Nginx | Информационный портал К2®

Category Archives: Nginx

Реальный IP- адрес клиента при двойном проксировании NGINX

Posted on 09.02.2018 by rudjuk Leave a comment

Вдруг так случилось и появилась необходимость организовать цепочку NGIXN -> NGINX ->APACHE, например если первый Nginx выступает как балансировщик нагрузки. При данной цепочке теряется реальный IP адрес пользователя. А если вы используете GEOIP то он вам нужен.

Есть простое решение используя дополнительную переменную:

Пример конфигурации первого NGINX в цепочке:

    location / {
         proxy_pass http://IP:80; #IP-адрес:порт где стоит второй nginx
         proxy_set_header Host $http_host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header realip $remote_addr; # сохраним IP посетителя в переменную
    }

location / {

proxy_pass http://IP:80; #IP-адрес:порт где стоит второй nginx

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header realip $remote_addr; # сохраним IP посетителя в переменную

}

Пример конфигурации второго NGINX:

    location / {
         proxy_pass http://127.0.0.1:81; #IP-адрес:порт с apache
         proxy_set_header Host $http_host;
         proxy_set_header X-Real-IP $http_realip;
         proxy_set_header X-Forwarded-For $http_realip;
         proxy_set_header realip ''; # удалим переменную
    }

location / {

proxy_pass http://127.0.0.1:81; #IP-адрес:порт с apache

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $http_realip;

proxy_set_header X-Forwarded-For $http_realip;

proxy_set_header realip ''; # удалим переменную

}

Источник: https://www.poseti.net/articles/realnyij-ip-pri-dvojnom-proksirovanii

Nginx

VDoc — веб-система коллективной работы над файловыми версиями документов с сохранением истории изменений, высоким уровнем защищенности информации и эффективным резервным копированием

Posted on 11.10.2017 by rudjuk Leave a comment

Презентация системы VDoc в формате PowerPoint (скачать).

Программный продукт VDoc предназначен для коллективной работы с документами в произвольных форматах (например, Word, Excel и т.п.) с сохранением истории изменений, централизованным хранением данных с возможностью удобного резервного копирования информации и разнесение данных по разным накопителям данных и серверам.

Возможности системы VDoc:

1. Система VDoc представляет собой веб-интерфейс и работает по протоколам http или https (протокол с шифрацией трафика).

2. Программный продукт VDoc — кросс-платформенный. Серверная часть системы может работать в Windows, Linux, MacOS. Пользователи же могут работать практически в любой операционной системе (Windows, Linux, MacOS, Android, IOS, FreeBSD и т.п.) и на любом устройстве (ноутбук, персональный компьютер, мобильный телефон, планшет, телевизор и т.п.), где есть современные браузеры.

3. Система VDoc — система с открытым исходным кодом. Вы можете приобрести систему вместе с исходными кодами и при необходимости изучать исходные коды, модифицировать систему под свои потребности.

4. В качестве сервера базы данных используется наиболее популярные кросс-платформенные СУБД: MsSQL, Postgresql.

5. Объем данных, который может вестись в системе — не ограниченный. Вы не увидите большой разницы в работе между массива информации размером мегабайты и данными размером во много терабайт.

6. Вирусы и другие вредоносные программы не смогут уничтожить данные, т.к. не могут получить такого доступа…

7. Пользователи не могут уничтожить данные. Т.к. все изменения логируются и сохраняются, а файлы не могут пользователи удалять (могут только помечать на удаление).

8. VDoc прост в использовании. Не нужно устанавливать программу — просто заходите на сайт и работаете. Интерфейс — интуитивно-понятный с всплывающими подсказками. Для работы VDoc нет необходимости в установке плагинов или другого стороннего программного обеспечения. Только браузер — это всё, что нужно для работы виртуального документооборота.

9. VDoc предназначен для коллективной работы. Если пользователь берет файл на работу, другие участники процесса уведомляются об этом (они видят пользователя, взявшего в работу файл, а так же дату и время начала работы).

10. Система предусматривает возможность инкрементного резервного копирования, разнесения информации по разным накопителям, серверам.

11. Информация в VDoc ищется очень быстро. Есть возможность искать по интересующим пользователей полям: № документа, дата документа, контрагент, статус документа, название, комментарий и т.п.

12. В VDoc предусмотрена гибкая система ограничения прав доступа к информации.

13. Усиленный режим защиты информации (доступный опционально) позволяет зашифровать информацию от хостер-провайдера, а так же очищать файлы на локальном компьютере.

14. VDoc предусматривает высокий уровень интеграции с другими программными решениями. Благодаря Api с VDoc можно обмениваться информацией из других систем.

15. Работать с VDoc безопасно. Браузер ограничивает максимально права программы.

Скрин-шоты программы:

Таблица сравнения возможностей различных способов сохранения информации: Скачать….

Вы можете посмотреть иформацию видео по системе:

Сайт разработчика: https://corp2.net/index.php/category/dokumentooborot/

Ограничение размера POST запроса в PHP

Posted on 29.09.2017 by rudjuk Leave a comment

Увеличение размера POST

Иногда проект вырастает в нечто большее. Первоначальные POST запросы вырастают в размере, а времени менять архитектуру нет.

В первую очередь настройки php.ini. (если апач /etc/php5/apache2/php.ini или если fpm /etc/php5/fpm/php.ini)

post_max_size равный или больше предполагаемому размеру post.
upload_max_filesize — для загрузки файлов побольше. обычно равный post.
max_execution_time и max_input_time побольше, чтобы скрипт не отвалился на долгой загрузке.

Документация php.ini — http://www.php.net/manual/ru/ini.list.php

Так же сразу отключить, если установлено расширение php — suhosin. Найти можно по suhosin.so, suhosin.ini.
Его можно и не отключать, а настроить в suhosin.ini параметры:
suhosin.post.max_value_length
suhosin.request.max_value_length

Документация suhosin — http://www.hardened-php.net/suhosin/configuration.html

Если используется nginx, то в файле /etc/nginx/nginx.conf:
client_max_body_size больше предполагаемого post.

Так же
send_timeout и fastcgi_read_timeout побольше, иначе будет 504 ошибка.

Документация nginx — http://nginx.org/ru/

Если используется apache2, то в /etc/apache2/apache.conf:
LimitRequestFieldsize — размер поля
LimitRequestBody — размер всего запроса

Документация apache2 директив — http://httpd.apache.org/docs/2.2/mod/core.html

Nginx
PHP

VDoc документооборот (веб-приложение для файлового документооборота)

Posted on 23.09.2017 by rudjuk Leave a comment

Возможности системы VDoc:

4. В качестве сервера базы данных используется наиболее популярные кросс-платформенные СУБД: MsSQL, Postgresql.

6. Вирусы и другие вредоносные программы не смогут уничтожить данные, т.к. не могут получить такого доступа…

12. В VDoc предусмотрена гибкая система ограничения прав доступа к информации.

15. Работать с VDoc безопасно. Браузер ограничивает максимально права программы.

Скрин-шоты программы:

Таблица сравнения возможностей различных способов сохранения информации: Скачать….

Вы можете посмотреть иформацию видео по системе:

Подробнее, читайте на сайте разработчика: http://k2soft.org/vdoc-dokumentooborot

Урок 5 Создание домена

Posted on 27.09.2016 by rudjuk Leave a comment

Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

nginx + php-fpm + PHP APC + WordPress multisite (subdirectory) + WP Super

Posted on 14.10.2015 by rudjuk Leave a comment

У меня на хостинге использовался Nginx+Apache. Однако, в один прекрасный момент я столкнулся с тем, что интернет-магазины на WordPress не закидывали в корзину товары. Вначале я думал, что это проблема в CMS, потом, что проблема PHP. Но, в результате, после длительной борьбы с проблемой я увидел, что проблема в Nginx. Просто при ЧПУ нужно исправить настройки. В результате, получилось решение Nginx + PHP-FPM.

Вот настройки /etc/nginx/nginx.conf:

# Generic startup file.
user {user} {group};
worker_processes  3;

error_log  /var/log/nginx/error.log;
pid        /var/run/nginx.pid;

# Keeps the logs free of messages about not being able to bind().
#daemon     off;

events {
	worker_connections  1024;
}

http {
#	rewrite_log on;

	include mime.types;
	default_type       application/octet-stream;
	access_log         /var/log/nginx/access.log;
	sendfile           on;
#	tcp_nopush         on;
	keepalive_timeout  3;
#	tcp_nodelay        on;
#	gzip               on;
	index              index.php index.html index.htm;

	# Upstream to abstract backend connection(s) for PHP.
	upstream php {
#        	server unix:/tmp/php-fpm.sock;
       	     server 127.0.0.1:9000;
	}

	include sites-enabled/*;
}

# Generic startup file.

user {user} {group};

worker_processes 3;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

# Keeps the logs free of messages about not being able to bind().

#daemon off;

events {

worker_connections 1024;

}

http {

# rewrite_log on;

include mime.types;

default_type application/octet-stream;

access_log /var/log/nginx/access.log;

sendfile on;

# tcp_nopush on;

keepalive_timeout 3;

# tcp_nodelay on;

# gzip on;

index index.php index.html index.htm;

# Upstream to abstract backend connection(s) for PHP.

upstream php {

# server unix:/tmp/php-fpm.sock;

server 127.0.0.1:9000;

}

include sites-enabled/*;

}

Настройка виртуального хостинга:

# WordPress multisite subdirectory rules.
# Designed to be included in any server {} block.

# This order might seem weird - this is attempted to match last if rules below fail.
# http://wiki.nginx.org/HttpCoreModule
location / {
	try_files $uri $uri/ /index.php?$args;
}

# Add trailing slash to */wp-admin requests.
rewrite /wp-admin$ $scheme://$host$uri/ permanent;

# Directives to send expires headers and turn off 404 error logging.
location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
	expires 24h;
	log_not_found off;
}

# Pass uploaded files to wp-includes/ms-files.php.
rewrite /files/$ /index.php last;

# For multisite:  Use a caching plugin/script that creates symlinks to the correct subdirectory structure to get some performance gains.
set $cachetest "$document_root/wp-content/cache/ms-filemap/${host}${uri}";
if ($uri ~ /$) {
	set $cachetest "";
}
if (-f $cachetest) {
	# Rewrites the URI and stops rewrite processing so it doesn't start over and attempt to pass it to the next rule.
	rewrite ^ /wp-content/cache/ms-filemap/${host}${uri} break;
}

if ($uri !~ wp-content/plugins) {
	rewrite /files/(.+)$ /wp-includes/ms-files.php?file=$1 last;
}

# Uncomment one of the lines below for the appropriate caching plugin (if used).
# include global/wordpress-ms-subdir-wp-super-cache.conf;
# include global/wordpress-ms-subdir-w3-total-cache.conf;

# Rewrite multisite '.../wp-.*' and '.../*.php'.
if (!-e $request_filename) {
	rewrite ^/[_0-9a-zA-Z-]+(/wp-.*) $1 last;
	rewrite ^/[_0-9a-zA-Z-]+(/.*\.php)$ $1 last;
}

# Pass all .php files onto a php-fpm/php-fcgi server.
location ~ \.php$ {
	# Zero-day exploit defense.
	# http://forum.nginx.org/read.php?2,88845,page=3
	# Won't work properly (404 error) if the file is not stored on this server, which is entirely possible with php-fpm/php-fcgi.
	# Comment the 'try_files' line out if you set up php-fpm/php-fcgi on another machine.  And then cross your fingers that you won't get hacked.
	try_files $uri =404;

	fastcgi_split_path_info ^(.+\.php)(/.+)$;
	include fastcgi_params;
	fastcgi_index index.php;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#	fastcgi_intercept_errors on;
	fastcgi_pass php;
}

# WordPress multisite subdirectory rules.

# Designed to be included in any server {} block.

# This order might seem weird - this is attempted to match last if rules below fail.

# http://wiki.nginx.org/HttpCoreModule

location / {

try_files $uri $uri/ /index.php?$args;

}

# Add trailing slash to */wp-admin requests.

rewrite /wp-admin$ $scheme://$host$uri/ permanent;

# Directives to send expires headers and turn off 404 error logging.

location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {

expires 24h;

log_not_found off;

}

# Pass uploaded files to wp-includes/ms-files.php.

rewrite /files/$ /index.php last;

# For multisite: Use a caching plugin/script that creates symlinks to the correct subdirectory structure to get some performance gains.

set $cachetest "$document_root/wp-content/cache/ms-filemap/${host}${uri}";

if ($uri ~ /$) {

set $cachetest "";

}

if (-f $cachetest) {

# Rewrites the URI and stops rewrite processing so it doesn't start over and attempt to pass it to the next rule.

rewrite ^ /wp-content/cache/ms-filemap/${host}${uri} break;

}

if ($uri !~ wp-content/plugins) {

rewrite /files/(.+)$ /wp-includes/ms-files.php?file=$1 last;

}

# Uncomment one of the lines below for the appropriate caching plugin (if used).

# include global/wordpress-ms-subdir-wp-super-cache.conf;

# include global/wordpress-ms-subdir-w3-total-cache.conf;

# Rewrite multisite '.../wp-.*' and '.../*.php'.

if (!-e $request_filename) {

rewrite ^/[_0-9a-zA-Z-]+(/wp-.*) $1 last;

rewrite ^/[_0-9a-zA-Z-]+(/.*\.php)$ $1 last;

}

# Pass all .php files onto a php-fpm/php-fcgi server.

location ~ \.php$ {

# Zero-day exploit defense.

# http://forum.nginx.org/read.php?2,88845,page=3

# Won't work properly (404 error) if the file is not stored on this server, which is entirely possible with php-fpm/php-fcgi.

# Comment the 'try_files' line out if you set up php-fpm/php-fcgi on another machine. And then cross your fingers that you won't get hacked.

try_files $uri =404;

fastcgi_split_path_info ^(.+\.php)(/.+)$;

include fastcgi_params;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

# fastcgi_intercept_errors on;

fastcgi_pass php;

}

Для WP Super Cache:

# WP Super Cache rules.
# Designed to be included from a 'wordpress-ms-...' configuration file.

# Enable detection of the .gz extension for statically compressed content.
# Comment out this line if static gzip support is not compiled into nginx.
gzip_static on;

set $supercacheuri "";
set $supercachefile "$document_root/wp-content/cache/supercache/${http_host}${uri}index.html";
if (-e $supercachefile) {
	set $supercacheuri "/wp-content/cache/supercache/${http_host}${uri}index.html";
}

# If this is a POST request, pass the request onto WordPress.
if ($request_method = POST) {
	set $supercacheuri "";
}

# If there is a query string, serve the uncached version.
if ($query_string) {
	set $supercacheuri "";
}

# Logged in users and those who have posted a comment get the non-cached version.
if ($http_cookie ~* comment_author_|wordpress_logged_in|wp-postpass_) {
	set $supercacheuri "";
}

# Mobile browsers get the non-cached version.
# Wastes CPU cycles if there isn't a mobile browser WP theme for the site.
if ($http_x_wap_profile) {
	set $supercacheuri "";
}

if ($http_profile) {
	set $supercacheuri "";
}

if ($http_user_agent ~* (2.0\ MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800)) {
	set $supercacheuri "";
}

if ($http_user_agent ~* (w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-)) {
	set $supercacheuri "";
}

# Stop processing if the supercache file is valid.
if ($supercacheuri) {
	rewrite ^ $supercacheuri break;
}

# WP Super Cache rules.

# Designed to be included from a 'wordpress-ms-...' configuration file.

# Enable detection of the .gz extension for statically compressed content.

# Comment out this line if static gzip support is not compiled into nginx.

gzip_static on;

set $supercacheuri "";

set $supercachefile "$document_root/wp-content/cache/supercache/${http_host}${uri}index.html";

if (-e $supercachefile) {

set $supercacheuri "/wp-content/cache/supercache/${http_host}${uri}index.html";

}

# If this is a POST request, pass the request onto WordPress.

if ($request_method = POST) {

set $supercacheuri "";

}

# If there is a query string, serve the uncached version.

if ($query_string) {

set $supercacheuri "";

}

# Logged in users and those who have posted a comment get the non-cached version.

if ($http_cookie ~* comment_author_|wordpress_logged_in|wp-postpass_) {

set $supercacheuri "";

}

# Mobile browsers get the non-cached version.

# Wastes CPU cycles if there isn't a mobile browser WP theme for the site.

if ($http_x_wap_profile) {

set $supercacheuri "";

}

if ($http_profile) {

set $supercacheuri "";

}

if ($http_user_agent ~* (2.0\ MMP|240x320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800)) {

set $supercacheuri "";

}

if ($http_user_agent ~* (w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-)) {

set $supercacheuri "";

}

# Stop processing if the supercache file is valid.

if ($supercacheuri) {

rewrite ^ $supercacheuri break;

}

Источник: https://wordpress.org/support/topic/nginx-php-fpm-php-apc-wordpress-multisite-subdirectory-wp-super-cache

Ubuntu: установка и настройка связки nginx + apache + php + mysql

Posted on 13.10.2015 by rudjuk 9 комментариев

В это статье я расскажу как быстро развернуть LAMP сервер на Ubuntu с кеширующим nginx

Для всех команд необходим sudo, потому сразу войдем для удобства в этот режим:

sudo su

sudo su

Далее, обновляем данные из репозитариев:

apt-get -y update

1	apt-get -y update

Установка MySQL сервер:

apt-get install mysql-server mysql-client

1	apt-get install mysql-server mysql-client

Во время установки нас попросят ввести пароль root для сервера MySQL, вводим 2 раза. Дожидаемся окончания установки.

Установка Apache, nginx, php:

apt-get install apache2 nginx apache2-mpm-prefork apache2-utils libapache2-mod-php5 php5 php5-dev php5-mysql php5-common php5-curl php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt php5-mhash php5-ming php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

1	apt-get install apache2 nginx apache2-mpm-prefork apache2-utils libapache2-mod-php5 php5 php5-dev php5-mysql php5-common php5-curl php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt php5-mhash php5-ming php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Дожидаемся окончания установки.
Включаем модули rewrite и include в apache2 при помощи утилиты — a2enmod:

a2enmod rewrite
a2enmod include

1 2	a2enmod rewrite a2enmod include

Меняем порт в apache2 со стандартного 80 на 8080 (2 строчки):

nano /etc/apache2/ports.conf
NameVirtualHost *:8080
Listen 8080

nano /etc/apache2/ports.conf

NameVirtualHost *:8080

Listen 8080

Создаем новый веб сервер (VirtualHost), создаем файл конфигурации:

touch /etc/apache2/sites-available/domain.com

1	touch /etc/apache2/sites-available/domain.com

И вставляем в него следующий текст:

<VirtualHost *:8080>
ServerName domain.com
ServerAlias www.domain.com
ServerAdmin admin@domain.com
DocumentRoot /var/www/domain.com
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/domain.com/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog /var/log/domain.com_error.log
LogLevel warn
CustomLog /var/log/domain.com_access.log combined
</VirtualHost>

ServerName domain.com

ServerAlias www.domain.com

ServerAdmin admin@domain.com

DocumentRoot /var/www/domain.com

Options FollowSymLinks

AllowOverride None

</Directory>

Options Indexes FollowSymLinks MultiViews

AllowOverride All

Order allow,deny

allow from all

</Directory>

ErrorLog /var/log/domain.com_error.log

LogLevel warn

CustomLog /var/log/domain.com_access.log combined

</VirtualHost>

Далее, создаем папку сайта и запускаем сайт:

mkdir -p /var/www/domain.com
a2ensite domain.com

1 2	mkdir -p /var/www/domain.com a2ensite domain.com

Проверяем в браузере — http://domain.com:8080

Конфигурируем nginx:

nano /etc/nginx/nginx.conf

1	nano /etc/nginx/nginx.conf

Приводим конфиг к такому виду:

    user www-data;
    worker_processes 4; #По количеству ядер
    pid /var/run/nginx.pid;
    error_log /sites/nginx/error.log;
    events {
    worker_connections 4096;
    multi_accept on;
    }

    http {

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    server_tokens off;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    access_log /var/log/nginx-access.log;
    error_log /var/log/nginx-error.log;

    gzip on;
    gzip_disable «msie6″;
    gzip_proxied any;
    gzip_min_length 500;
    gzip_proxied expired no-cache no-store private auth;
    gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
    }

user www-data;

worker_processes 4; #По количеству ядер

pid /var/run/nginx.pid;

error_log /sites/nginx/error.log;

events {

worker_connections 4096;

multi_accept on;

}

http {

sendfile on;

tcp_nopush on;

tcp_nodelay on;

keepalive_timeout 65;

types_hash_max_size 2048;

server_tokens off;

include /etc/nginx/mime.types;

default_type application/octet-stream;

access_log /var/log/nginx-access.log;

error_log /var/log/nginx-error.log;

gzip on;

gzip_disable «msie6″;

gzip_proxied any;

gzip_min_length 500;

gzip_proxied expired no-cache no-store private auth;

gzip_types text/plain text/css text/xml text/javascript application/x-javascript application/xml;

include /etc/nginx/conf.d/*.conf;

include /etc/nginx/sites-enabled/*;

}

Далее создаем и правим конфиг нашего сайта:

nano /etc/nginx/sites-enabled/domain.com

1	nano /etc/nginx/sites-enabled/domain.com

Вносим в него следующие записи:

    upstream backend {
    server 127.0.0.1:8080;
    }
    server {
    listen 80;
    server_name domain.com www.domain.com;

    access_log /var/log/nginx-access.log;
    error_log /var/log/nginx-error.log;

    location / {
    proxy_pass http://backend;
    include /etc/nginx/proxy.conf;
    }
    location ~* .(jpg|jpeg|gif|png|ico|css|bmp|swf|js|mov|avi|mp4|mpeg4) {
    root /var/www/domain.com;
    }

    location ~ /.ht {
    deny all;
    }
    }

upstream backend {

server 127.0.0.1:8080;

}

server {

listen 80;

server_name domain.com www.domain.com;

access_log /var/log/nginx-access.log;

error_log /var/log/nginx-error.log;

location / {

proxy_pass http://backend;

include /etc/nginx/proxy.conf;

}

location ~* .(jpg|jpeg|gif|png|ico|css|bmp|swf|js|mov|avi|mp4|mpeg4) {

root /var/www/domain.com;

}

location ~ /.ht {

deny all;

}

Перезапускаем сервисы и проверяем работу:

service apache2 restart
service nginx restart

1 2	service apache2 restart service nginx restart

Источник: http://evolan.org/linux/ubuntu-ustanovka-i-nastrojka-svyazki-nginx-apache-php-mysql/

Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Nginx, блокировка доступа по IP

Posted on 13.07.2015 by rudjuk One comment

Продолжаем ковырять nginx и перекладывать на него функции с apache. В общем-то, у апача я давно не использую описанную здесь функцию, поэтому и забыл написать.

Формально, в nginx существует 2 способа ограничить доступ по ip. Первый — вполне привычные директивы — deny/allow. Второй — очень удобный для ограничения доступа в куче мест — geo переменные.

С deny/allow всё понятно, использовать их можно-нужно так же, как в любом другом веб-сервере:

deny 192.168.0.1; 
allow 192.168.0.1/24; 
allow 8.8.8.8; 
deny all;

deny 192.168.0.1;

allow 192.168.0.1/24;

allow 8.8.8.8;

deny all;

Эти строчки можно вписать почти в любой кусок конфига — начиная с http {} (тогда правила распространятся на весь сервер) и заканчивая отдельным location {}.

Второй способ уже интереснее и не встречается в apache. Как вы знаете, в nginx можно очень удобно работать с любыми переменными. А в переменные писать что угодно. Так вот — почему бы не делать что-либо в зависимости от того, какой IP адрес у посетителя? Прелесть такого варианта в том, что мы можем отдавать не 403ю ошибку, как в первом способе, а 404ю. Или редиректить на другой сайт. Или ещё-что нибудь… ну и так далее.

Собственно говоря, выглядит это так. Пишем в секцию http {} (для того, чтобы эту переменную мы могли использовать в любом server {} ):

geo $accessvar { 
default 0;
# 1 = бухгалтеры 
192.168.1.0/24 1; 
# 2 = манагеры 
192.168.2.0/24 2; 
# 3 = веб-серверы 
1.1.1.1 3; 
2.2.2.2 3; 
4.4.4.4 3; 
}

geo $accessvar {

default 0;

# 1 = бухгалтеры

192.168.1.0/24 1;

# 2 = манагеры

192.168.2.0/24 2;

# 3 = веб-серверы

1.1.1.1 3;

2.2.2.2 3;

4.4.4.4 3;

}

Что мы в итоге написали. Если кто-то придет из подсети 192.168.1.0/24 — то переменная $accessvar выставляется в 1. Если из 192.168.2.0/24 — то в 2. Если пришла машина с IP адресом 1.1.1.1/2.2.2.2/4.4.4.4 — то переменная выставляется в 3. Если какой-то другой адрес — то 0.
При помощи if-ов мы можем юзать эти штуки уже как угодно. Например, у нас есть сайт internal.company.name для сотрудников (и для серверов, чтобы они забирали оттуда какую-либо информацию для обновления сайтов). И сайт compmany.com, на который должны попадать посетители.
Случайных посетителей сайта internal будем редиректить на правильный сайт:

server { 
... 
if ($accessvar = 0) 
{ 
  rewrite ^/(.*) http://company.name permanent; 
} 
... 
}

server {

...

if ($accessvar = 0)

{

rewrite ^/(.*) http://company.name permanent;

}

...

}

Это, кстати, спасет и от надоедливых ботов, которые игнорируют robots.txt.
Далее. У нас есть 3 location:
/buh — сюда нам нужно пускать только бухгалтеров (ну там морда «1С:Підприємство», например)
/manager — сюда только менеджеров
/export — сюда только серверы.

Представляете, какой вам ад пришлось бы разводить в конфигах, чтобы добиться этого с access/deny )? А тут вам нужно только поддерживать актуальный список адресов в одном месте. Можно сочетать с VPN, чтобы адреса точно нужные были =)

server { 
... 
location /buh { 
  if ($accessvar != 1) { 
      return 404; 
  } 

  location /manager{ 
   if ($accessvar != 2) { 
      return 404; 
   } 

   location /export { 
    if ($accessvar != 3) { 
      return 404; 
   } 
... 
}

server {

...

location /buh {

if ($accessvar != 1) {

return 404;

}

location /manager{

if ($accessvar != 2) {

return 404;

}

location /export {

if ($accessvar != 3) {

return 404;

}

...

}

Ну и не забываем порестартить nginx:

/etc/init.d/nginx restart

1	/etc/init.d/nginx restart

Помните, deny/access работает быстрее, но обладает очень узким функционалом. Но от ddos’a оно не спасет тоже — от ддоса лучше защищаться файрволлом. Поэтому переменные geo имеют право на существование. При этом они куда более удобны при правильном использовании. Кстати, можно создавать сразу именованные переменные — buh, manager, server, например =)

Джерело: https://debian.pro/726

Nginx

Защита файла wp-config.php в nginx

Posted on 26.06.2015 by rudjuk Leave a comment

А в т о р : Р у д ю к С . А .
https://corp2.net
E-Mail: rs@corp2.net

В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах.

Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php
<Files wp-config.php>
    Order allow,deny
    Deny from all
</Files>

# Deny public access to wp-config.php

Order allow,deny

Deny from all

</Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php
location ~* wp-config.php { 
    deny all; 
}

# Deny public access to wp-config.php

location ~* wp-config.php {

deny all;

}

А в т о р : Р у д ю к С . А . https://corp2.net

Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

Posted on 26.06.2015 by rudjuk Leave a comment

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress.

В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу.

1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора.

В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';
UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

1 2	UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков и цифр не менее чем из 10-12 символов.

3. При бутфорсе WordPress, производится огромное количество запросов к файлу авторизации «wp-login.php», и будет правильно обеспечить ему двойную защиту.

Если вы работаете с сайтом один, и ваш интернет-провайдер предоставляет вам статичный IP-адрес, вы можете разрешить доступ к директории «wp-admin» только с вашего IP-адреса, заблокировав тем самым для всех остальных даже возможность авторизации. Делается это следующим образом. В директории «wp-admin» создаем файл «.htaccess» следующего содержания:

order deny,allow
deny from all
allow from IP

order deny,allow

deny from all

allow from IP

Где IP — это ваш IP-адрес. Узнать его вы можете, например, здесь.

Если же, кроме вас с сайтом работают еще люди со статическими IP-адресами, вы можете просто добавить их в список ниже. Например, так:

order deny,allow
deny from all
allow from IP1
allow from IP2
allow from IP3

order deny,allow

deny from all

allow from IP1

allow from IP2

allow from IP3

Где, IP1, IP2, IP3 — разрешенные IP-адреса.

Благодаря этому, все пользователи (боты) с IP-адресами, не указанными в списке разрешенных, просто не получат доступа к директории «wp-admin» и, соответственно, не смогут брутфорсить файл «wp-login.php». Всем им будет возвращаться ошибка 403.

Если провайдер вам выдает динамический IP-адрес, меняющийся с каждым новым подключением к Интернету, тогда этот способ не пройдет, т.к «.htaccess» придется редактировать при каждом вашем подключении к Сети. С помощью все того же «.htaccess» мы можем установить дополнительную серверную HTTP-авторизацию. Делается это следующим образом.

Все в той же директории «wp-admin» создаются два файла: «.htaccess» и «.htpasswd». В первом будут храниться инструкции, во втором разрешенные данные для доступа к директории.

В «.htaccess» пишем следующее:

AuthType basic
AuthName 'Access Denied'
AuthUserFile '/fullpath/.htpasswd'
Require valid-user
DirectoryIndex index.php

AuthType basic

AuthName 'Access Denied'

AuthUserFile '/fullpath/.htpasswd'

Require valid-user

DirectoryIndex index.php

Где fullpath — полный путь к файлу «.htpasswd». Обратите на это должное внимание, т.к это самая частая ошибка. Полный путь вы можете узнать у своего хостинг-провайдера или с помощью небольшого php-скрипта:

$dir = dirname(__FILE__);
echo '<p>Полный путь: ' . $dir . '/</p>';

1 2	$dir = dirname(__FILE__); echo '<p>Полный путь: ' . $dir . '/</p>';

Или другим способом:

echo '<p>Полный путь: ' . $_SERVER['DOCUMENT_ROOT'] . '/</p>';

1	echo '<p>Полный путь: ' . $_SERVER['DOCUMENT_ROOT'] . '/</p>';

Если вы по каким-то причинам не хотите паролить всю директорию «wp-admin», вы можете запаролить непосредственно файл «wp-login.php». Делается это аналогично, но в «.htaccess» нужно написать следующее:

<filesmatch "wp-login.php"="">
AuthName 'Access Denied'
AuthType Basic
AuthUserFile '/fullpath/.htpasswd'
require valid-user
</filesmatch>

AuthName 'Access Denied'

AuthType Basic

AuthUserFile '/fullpath/.htpasswd'

require valid-user

</filesmatch>

Файл «.htpasswd» в обоих случаях должен выглядеть следующим образом:

username:password

1	username:password

Где username — это имя разрешенного пользователя, а password — это пароль. Обратите внимание, что пароль хранится в зашифрованном виде. Поэтому, предварительно ваш пароль нужно зашифровать. Сделать это можно, например, с помощью этого сервиса. На пароль действуют те же правила, что указаны в пункте 2 данной публикации.

Для использования нескольких пользователей с паролями, вы можете просто перечислить их по-порядку. Например, вот так:

username1:password1
username2:password2
username3:password3

username1:password1

username2:password2

username3:password3

Если вы сделаете все правильно, перед авторизацией в WordPress вам будет предложено ввести логин и пароль доступа к директории (файлу). И только после успешного входа вы сможете авторизоваться и войти в администраторскую консоль.

В Safari 6.0.5 на Mac OS это выглядит примерно так:

В других браузерах возможно немного иначе.

Выполнив хотя бы эти 3 пункта, вы в разы снизите вероятность взлома вашего WordPress.

Дополнительные меры по защите WordPress

Дополнительно вы можете защитить таким же образом файл настроек WordPress «wp-config.php». Я бы рекомендовал его защитить, потому что в нем содержатся данные для подключения к БД MySQL. Делается это аналогично:

<files wp-config.php="">
order allow,deny
deny from all
</files>

order allow,deny

deny from all

</files>

Также, я бы рекомендовал вам проверить директории вашего сайта. Дело в том, что очень многие хостеры и безалаберные сисадмины не закрывают по-дефолту просмотр директорий сайтов своих клиентов. Если, к примеру, ввести в адресную строку браузера: http://вашсайт/wp-includes/ и вы увидете содержимое этой директории — нужно бить тревогу и срочно закрывать просмотр. Для этого можно создать в директориях, которые вы хотите закрыть от просмотра, пустые файлы «index.html» или дописать в ваш «.htaccess» всего одну строку:

Options All -Indexes

1	Options All -Indexes

Которая запретит серверу показывать содержимое директорий.

Кроме всего прочего, вы можете самостоятельно установить плагины безопасности WordPress, рекомендованные разработчиками платформы.

Их обзор в рамках данной публикации я проводить не буду.

Если в процессе настройки защиты WordPress от брутфорса у вас возникнут сложности — вы всегда можете обратиться ко мне за помощью. Контакты здесь.

Кстати

Март 2019
Пн	Вт	Ср	Чт	Пт	Сб	Вс
« Фев
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31