[vpsFree.cz: community-list] Nginx proxy, SSH

Jirka Bourek vpsfree-list at keroub.cz
Sat Jun 13 13:28:03 CEST 2020 

> 2) Šifrování mezi proxy a backendem
> 
> Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti 
> mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili 
> privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto 
> jsem se chtěl zeptat, zda byste v našem prostředí považovali za 
> bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a 
> backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je 
> možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to 
> není overkill.

Žádné VLAN - jestli si to dobře pamatuju, tak mezi každou VPS a jejím 
hostitelem existuje jedna dvoučlenná síť, takže není možné 
odposlouchávání na síti ze strany jiné VPS (což nic neříká o možnostech 
odposlouchávání na fyzické síti mezi hostiteli, ale to už je něco 
jiného, na to byste se z té VPS musel prohákovat ven do hostitele, nebo 
se nějak dostat k síťovým prvků mezi hostiteli.)

Ohledně SSL mezi proxy a backendem je jedna věc ke zvážení: jestli 
všechny weby, které provozujete, budou schopny detekovat SSL spojení i 
na HTTP. Mluvím o funkci "přesměrování na HTTPS", kde aplikace zjišťuje, 
jestli je příchozí spojení šifrované, z informací od svého webserveru - 
který vždy uvidí HTTP.

Toto se řeší například tím, že proxy do požadavku předávaného backendu 
přidá hlavičku (třeba) X-Forwarded-Proto, ale pokud ji aplikace nebude 
umět použít, tak se všechny požadavky zacyklí do přesměrování na https

> 
> 3) SSH tunel na proxy
> 
> Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na 
> 127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port 
> forwardingu. V případě nasazení jako "proxy - backend" bych na proxy 
> opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na 
> proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení 
> přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?

Záleží na tom, jak paranoidní budete :-) Tím serverem poslouchajícím na 
proxy na 127.0.0.1 může být SSH klient, který bude mít vytvořený tunel 
na backend server a předávat spojení na jeho 127.0.0.1

More information about the Community-list mailing list