/nginx/sites-enabled/domain.com

1	nano /etc/nginx/sites-enabled/domain.com

Вносим в него следующие записи:

    upstream backend {
    server 127.0.0.1:8080;
    }
    server {
    listen 80;
    server_name domain.com www.domain.com;

    access_log /var/log/nginx-access.log;
    error_log /var/log/nginx-error.log;

    location / {
    proxy_pass http://backend;
    include /etc/nginx/proxy.conf;
    }
    location ~* .(jpg|jpeg|gif|png|ico|css|bmp|swf|js|mov|avi|mp4|mpeg4) {
    root /var/www/domain.com;
    }

    location ~ /.ht {
    deny all;
    }
    }

upstream backend {

server 127.0.0.1:8080;

}

server {

listen 80;

server_name domain.com www.domain.com;

access_log /var/log/nginx-access.log;

error_log /var/log/nginx-error.log;

location / {

proxy_pass http://backend;

include /etc/nginx/proxy.conf;

}

location ~* .(jpg|jpeg|gif|png|ico|css|bmp|swf|js|mov|avi|mp4|mpeg4) {

root /var/www/domain.com;

}

location ~ /.ht {

deny all;

}

Перезапускаем сервисы и проверяем работу:

service apache2 restart
service nginx restart

1 2	service apache2 restart service nginx restart

Источник: http://evolan.org/linux/ubuntu-ustanovka-i-nastrojka-svyazki-nginx-apache-php-mysql/ Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Nginx, блокировка доступа по IP

13.07.2015 rudjuk One comment

Продолжаем ковырять nginx и перекладывать на него функции с apache. В общем-то, у апача я давно не использую описанную здесь функцию, поэтому и забыл написать. Формально, в nginx существует 2 способа ограничить доступ по ip. Первый — вполне привычные директивы — deny/allow. Второй — очень удобный для ограничения доступа в куче мест — geo переменные. С deny/allow всё понятно, использовать их можно-нужно так же, как в любом другом веб-сервере:

deny 192.168.0.1; 
allow 192.168.0.1/24; 
allow 8.8.8.8; 
deny all;

deny 192.168.0.1;

allow 192.168.0.1/24;

allow 8.8.8.8;

deny all;

Эти строчки можно вписать почти в любой кусок конфига — начиная с http {} (тогда правила распространятся на весь сервер) и заканчивая отдельным location {}. Второй способ уже интереснее и не встречается в apache. Как вы знаете, в nginx можно очень удобно работать с любыми переменными. А в переменные писать что угодно. Так вот — почему бы не делать что-либо в зависимости от того, какой IP адрес у посетителя? Прелесть такого варианта в том, что мы можем отдавать не 403ю ошибку, как в первом способе, а 404ю. Или редиректить на другой сайт. Или ещё-что нибудь… ну и так далее. Собственно говоря, выглядит это так. Пишем в секцию http {} (для того, чтобы эту переменную мы могли использовать в любом server {} ):

geo $accessvar { 
default 0;
# 1 = бухгалтеры 
192.168.1.0/24 1; 
# 2 = манагеры 
192.168.2.0/24 2; 
# 3 = веб-серверы 
1.1.1.1 3; 
2.2.2.2 3; 
4.4.4.4 3; 
}

geo $accessvar {

default 0;

# 1 = бухгалтеры

192.168.1.0/24 1;

# 2 = манагеры

192.168.2.0/24 2;

# 3 = веб-серверы

1.1.1.1 3;

2.2.2.2 3;

4.4.4.4 3;

}

Что мы в итоге написали. Если кто-то придет из подсети 192.168.1.0/24 — то переменная $accessvar выставляется в 1. Если из 192.168.2.0/24 — то в 2. Если пришла машина с IP адресом 1.1.1.1/2.2.2.2/4.4.4.4 — то переменная выставляется в 3. Если какой-то другой адрес — то 0. При помощи if-ов мы можем юзать эти штуки уже как угодно. Например, […]

Nginx

Защита файла wp-config.php в nginx

26.06.2015 rudjuk Leave a comment

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php
<Files wp-config.php>
    Order allow,deny
    Deny from all
</Files>

# Deny public access to wp-config.php

Order allow,deny

Deny from all

</Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php
location ~* wp-config.php { 
    deny all; 
}

# Deny public access to wp-config.php

location ~* wp-config.php {

deny all;

}

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

26.06.2015 rudjuk Leave a comment

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';
UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

1 2	UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

1 2 »