[security advisory] http://wiki.nginx.org/Redmine

Gena Makhomed gmm at csdoc.com
Sun Mar 8 02:36:00 UTC 2015 

Здравствуйте!

Пытаюсь наиболее оптимальным способом настроить связку nginx + redmine,
и на wiki-сайте nginx нашел совсем уж кривые рекомендации по настройке:

http://wiki.nginx.org/Redmine

Здесь как минимум три проблемы:

1. Все конфиги редмайна при такой настройке становятся доступны всем
желающим, например: https://redmine.example.com/config/database.yml
- там лежит в plain text логин и пароль подключения к базе данных.

2. На этом сайте используется nginx/1.5.12 с известными уязвимостями

3. Используется переменная $http_host вместо переменной $host

=================================================================

Домен nginx.org - это официальный домен разработчиков nginx,
и все что размещено на этом домене и сабдоменах автоматически
получает высокий рейтинг доверия у пользователей, и подобные
рекомендации по настройке nginx широко используются в мире.

Поэтому здесь получается примерно вот такая ситуация:

http://www.jvanetsky.ru/data/text/t8/konservatoria/

Консерватория

Консерватория, аспирантура, мошенничество, афера, суд, Сибирь.

Консерватория, частные уроки, еще одни частные уроки, зубные протезы, 
золото, мебель, суд, Сибирь.

Консерватория, концертмейстерство, торговый техникум, зав. 
производством, икра, крабы, валюта, золото, суд, Сибирь.

Может, что-то в консерватории подправить?

============================================================

Небезопасные рекомендации по настройке redmine,
которые выложены на http://wiki.nginx.org/Redmine
на текущий момент:

[...]

This is very nearly a drop in configuration. The only thing you should 
need to change will be the root location, upstream servers, and the 
server name.

upstream redmine {
         server 127.0.0.1:8000;
         server 127.0.0.1:8001;
         server 127.0.0.1:8002;
}

server {
         server_name redmine.DOMAIN.TLD;
         root /var/www/redmine;

         location / {
                 try_files $uri @ruby;
         }

         location @ruby {
                 proxy_set_header  X-Real-IP  $remote_addr;
                 proxy_set_header  X-Forwarded-For 
$proxy_add_x_forwarded_for;
                 proxy_set_header  Host $http_host;
                 proxy_redirect off;
                 proxy_read_timeout 300;
                 proxy_pass http://redmine;
         }
}

[...]

============================================================

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru