Welcome! Log In Create A New Profile

Advanced

[security advisory] http://wiki.nginx.org/Redmine

Previous Message Next Message
Forum List Message List New Topic Print View
Gena Makhomed
March 07, 2015 09:38PM
Здравствуйте!

Пытаюсь наиболее оптимальным способом настроить связку nginx + redmine,
и на wiki-сайте nginx нашел совсем уж кривые рекомендации по настройке:

http://wiki.nginx.org/Redmine

Здесь как минимум три проблемы:

1. Все конфиги редмайна при такой настройке становятся доступны всем
желающим, например: https://redmine.example.com/config/database.yml
- там лежит в plain text логин и пароль подключения к базе данных.

2. На этом сайте используется nginx/1.5.12 с известными уязвимостями

3. Используется переменная $http_host вместо переменной $host

=================================================================

Домен nginx.org - это официальный домен разработчиков nginx,
и все что размещено на этом домене и сабдоменах автоматически
получает высокий рейтинг доверия у пользователей, и подобные
рекомендации по настройке nginx широко используются в мире.

Поэтому здесь получается примерно вот такая ситуация:

http://www.jvanetsky.ru/data/text/t8/konservatoria/

Консерватория

Консерватория, аспирантура, мошенничество, афера, суд, Сибирь.

Консерватория, частные уроки, еще одни частные уроки, зубные протезы,
золото, мебель, суд, Сибирь.

Консерватория, концертмейстерство, торговый техникум, зав.
производством, икра, крабы, валюта, золото, суд, Сибирь.

Может, что-то в консерватории подправить?

============================================================

Небезопасные рекомендации по настройке redmine,
которые выложены на http://wiki.nginx.org/Redmine
на текущий момент:

[...]

This is very nearly a drop in configuration. The only thing you should
need to change will be the root location, upstream servers, and the
server name.

upstream redmine {
server 127.0.0.1:8000;
server 127.0.0.1:8001;
server 127.0.0.1:8002;
}

server {
server_name redmine.DOMAIN.TLD;
root /var/www/redmine;

location / {
try_files $uri @ruby;
}

location @ruby {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_read_timeout 300;
proxy_pass http://redmine;
}
}

[...]

============================================================

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Reply Quote
RSS
Subject Author Posted

[security advisory] http://wiki.nginx.org/Redmine

Gena Makhomed March 07, 2015 09:38PM

Re: [security advisory] http://wiki.nginx.org/Redmine

Валентин Бартенев March 08, 2015 10:06AM

Re: [security advisory] http://wiki.nginx.org/Redmine

Дима Редмайн March 10, 2015 06:46AM

Re: [security advisory] http://wiki.nginx.org/Redmine

Pavel V. March 10, 2015 12:24PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 280
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready