nginx: sandboxing

2021-05-12 Пенетрантность izorkin
Здравствуйте. SystemD поддерживает возможность запуска сервисов в режиме песочницы. В параметрах есть опция RemoveIPC - https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC= Приложение nginx использует IPC вызовы? Можно ли фильтровать эти события, а так же системные

Re: nginx: sandboxing

2021-05-12 Пенетрантность Илья Шипицин
На примере nginx, раз уж про него речь. Штука выглядит прикольной, но не могу придумать, когда она полезна и в чём On Wed, May 12, 2021, 10:12 PM Maxim Konovalov wrote: > Привет. > > On 12.05.2021 19:54, Илья Шипицин wrote: > > какие преимущества и в каких сценариях может дать такая настройка?

Почему не применются заголоки для locations, определенные в server?

2021-05-12 Пенетрантность budarin
/etc/nginx/config/system/security.conf - server_tokens off; add_header X-Frame-Options "deny"; add_header X-XSS-Protection"1;

Re: nginx: sandboxing

2021-05-12 Пенетрантность Maxim Konovalov
Привет. On 12.05.2021 19:54, Илья Шипицин wrote: > какие преимущества и в каких сценариях может дать такая настройка? > Илья, вы спрашиваете про sandboxing как технологию вообще или применительно к nginx/systemd? -- Maxim Konovalov ___ nginx-ru

Re: nginx: sandboxing

2021-05-12 Пенетрантность izorkin
Title: Re: nginx: sandboxing Здравствуйте, Илья. Например, грубый пример, если взломают web-сайт, то не смогут выйти за пределы песочницы. Вы писали 12 мая 2021 г., 20:26:58: На примере nginx, раз уж про него речь. Штука выглядит прикольной, но не могу придумать, когда она полезна и в

Re: nginx: sandboxing

2021-05-12 Пенетрантность Maxim Konovalov
On 12.05.2021 20:26, Илья Шипицин wrote: > На примере nginx, раз уж про него речь. > > Штука выглядит прикольной, но не могу придумать, когда она полезна и в чём > Допустим, известно, что в дикой природе программа X ни при каких случаях не должна делать execve(2). Отличная идея исключить этот

Как запретить для location error pages определенные на уровне server?

2021-05-12 Пенетрантность budarin
На уровне server определены error_pages для location "/" Для остальных locations не нужно отдавать эти страницы, в случае возникновения ошибок Пытаюсь в этих секциях выставлять proxy_intercept_errors off; но бесполезно - при возникновении ошибки отдается страница а не ответ из upstream

Re: nginx: sandboxing

2021-05-12 Пенетрантность izorkin
Title: Re: nginx: sandboxing Здравствуйте, Илья. Если nginx использует эти вызовы, то в конфигурацию сервиса добавить строки, которые разрешают эти вызовы: ``` SystemCallFilter=pipe SystemCallFilter=pipe2 ``` Хотелось немного повысить безопасность службы и изолировать от других сервисов,

Re: nginx: sandboxing

2021-05-12 Пенетрантность Илья Шипицин
а как предполагается, это должно работать ? типа, программа использует эти вызовы, а мы такие бац, и запретили. и что должно произойти ? всё сломается ? какая модель угроз ? есть какие-нибудь примеры ? ср, 12 мая 2021 г. в 17:43, : > Здравствуйте. > SystemD поддерживает возможность запуска

Re: nginx: sandboxing

2021-05-12 Пенетрантность Илья Шипицин
какие преимущества и в каких сценариях может дать такая настройка? ср, 12 мая 2021 г. в 21:44, : > Здравствуйте, Илья. > > Если nginx использует эти вызовы, то в конфигурацию сервиса добавить > строки, которые разрешают эти вызовы: > ``` > SystemCallFilter=pipe > SystemCallFilter=pipe2 > ``` > >

Можно ли сгенерировать случайную строку в переменну так как это делает nginx для request id?

2021-05-12 Пенетрантность budarin
Мне нужно для CSP политики генерировать случайный nonce для каждого запроса и записывать его в заголовок политики и затем этот же none передать в заголовках апстриму Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291507,291507#msg-291507

Re: Почему не применются заголоки для locations, определенные в server?

2021-05-12 Пенетрантность Alexey
12.05.2021 22:38, budarin пишет: не очень понятно >> на данном уровне не описаны свои директивы add_header. не описаны любые или такие же??? речь как раз о случае когда я описываю в server и не описываю в location - заголовки не появляются в запросах к location Скореее всего они

Re: Почему не применются заголоки для locations, определенные в server?

2021-05-12 Пенетрантность Helper code
Директивы наследуются с предыдущего уровня конфигурации при условии, что на данном уровне не описаны свои директивы add_header. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291500,291502#msg-291502 ___ nginx-ru mailing list

Re: Почему не применются заголоки для locations, определенные в server?

2021-05-12 Пенетрантность Helper code
budarin Wrote: --- > не описаны любые или такие же??? Любые. И не забывайте, что заголовки может добавлять не только add_header. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291500,291505#msg-291505

Несколько страниц ошибки (404)

2021-05-12 Пенетрантность Helper code
У меня есть двуязычный статический сайт, русскоязычный вариант которого находится в каталоге /rus/, а английский в корневом каталоге. Как сделать что бы для каталога /rus/ была бы своя русскоязычная страница 404? Казалось бы нужно добавить location /rus/ {error_page 404 /rus/404.htm;}, но в

Re: Почему не применются заголоки для locations, определенные в server?

2021-05-12 Пенетрантность budarin
не очень понятно >> на данном уровне не описаны свои директивы add_header. не описаны любые или такие же??? речь как раз о случае когда я описываю в server и не описываю в location - заголовки не появляются в запросах к location Posted at Nginx Forum: