[vpsFree.cz: community-list] Nginx proxy, SSH
Ondrej.Flidr
Ondrej.Flidr at seznam.cz
Sun Jun 14 19:56:51 CEST 2020
Jak se to vezme. Znamena to slozitejsi distribuci certifikatu a udrzovani in
-sync (proxy je jedna az dve, webserveru muzou byt desitky), webserver se
zbytecne zatezuje vypoctem sifer, slozitejsi aplikaci, chyba na webu muze
zpristupnit private key. Oba pristupy maji svoje pro i proti a musi se
zvazit vzdycky co je pro danou aplikaci vhodne.
Ja osobne HTTPS terminuju na balanceru na HAProxy a pak dal uz jedu po
vnitrni VLANe nesifrovane.
Ondra Flidr
---------- Původní e-mail ----------
Od: Jindřich Sadílek <jindrich.sadilek at gmail.com>
Komu: community-list at lists.vpsfree.cz
Datum: 14. 6. 2020 16:45:39
Předmět: Re: [vpsFree.cz: community-list] Nginx proxy, SSH
"
Jen protože to dnes je bezpečné, neznamená že že to zítra někdo nedokáže
zneužít. Netřeba implementovat celý NIST zero-trust ( https://csrc.nist.gov/
publications/detail/sp/800-207/draft
(https://csrc.nist.gov/publications/detail/sp/800-207/draft) ), ale třeba
doručení HTTPS až na webserver vs ukončení na proxy, nic nestojí.
Jindra
On Sun, Jun 14, 2020, at 15:19, Jan B. Kolář wrote:
"
Ahoj,
díky moc Petrovi a Jirkovi za reakce. Asi jsem měl napsat, že ta TLS
terminace na proxy se mi líbí a chtěl bych to tak zkusit nasadit :-) Šlo
mi hlavně o to, jestli mi v našem VPS prostředí neunikají nějaká
vážnější bezpečností rizika, na která bych si měl dát pozor.
Díky za upozornění ohledně aplikací a jejich případné nefunkčnosti za
proxy. Už jsem na to narazil v jednom článku a můj plán je přesouvat
jeden web po druhém, abych to mohl otestovat a případně odladit.
Ještě jsem se s Vámi chtěl podělit o jeden odkaz s informacemi a
ukázkami nastavení Nginxu. Přijde mi to celkem solidně zpracované, tak
se to třeba bude někomu hodit:
https://github.com/trimstray/nginx-admins-handbook
(https://github.com/trimstray/nginx-admins-handbook)
Zdraví
Honza
Dne 13. 06. 20 v 14:24 Petr Kutalek napsal(a):
> Ahoj,
>
>> 2) Šifrování mezi proxy a backendem
>>
>> Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
>> mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
>> privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
>> jsem se chtěl zeptat, zda byste v našem prostředí považovali za
>> bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
>> backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
>> možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda
>> to není overkill.
>
> tady jen doplním, že pokud nechceš, Nginx _nemusí_ vystupovat v roli
> TLS termination proxy. Jinak řečeno Nginx umí celý ten stream vzít a
> podle SNI hlavičky předat dále na konkrétní stroj. Konfiguruje se to
> pak ve "stream" direktivě, nikoli "http". Výhoda je mj. i ta, že takto
> můžeš obsloužit nikoli jen HTTPS, ale cokoli, co lze do TLS zabalit.
>
> A jinak Nginx umí také proxy protocol převzatý z HAProxy, takže i
> tímto způsobem umí předat TLS stream dále (včetně informace o source
> IP). Reverse proxy != TLS termination proxy, záleží čistě na Tobě, kde
> chceš TLS ukončit. Argumentů pro různé varianty je hodně.
>
> Radek Zajíc tady dal dříve odkaz na pěknou a srozumitelnou přednášku z
> Mythic Beasts, tuším i tam to zmiňovali, jak to mají vyřešené.
>
> Petr
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz(mailto:Community-list at lists.vpsfree.cz)
> http://lists.vpsfree.cz/listinfo/community-list
(http://lists.vpsfree.cz/listinfo/community-list)
--
Jan B. Kolář
Zažeň nudu
Hodolanská 17, 779 00 Olomouc
tel: +420 605 800 859
e-mail: janbivoj.kolar at zazen-nudu.cz(mailto:janbivoj.kolar at zazen-nudu.cz)
www.zazen-nudu.cz(http://www.zazen-nudu.cz)
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz(mailto:Community-list at lists.vpsfree.cz)
http://lists.vpsfree.cz/listinfo/community-list
(http://lists.vpsfree.cz/listinfo/community-list)
"
_______________________________________________
Community-list mailing list
Community-list at lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
"
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200614/72bc6a83/attachment-0001.html>
More information about the Community-list
mailing list