nginx-ru

nginx-ru@nginx.org

2 participants
10469 discussions

by Илья Шипицин

привет! берем nginx-1.23.2 задача - проксировать на fastcgi только реально существующие на файловой системе файлы (чтобы всякие сканы типа /xmlrpc.php не отправлялись бы на fastcgi). классическое решение (работает) location / { try_files $uri =404; fastcgi_pass unix:/run/php/php7.4-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_intercept_errors on; include fastcgi_params; } однако try_files перестает решать задачу, если мы добавляем if (чуть упрощенный конфиг, просто для иллюстрации) - даже несуществующие файлы отправляются на fastcgi location / { try_files $uri =404; fastcgi_pass unix:/run/php/php7.4-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_intercept_errors on; include fastcgi_params; set $cors "true"; if ($cors = "true") { add_header 'Access-Control-Allow-Origin' "$http_origin"; } } можно ли как-то во втором случае вернуть прежнее поведение try_files ? Илья Шипицин

22 hours, 59 minutes

Статический анализ nginx

by Korobov Vladimir

Добрый день. Статический анализ исходного кода выявил некоторые непонятные для меня места. ngx_http_proxy_module.c: строка 1489 while (*(uintptr_t *) le.ip) { lcode = *(ngx_http_script_len_code_pt *) le.ip; (void) lcode(&le); for (val_len = 0; *(uintptr_t *) le.ip; val_len += lcode(&le)) { lcode = *(ngx_http_script_len_code_pt *) le.ip; } le.ip += sizeof(uintptr_t); if (val_len == 0) { e.skip = 1; while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } e.ip += sizeof(uintptr_t); e.skip = 0; continue; } code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); *e.pos++ = ':'; *e.pos++ = ' '; while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } e.ip += sizeof(uintptr_t); *e.pos++ = CR; *e.pos++ = LF; } В этой строке e.ip не проверяется на валидность перед использованием, хотя в этом файле это всегда делается перед использованием. Помогите понять почему? Подобное происходит в ngx_http_scgi_module.c: 852 if (skip_empty && val_len == 0) { e.skip = 1; while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } e.ip += sizeof(uintptr_t); e.skip = 0; continue; } #if (NGX_DEBUG) key = e.pos; #endif code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); #if (NGX_DEBUG) val = e.pos; #endif while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } И в ngx_http_uwsgi_module.c : 1069 if (skip_empty && val_len == 0) { e.skip = 1; while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } e.ip += sizeof(uintptr_t); e.skip = 0; continue; } *e.pos++ = (u_char) (key_len & 0xff); *e.pos++ = (u_char) ((key_len >> 8) & 0xff); code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); *e.pos++ = (u_char) (val_len & 0xff); *e.pos++ = (u_char) ((val_len >> 8) & 0xff); while (*(uintptr_t *) e.ip) { code = *(ngx_http_script_code_pt *) e.ip; code((ngx_http_script_engine_t *) &e); } С уважением, Владимир Коробов

1 week, 4 days

gzip proxy

by MihaKot

Коллеги, день добрый. Столкнулся с проблемой, и не могу понять где косяк. есть сервер proxy (gate) есть сервер приложения (client) почему то не срабатывает сжатие. т.е. пользаку отдается не сжатый контент. конфиг на клиенте gzip on; # Enable Gzip compressed. gzip_http_version 1.1; gzip_comp_level 5; gzip_min_length 1000; gzip_proxied any; gzip_vary on; gzip_types text/css text/* text/javascript message/* application/x-javascript application/json application/xml application/atom+xml application/xaml+xml; конфиг на gate server { listen *:443 ssl http2; index index.html; server_name *****.ru; client_max_body_size 0; ssl_certificate /etc/nginx/ssl/***.ru/cert.pem; ssl_certificate_key /etc/nginx/ssl/****.ru/key.pem; include conf.d/ssl.conf; include conf.d/headers.conf; #include conf.d/_gzip.conf; location / { proxy_pass http://cluster_host; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; port_in_redirect off; proxy_connect_timeout 120; } location ~ /.well-known { allow all; #alias /usr/share/nginx/html/.well-known; root /usr/share/nginx/html/; } } -- P.S. Сохраняйте переписку в теле письма. ___________________________________ Best regards, Konstantin @MihaKot@ Aksarin. Phone: +7 921 74 66 818 Skype: mihakot E-mail: mihakot(a)gmail.com

2 weeks, 2 days

Первый выпуск Angie, форка Nginx от разработчиков, ушедших из компании F5

by Gena Makhomed

Максим, можете рассказать, что Вы думаете по этому поводу? Первый выпуск Angie, форка Nginx от разработчиков, ушедших из компании F5 https://www.opennet.ru/opennews/art.shtml?num=58036 Из дальнейших планов отмечается значительное расширение исходной функциональности при сохранении базовой совместимости с конфигурацией Nginx и возможности использования Angie в качестве замены Nginx без существенного изменения настроек. По сравнению с оригинальным Nginx планируется качественно улучшить отказоустойчивость, повысить быстродействие, упростить сопровождение и добавить дополнительные возможности для кластерных систем. -- Best regards, Gena

1 month

ssl_protocols / ssl_conf_command - nginx bug or nginx documentation bug ?

by Gena Makhomed

Здравствуйте, All! У некоторых пользователей nginx возникли затруднения: https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-128… Только не понятно, это ошибка в самом nginx или ошибка в документации к nginx. Максим, можете ответить этому пользователю на github, в чем там дело? У меня английский такой, что пишу с ошибками, кроме того, я не уверен, что сам правильно понимаю, в чем именно состоит проблема этого пользователя. Ложные сообщения про ошибки в nginx, которые остаются без ответа - это наверное не очень хорошо, поэтому прошу Вас помочь. И если там нет проблемы в коде nginx - может быть все-таки есть проблема в документации к nginx, поскольку если прочитав документацию пользователи не могут правильно сконфигурировать nginx - значит это проблема в документации. В таком случае - можно ли поправить документацию, чтобы в этом месте все было более понятно и чтобы не приходилось в будущем каждому пользователю отвечать по отдельности? -- Best regards, Gena

1 month, 1 week

Работа location с алиасом

by izorkin＠gmail.com

Здравствуйте. Сейчас столкнулся с непонятной ошибкой. Тестовый пример: ``` root /var/www; location / { try_files $uri =404; } location /test/ { try_files $uri =404; alias /var/test/; } ``` Проверяю доступность тестового файла через curl: ``` curl --head -k https://example.com/test/example.txt HTTP/2 200 ... ``` Файл доступен. Лог отладки: ``` ... *302 test location: "/" *302 test location: "test/" *302 using configuration "/test/" ... *302 http script var: "/test/example.txt" *302 trying to use file: "example.txt" "/var/test/example.txt" *302 try file uri: "/test/example.txt" ... *302 http filename: "/var/test/example.txt" ... *302 http2 output header: ":status: 200" ... ``` Меняю location `test` на такой вариант: ``` location ~ ^/(test|custom)/ { try_files $uri =404; alias /var/test/; } ``` Теперь файл не доступен. По идее должно работать... Лог отладки: ``` ... *303 test location: "/" *303 test location: ~ "^/(test|custom)/" *303 using configuration "^/(test|custom)/" ... *303 http script copy: "/var/test/" *303 http script var: "/test/example.txt" *303 trying to use file: "/test/example.txt" "/var/test//test/example.txt" *303 trying to use file: "=404" "/var/test/=404" *303 http finalize request: 404, "/test/example.txt?" a:1, c:1 *303 http special response: 404, "/test/example.txt?" ... *303 http2 output header: ":status: 404" ... ``` Так и должно работать? Только вот если убрать параметр `alias /var/test/;`, то `location /test/` и `location ~ ^/(test|custom)/` работают одинаково. -- С уважением, Izorkin mailto:izorkin@gmail.com

1 month, 1 week

Директории с разными методами в одно вирт хосте

by Татьяна Орлова

Приветствую! Помогите пожалуйста разобраться в написании конфига виртуального хоста. Есть текущий конфиг location / { root /mnt/project; open_file_cache off; client_max_body_size 1000m; dav_methods PUT; dav_access user:rw group:r all:r; create_full_put_path on; } error_page 597 = @not_modif; if (-e /mnt/project/$uri) { return 597; } location @not_modif { internal; root /mnt/project; dav_methods off; } Конфиг разрешает запись методом PUT в корневую директорию, в которой имеется много субдиректорий. И проверяет наличие файлов, не разрешая применять к ним методы, отличные от GET(PUT, MOVE, DELETE, etc) Необходимо решить задачу добавления в корневую директорию папку еще одной, которая будет называться tmp и разрешить в рамках этой папки методы PUT, MOVE, DELETE, но при этом сохранив текущий функционал директорий, которые не tmp. Как это можно сделать? -- Tatiana

1 month, 2 weeks

nginx security advisory (CVE-2022-41741, CVE-2022-41742)

by Maxim Dounin

Hello! В модуле ngx_http_mp4_module были обнаружены две проблемы, которые позволяют с помощью специально созданного mp4-файла вызвать падение рабочего процесса, отправку клиенту части содержимого памяти рабочего процесса, а также потенциально могут иметь другие последствия (CVE-2022-41741, CVE-2022-41742). Проблемам подвержен nginx, если он собран с модулем ngx_http_mp4_module (по умолчанию не собирается) и директива mp4 используется в конфигурационном файле. При этом атака возможна только в случае, если атакующий имеет возможность обеспечить обработку специально созданного mp4-файла с помощью модуля ngx_http_mp4_module. Проблемам подвержен nginx 1.1.3+, 1.0.7+. Проблемы исправлены в 1.23.2, 1.22.1. Патч, исправляющий проблемы, доступен тут: http://nginx.org/download/patch.2022.mp4.txt -- Maxim Dounin http://nginx.org/

1 month, 2 weeks

nginx-1.22.1

by Maxim Dounin

Изменения в nginx 1.22.1 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). -- Maxim Dounin http://nginx.org/

1 month, 2 weeks

nginx-1.23.2

by Maxim Dounin

Изменения в nginx 1.23.2 19.10.2022 *) Безопасность: обработка специально созданного mp4-файла модулем ngx_http_mp4_module могла приводить к падению рабочего процесса, отправке клиенту части содержимого памяти рабочего процесса, а также потенциально могла иметь другие последствия (CVE-2022-41741, CVE-2022-41742). *) Добавление: переменные "$proxy_protocol_tlv_...". *) Добавление: ключи шифрования TLS session tickets теперь автоматически меняются при использовании разделяемой памяти в ssl_session_cache. *) Изменение: уровень логгирования ошибок SSL "bad record type" понижен с уровня crit до info. Спасибо Murilo Andrade. *) Изменение: теперь при использовании разделяемой памяти в ssl_session_cache сообщения "could not allocate new session" логгируются на уровне warn вместо alert и не чаще одного раза в секунду. *) Исправление: nginx/Windows не собирался с OpenSSL 3.0.x. *) Исправление: в логгировании ошибок протокола PROXY. Спасибо Сергею Брестеру. *) Изменение: при использовании TLSv1.3 с OpenSSL разделяемая память из ssl_session_cache расходовалась в том числе на сессии, использующие TLS session tickets. *) Изменение: таймаут, заданный с помощью директивы ssl_session_timeout, не работал при использовании TLSv1.3 с OpenSSL или BoringSSL. -- Maxim Dounin http://nginx.org/

1 month, 2 weeks

Jump to page:

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

nginx-ru