nginx-ru April 2021

nginx-ru@nginx.org

21 participants
15 discussions

Start a nNew thread

nginx-1.20.0

by Maxim Dounin

Изменения в nginx 1.20.0 20.04.2021 *) Стабильная ветка 1.20.x. -- Maxim Dounin http://nginx.org/

1 year, 1 month

Как закрыть сервер для всех стран кроме своей и сервисов гугл

by akoval

Собственно сабж... Народ, как решаете данную проблему? Сайт постоянно сканируют левые боты и атаки с других стран... Но сервисы гугла нужны. Как закрыть сайт на уровне сервера? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,289352,289352#msg-289352

1 year, 2 months

ssl_early_data

by Gena Makhomed

Здравствуйте, All! Есть в nginx директива ssl_early_data, но как я понял из документации, чтобы ее можно было безопасно включить - необходимо сделать защиту от replay attacks. В документации предлагается делать ее на бекенде, с помощью заголовка proxy_set_header Early-Data $ssl_early_data; Можно ли настроить сам nginx таким способом, чтобы он нормально пропускал на бекенд безопасные запросы GET, HEAD, OPTIONS, TRACE в том случае когда $ssl_early_data установлена в 1 и чтобы он возвращал клиенту 425 (Too Early) status code в том случае, если запрос имеет не безопасный метод POST, PUT, DELETE, PATCH и $ssl_early_data; равно 1. Идеально, если это будет встроенная в nginx функциональность, например, с помощью директивы ssl_early_data_protection. Syntax: ssl_early_data on | off; Default: ssl_early_data off; Context: http, server Syntax: ssl_early_data_protection on | off; Default: ssl_early_data_protection off; Context: http, server Не все бекенды понимают заголовок Early-Data, а ssl_early_data on; было бы полезно включить, для ускорения работы сайта. -- Best regards, Gena

1 year, 3 months

Тонкости работы FastCGI (phpfpm)

by Victor Sudakov

Коллеги, Есть момент, который я не понимаю, как работает. У nginx есть upstream, который представляет собой хост с php7.4-fpm. Допустим на PHP написали код, который зацикливается, или спит 3 часа, или посылает SQL запрос на 3 часа работы - короче, работать собирается долго или бесконечно. Вот пришел от пользователя HTTP запрос, nginx его передал php-fpm в злополучный код, phpfpm child начал бесконечную работу... Что должно произойти, когда пользователь отменил HTTP запрос, или браузер закрыл? nginx закроет соответствующее соединение с php-fpm ? А PHP-код продолжит работу? Или должен прерваться? Прошу прощения за сумбурное изложение, поправки и указания на неверное понимание логики работы с благодарностью принимаются. -- Victor Sudakov VAS4-RIPE http://vas.tomsk.ru/ 2:5005/49@fidonet

1 year, 3 months

запуск тестов https://github.com/nginx/nginx-tests с включенным ASAN (address sanitizer)

by Илья Шипицин

привет! занимаюсь тестированием 3rd parties модулей. один из вариантов тестирования - штатные тесты https://github.com/nginx/nginx-tests хотелось бы в том числе запускать их с ASAN. но на nginx без модулей сейчас получается вот так (половина тестов разваливается) ==3669==ERROR: LeakSanitizer: detected memory leaks Indirect leak of 221184 byte(s) in 3 object(s) allocated from: #0 0x5049a6 in __interceptor_malloc (/home/ilia/nginx-1.19.10/objs/nginx+0x5049a6) #1 0x5a11ff in ngx_alloc /home/ilia/nginx-1.19.10/src/os/unix/ngx_alloc.c:22:9 #2 0x5b0104 in ngx_worker_process_init /home/ilia/nginx-1.19.10/src/os/unix/ngx_process_cycle.c:900:17 #3 0x5af2c3 in ngx_worker_process_cycle /home/ilia/nginx-1.19.10/src/os/unix/ngx_process_cycle.c:704:5 #4 0x5ad797 in ngx_start_worker_processes /home/ilia/nginx-1.19.10/src/os/unix/ngx_process_cycle.c:344:9 #5 0x53866d in main /home/ilia/nginx-1.19.10/src/core/nginx.c:383:9 #6 0x7f1ec30db554 in __libc_start_main (/lib64/libc.so.6+0x22554) SUMMARY: AddressSanitizer: 221184 byte(s) leaked in 3 allocation(s). скажите, у вас есть практика запуска с asan ? воспроизвести ошибку выше можно примерно так (для CentOS 7) export NGINX_VERSION: 1.19.10 yum install -q -y epel-release yum install -q -y centos-release-scl-rh yum install -q -y devtoolset-9-toolchain devtoolset-9-libasan-devel yum install -q -y which wget make gcc git openssl-devel yum install -q -y "perl(Test::More)" 'perl(IO::Socket::SSL)' 'perl(Net::SSLeay)' 'perl(Protocol::WebSocket)' 'perl(IO::Compress::Gzip)' 'perl(JSON::PP)' groupadd -r nginx useradd -r -g nginx -d /var/cache/nginx nginx usermod -o -u 0 nginx groupmod -o -g 0 nginx wget http://nginx.org/download/nginx-${NGINX_VERSION}.tar.gz tar xf nginx-${NGINX_VERSION}.tar.gz cd nginx-${NGINX_VERSION} . /opt/rh/devtoolset-9/enable ./configure --with-debug --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O1 -ggdb -fsanitize=address' --with-ld-opt='-fsanitize=address' make git clone https://github.com/nginx/nginx-tests cd nginx-tests TEST_NGINX_BINARY=${CI_PROJECT_DIR}/nginx-${NGINX_VERSION}/objs/nginx prove .

1 year, 3 months

Варнинги после перехода на PHP 8

by Trecolom

Добрый день! После перехода на 8 версию PHP Nginx стал сыпать предупреждениями: *84085 upstream sent more data than specified in "Content-Length" header while reading upstream, client: 66.249.76.60, server: ..... Прчем, предупреждения появляться только после посещения страниц сайта поисковиками (в основном - ботами Google). В сети нашел совет отключить буферизацию: proxy_buffering off; Но не думаю, что это верное решение. Возможно, на этом форуме мне помогут решить эту проблему? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291263,291263#msg-291263

1 year, 3 months

nginx: worker process`ы называются nginx: master process

by Gena Makhomed

Здравствуйте, All! После перезапуска сервера htop показывает: └─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf ├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf ├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf ├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf └─ nginx: worker process После ручного systemctl restart nginx все стало нормально: └─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf ├─ nginx: worker process ├─ nginx: worker process ├─ nginx: worker process └─ nginx: worker process Это какая-то ошибка в коде nginx, что переименование процессов не всегда срабатывает? -- Best regards, Gena

1 year, 3 months

nginx-1.19.10

by Maxim Dounin

Изменения в nginx 1.19.10 13.04.2021 *) Изменение: в директиве keepalive_requests значение по умолчанию изменено на 1000. *) Добавление: директива keepalive_time. *) Добавление: переменная $connection_time. *) Изменение: при использовании zlib-ng в логах появлялись сообщения "gzip filter failed to use preallocated memory". -- Maxim Dounin http://nginx.org/

1 year, 4 months

proxy_http_version 1.0; gzip_http_version 1.1;

by Gena Makhomed

Здравствуйте, All! Зачем такие странные настройки по-умолчанию? proxy_http_version 1.0; gzip_http_version 1.1; в результате - если используется цепочка из двох nginx, nginx-frontend <=> nginx-backend, то компрессия будет выключена при настройке по-умолчанию. Что плохого будет например, если переключить по-умолчанию "proxy_http_version 1.1;" вместо "proxy_http_version 1.0;" ? -- Best regards, Gena

1 year, 4 months

Nginx reload + Websockets

by Vladislavik

Добрый день, есть 200k websocket соединений на проксируемый сервер, после изменения в конфиге и попытке reload nginx появляются новые процессы nginx и зависают прошлые в статусе "nginx shutting down", которые так и не завершаются, тк клиенты могут висеть онлайн долго, эти старые процессы можно убить kill -9 pid каждый, но в этом случае nginx продолжает в /nginx_status показывать счетчик коннектов с учетом старых соединений из убитых процессов плюс заново переподключившиеся (количество коннектов после каждого reload растет в геометрической прогрессии), хотя в работе после kill старых nginx процессов остаются только новые процессы. Полностью сбросить счетчик коннектов получается только через restart nginx, но в этом случае все websocket клиенты одновременно начинают заново стучаться на сервер, чего тоже не хотелось бы, вопрос: как мягко применять новый конфиг nginx и переподключать websocket соединения хотя бы пачками, а не все одним моментом? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291167,291167#msg-291167

1 year, 4 months

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

nginx-ru April 2021