abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 14:22 | Nová verze

    HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.

    Ladislav Hagara | Komentářů: 0
    včera 13:44 | Komunita

    Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Komunita

    Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.

    Ladislav Hagara | Komentářů: 1
    včera 13:00 | IT novinky

    Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.

    Ladislav Hagara | Komentářů: 0
    včera 02:55 | Bezpečnostní upozornění

    Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.

    Ladislav Hagara | Komentářů: 3
    17.7. 16:55 | Zajímavý software

    pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.

    Ladislav Hagara | Komentářů: 0
    17.7. 16:00 | IT novinky

    Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.

    … více »
    Ladislav Hagara | Komentářů: 0
    17.7. 04:55 | Komunita

    Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)

    Ladislav Hagara | Komentářů: 7
    17.7. 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 1
    16.7. 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (30%)
     (4%)
     (6%)
     (2%)
     (15%)
     (24%)
    Celkem 2168 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    Dotaz: Nginx a přesměrování podle domény

    9.8.2019 12:01 tur
    Nginx a přesměrování podle domény
    Přečteno: 724×

    Zdravím, potřebuji vyřešit jednu možná lehkou věc, ale laboruji s tím už druhý den. Mám tři samostatné webservery za 1 veřejnou IP, které odpovídají na portech 80 a 443 (každý má sám za sebe nastavené přesměrování http->https a certifikáty). Na routeru však mohu směrovat porty pouze na jeden z nich. Zkusil jsem tedy nginx. Teorie je tedy snadná, rozhodovalo by se podle zadané domény, kdy by porty na routeru byly směrovány na vnitřní adresu nginx a pak - domena1.com -> server1 ; domena2.com -> server2 ; domena3.com -> server3.

    Je pro takový úkol vhodné použít nginx, nebo existuje něco vhodnějšího?

    Pokud je správná volba nginx, jak by vypadala konfigurace? Prozatím zkouším port 443, ale moc se nedaří. Tohle je můj nejnovější počin, ale dává to chybu: PR_END_OF_FILE_ERROR . Předem díky.

    server {
    listen 443 ssl;
    server_name domena1.com;

    location / {
    proxy_pass https://server1/;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
    }

    Odpovědi

    Josef Kufner avatar 9.8.2019 12:37 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    To, co hledáš, se jmenuje reverzní proxy. Nginx je ten správný nástroj. Na routeru nainstaluješ nginx a nastavíš ho tak, aby virtualhosty podle domény posílal na ty správné servery za routerem. Začni s HTTP – konfiguraci máš na první pohled správně; je to učebnicový příklad. Jakmile ti bude fungovat, pokračuj s HTTPS.

    HTTPS je trochu složitější. Na routeru je potřeba ukončit šifrování, aby router mohl požadavek předat dál. Ono totiž reverzní proxy nepřeposílá požadavek, ono udělá nový a tváří se, že to je ten původní. Takže budeš muset nakopírovat privátní klíče a certifikáty pro šiforvání na router.

    Zda budeš šifrovat i mezi routerem a serverem záleží na tvé síti. Pokud je tam bezpečno a nic dalšího, tak nemusíš.
    Hello world ! Segmentation fault (core dumped)
    9.8.2019 13:58 NN
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Pochopil jsem to tak, ze na routeru nelze delat nic.
    Max avatar 9.8.2019 13:51 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Ahoj,
    ano, říká se tomu reverzní proxy server a Nginx je na toto vhodný. Mezi nginx a těmi web servery by jsi měl komunikovat také po https, takže nastavení na Nginx bude vypadat takto :
    server {
            listen   80;
            server_name  domena1.com;
            # přesměrování na https
            return 301 https://$host$request_uri;
    
            access_log  /var/log/nginx/domena1.com.proxy.log upstreamlog;
            access_log  /var/log/nginx/domena1.com.access.log;
            error_log /var/log/nginx/domena1.com.error.log;
    
            location / {
                    proxy_pass         http://192.168.1.1;
                    proxy_redirect     off;
                    include /etc/nginx/custom/proxy_base.conf;
            }
    }
    
    server {
        listen 443 ssl http2;
        server_name  domena1.com;
    
            access_log  /var/log/nginx/domena1.com.proxy.log upstreamlog;
            access_log  /var/log/nginx/domena1.com.access.log;
            error_log /var/log/nginx/domena1.com.error.log;
    
            location / {
                    proxy_pass         https://192.168.1.1;
                    proxy_redirect     off;
                    #proxy_ssl_session_reuse on;
                    #proxy_ssl_verify off;
                    include /etc/nginx/custom/proxy_base.conf;
    
            }
    
         # nastavení SSL v separé souboru
         include /etc/nginx/ssl/ssl.conf;
    
         # nastavení certifikátu :
         ssl_certificate  /etc/nginx/ssl/domena1.com-cert-intermediate.pem;
         ssl_certificate_key  /etc/nginx/ssl/domena1.com-private.key;
    
    }
    
    a do "/etc/nginx/custom/proxy_base.conf" souboru zmíněném ve výše uvedeném souboru:
    proxy_set_header   Host             $host;
    proxy_set_header   X-Real-IP        $remote_addr;
    proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    proxy_max_temp_file_size 0;
    
    # for websocket working :
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_http_version 1.1;
    
    
    # This is necessary to pass the correct IP to be hashed
    real_ip_header X-Real-IP;
    
    client_max_body_size       100m;
    client_body_buffer_size    128k;
    
    proxy_connect_timeout      30;
    proxy_send_timeout         20m;
    proxy_read_timeout         20m;
    
    proxy_buffer_size          4k;
    proxy_buffers              4 32k;
    proxy_busy_buffers_size    64k;
    proxy_temp_file_write_size 64k;
    
    A do "/etc/nginx/ssl/ssl.conf" dát :
    # nastavení SSL :
    ssl  on;
    ssl_session_timeout  5m;
    ssl_protocols TLSv1.2;
    ssl_prefer_server_ciphers   on;
    ssl_session_cache shared:SSL:10m;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    
    ssl_ciphers "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256";
    
    Takto nějak si na Nginx nastavíš vhosty pro každou doménu. Pro každou certifikát, třeba Letsencrypt a hotovo.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 9.8.2019 13:57 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Jinak pokud máš na backendu hala bala certifikáty, tak v příkladu výše odkomentuj :
    #proxy_ssl_session_reuse on;
    #proxy_ssl_verify off;
    
    Zdar Max
    Měl jsem sen ... :(
    9.8.2019 22:09 tur
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény

    Díky za podrobné instrukce. Ještě bych si rád udělal myšlenkový pořádek v těch certifikátech.

    1. Chápu to tedy tak, že mi jsou momentální certifikáty (Lets encrypt) na těch třech webserverech k ničemu. Musím ověření domény udělat na nginx stroji a nějak je dostat do /etc/nginx/ssl - je to tak?

    2. Pak trochu nerozumím těm "hala bala" certifikátům. Backendem se v tomto případě myslí co?

    Max avatar 9.8.2019 22:32 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Ano, ověřené cert by jsi měl mít na tom nginx, protože s ním komunikují klienti. Těmi hala bala cert na backendu (těch web serverech, kde běží ty konkrétní weby) jsem myslel self signed certifikáty, co nejde ověřit apod.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 9.8.2019 23:07 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Nejjednodušší bude, když si ty certifikáty budeš rozkopírovávat. Buď ať router řeší všechny a pak je zkopíruje na odpovídající stroje, nebo ať si jednotlivé servery řeší svoje certifikáty a nahrajou je na router.

    Na nahrání stačí SCP a shell script pověšený na Let's Encrypt klienta (viz /etc/letsencrypt/renewal-hooks/post). Jen si dej pozor, ať si tam nevyrobíš díru a máš správně nastavená oprávnění.
    Hello world ! Segmentation fault (core dumped)
    12.8.2019 07:47 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nginx a přesměrování podle domény
    Teoreticky byste mohl na tom serveru, kam je směrován provoz z veřejné IP adresy, rozhodovat o dalším směrování provozu jenom na základě SNI hlavičky (musel by se použít jiný software, než nginx). Certifikáty by tam pak nebyly potřeba, byly by až na koncovém serveru – ten přeposílající server by neměl přístup k dešifrované komunikaci. Pro vaše řešení by to ale bylo zbytečně komplikované, nepředpokládám, že by vadilo, že váš reverzní proxy server dešifruje HTTPS komunikaci.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.