[vpsFree.cz: community-list] Nginx proxy, SSH
Jindřich Sadílek
jindrich.sadilek at gmail.com
Sun Jun 14 16:44:43 CEST 2020
Jen protože to dnes je bezpečné, neznamená že že to zítra někdo nedokáže zneužít. Netřeba implementovat celý NIST zero-trust ( https://csrc.nist.gov/publications/detail/sp/800-207/draft ), ale třeba doručení HTTPS až na webserver vs ukončení na proxy, nic nestojí.
Jindra
On Sun, Jun 14, 2020, at 15:19, Jan B. Kolář wrote:
> Ahoj,
>
> díky moc Petrovi a Jirkovi za reakce. Asi jsem měl napsat, že ta TLS
> terminace na proxy se mi líbí a chtěl bych to tak zkusit nasadit :-) Šlo
> mi hlavně o to, jestli mi v našem VPS prostředí neunikají nějaká
> vážnější bezpečností rizika, na která bych si měl dát pozor.
>
> Díky za upozornění ohledně aplikací a jejich případné nefunkčnosti za
> proxy. Už jsem na to narazil v jednom článku a můj plán je přesouvat
> jeden web po druhém, abych to mohl otestovat a případně odladit.
>
> Ještě jsem se s Vámi chtěl podělit o jeden odkaz s informacemi a
> ukázkami nastavení Nginxu. Přijde mi to celkem solidně zpracované, tak
> se to třeba bude někomu hodit:
>
> https://github.com/trimstray/nginx-admins-handbook
>
> Zdraví
>
> Honza
>
> Dne 13. 06. 20 v 14:24 Petr Kutalek napsal(a):
> > Ahoj,
> >
> >> 2) Šifrování mezi proxy a backendem
> >>
> >> Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
> >> mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
> >> privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
> >> jsem se chtěl zeptat, zda byste v našem prostředí považovali za
> >> bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
> >> backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
> >> možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda
> >> to není overkill.
> >
> > tady jen doplním, že pokud nechceš, Nginx _nemusí_ vystupovat v roli
> > TLS termination proxy. Jinak řečeno Nginx umí celý ten stream vzít a
> > podle SNI hlavičky předat dále na konkrétní stroj. Konfiguruje se to
> > pak ve "stream" direktivě, nikoli "http". Výhoda je mj. i ta, že takto
> > můžeš obsloužit nikoli jen HTTPS, ale cokoli, co lze do TLS zabalit.
> >
> > A jinak Nginx umí také proxy protocol převzatý z HAProxy, takže i
> > tímto způsobem umí předat TLS stream dále (včetně informace o source
> > IP). Reverse proxy != TLS termination proxy, záleží čistě na Tobě, kde
> > chceš TLS ukončit. Argumentů pro různé varianty je hodně.
> >
> > Radek Zajíc tady dal dříve odkaz na pěknou a srozumitelnou přednášku z
> > Mythic Beasts, tuším i tam to zmiňovali, jak to mají vyřešené.
> >
> > Petr
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
>
> --
> Jan B. Kolář
>
> Zažeň nudu
> Hodolanská 17, 779 00 Olomouc
> tel: +420 605 800 859
> e-mail: janbivoj.kolar at zazen-nudu.cz
> www.zazen-nudu.cz
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200614/dc505bdc/attachment.html>
More information about the Community-list
mailing list