Какие прорехи в безопасности могут быть в конфигурации nginx?

Question

Amoled @Amoled

Какие прорехи в безопасности могут быть в конфигурации nginx?

Делаю тут впервые полностью конфигурацию на nginx без apache. Беспокоит, не пропустил ли каких тонкостей, которые могут вылиться в дыру в безопасности. спасибо всем за замечания.

Логика такая:
1. Постоянный редирект с / на index.php
2. Запрещаем любую статику кроме gif|jpg|png|js|css|ttf|woff|ico
3. Разрешаем доступ только к index.php для всех, к json.php для 1-го IP, остальные PHP файлы не должны ни открываться ни выполняться (404), для /secure доступ превентивно также блокируется (на всякий случай).
4. Разрешаем доступ к /admin только с 1-го IP, для /admin/phpmyadmin такой же доступ (но меняется CSP), а в /admin/secure доступ закрыт для всех.

P.s.: fix_pathinfo отключен

server {
    listen       443 ssl;
    server_name  site.ru;
    root         /var/www/html/;
    ssl_certificate                 /etc/nginx/cert.pem;
    ssl_certificate_key             /etc/nginx/private.key;


    index index.php;

    access_log /var/log/nginx/site-access_log;
    error_log /var/log/nginx/site-error_log;

    add_header Content-Security-Policy "default-src 'self' fonts.gstatic.com chart.googleapis.com; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' fonts.googleapis.com;";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Frame-Options "deny";
    add_header X-Content-Type-Options "nosniff";

    location = / {
        rewrite ^ $scheme://$host/index.php permanent;
    }

    location / {
        deny all;
        return 404;
    }

    location ~* \.(gif|jpg|png|js|css|ttf|woff|ico)$ {
        try_files $uri =404;
        expires 30d;
    }

    location ~* /secure/ {                                                  
        deny all;                                                              
        return 404;                                                            
    } 

    location ~* ^/index\.php$ {
        try_files $uri $uri/ =404;
        fastcgi_index index.php;
        fastcgi_pass php5-fpm-sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
    }

    location ~* ^/json\.php$ {
        allow 1.2.3.4;
        deny all;
        try_files $uri $uri/ =404;
        fastcgi_pass php5-fpm-sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
    }

    location ~* /admin/secure/ {
        deny all;
        return 404;
    }

    location ~* /admin/phpmyadmin/ {
        allow 1.2.3.4;
        deny all;
        try_files $uri $uri/ =404;
        fastcgi_index index.php;
        fastcgi_pass php5-fpm-sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
        add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval';";
    }

    location ~* /admin/ {
        allow 1.2.3.4;
        deny all;
        try_files $uri $uri/ =404;
        fastcgi_index index.php;
        fastcgi_pass php5-fpm-sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
    }
}

Вопрос задан более трёх лет назад
2844 просмотра

Комментировать

Подписаться 10 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 3

4 комментария

Amoled @Amoled Автор вопроса
Лучше использовать переменную $server_name, но все равно, если вам нужно обращения по любым url обрабатывать только через index.php, то правильно это делается так:

/NONEXISTENTFILE меняете на заранее фейковый файл который не может существовать, например /d7sdhsdhsdf8sfhgsfd8fh438dfjh

Т.е. по вашему заставлять nginx на каждый запрос проверять наличие несуществующего файла - это правильно?

location ~* ^/json\.php$ { if ($denied) { return 403; } try_files /NONEXISTENTFILE @json; }

Тут вообще не понял - зачем отдельная зона json? Зачем проверка наличия существования файла (несуществующего), если запрос пришел на конкретный json.php? К чему все эти бессмысленные переадресации?

Очень странная логика, особенно использование $host и некорректное использование try_files.

Да логика то вполне понятная. Сначала запрещаем всё. Потом разрешаем конкретные типы файлов на статику, и конкретные .php файлы. Вот и вся логика. Чтобы никто не получил доступ ни к каким другим ресурсам, кроме описанных, ни статичным ни динамичным. У вас же я вижу только пачку переадресаций, в т.ч. 404 вы зачем-то заруливаете на php, который что будет делать? Отдаст файл? Выполнит его, если не дай бог он окажется исполняемым? Так себе решение.
Написано более трёх лет назад
Михаил Григорьев @Sleuthhound

Т.е. по вашему заставлять nginx на каждый запрос проверять наличие несуществующего файла - это правильно?

Да, это правильно, это дает меньше накладных расходов, чем другие методы. Так же нужно правильно использовать try_files. И постараться избегать сложных конструкций с if, см. статью If is Evil

Тут вообще не понял - зачем отдельная зона json? Зачем проверка наличия существования файла (несуществующего), если запрос пришел на конкретный json.php?

Это не отдельная зона, не путайте с limit_req_zone и т.п., это отдельный locaton для обработки запросов, причем запросов строго подходящих под наши условия, исключающих попадание туда "левых" запросов.

К чему все эти бессмысленные переадресации?

Это не переадресации, не путайте try_files с rewrite, это у вас есть бессмысленная переадресация, от которой желательно избавиться.

Да логика то вполне понятная. Сначала запрещаем всё. Потом разрешаем конкретные типы файлов на статику, и конкретные .php файлы.

nginx это не iptables, с её политикой все запретить, а потом открыть что нужно или наоборот, все открыть и запретить что нужно. В nginx нужно просто правильно писать конфигурацию, тестировать и проверять её. Придерживаться рекомендаций от разработчиков, не копировать в тупую конфиги с просторов интернет.

У вас же я вижу только пачку переадресаций, в т.ч. 404 вы зачем-то заруливаете на php, который что будет делать? Отдаст файл? Выполнит его, если не дай бог он окажется исполняемым?

У меня нет никаких переадресаций, Вы что-то путаете. Все 404, ровно как и все остальные запросы я отдаю на обработку index.php, чтобы уже на логике веб-приложения реализовать обработку запросов. В примеру, популярные CMS Netcat, Bitrix, Joomla и др. реализуют такую же логику обработки запросов. Если Вам этого не нужно, вы можете исключить error_page 404 = @cms;
В моем конфиге никто не отдаст никакие левые файлы через php, Вы что то путаете, мы отдаем все запросы на файлы на обработку index.php.
Перед тем как написать свой конфиг я его протестировал на тестовом окружении и прогнал минимум необходимых тестов и убедился, что ничего левое их не отдается, только что что было нужно Вам, возможно я не допонял ваши хотелки и Вы хотели другую логику обработки запросов.

Так себе решение.

Если Вы эксперт по nginx, то Вам виднее. Спорить я не буду. Я просто предложил свое решение задачи, которое на мой взгляд более правильное.

Моя Вам рекомендация - прежде чем "обсирать" чьё то решение, станьте вначале экспертом в этой области, а за неимением огромного багажа опыта и знаний - лично я бы не стал так критично относиться к людям, которые Вам стараются помочь - это очень неприятно.

Засим разрешите откланяться, помогать больше Вам у меня нет желания.

Написано более трёх лет назад
Amoled @Amoled Автор вопроса

nginx это не iptables, с её политикой все запретить,

Все запретить, и разрешать конкретное - это не концепция я iptables, а общая концепция обеспечения безопасности. Вы же предлагаете все запросы отправлять в PHP. Дыры в безопасности большего масштаба придумать нельзя.
За geo модуль спасибо, phpmyadmin наверное действительно стоит перенести в другой виртуальный хост, но не ради безопасности, а для удобства. Ибо то что он на другом хосте лежит - защитит только от клиентских атак типа XSS и т.п., при фактической дыре в самом коде phpmyadmin - будет полный доступ к любым файлам с того же экземпляра php-fpm, вне зависимости от хоста. Для защиты от уязвимостей phpmyadmin нужен отдельный экземпляр fpm.

Написано более трёх лет назад
Михаил Григорьев @Sleuthhound

Вы же предлагаете все запросы отправлять в PHP. Дыры в безопасности большего масштаба придумать нельзя.

1. Я привел пример конфигурации, использовать его или нет - это решать Вам. Не нужно воспринимать мой пример как навязывание и призыв к действиям.
2. Отправлять все запросы на php - такой принцип используют многие CMS, подчеркиваю - МНОГИЕ и это не является проблемой безопасности самой концепции. Проблема безопасности - это дыры в самой CMS, то есть безопасность самого Web-приложения. И проверять и тестировать в большей степени и с большим пристрастием нужно именно web-приложение.
Использовать этот подход или нет - это решать Вам, см. п.1. - я вам ничего не навязываю, а лишь привожу примеры конфигурации и мое видение задачи.

при фактической дыре в самом коде phpmyadmin - будет полный доступ к любым файлам с того же экземпляра php-fpm, вне зависимости от хоста. Для защиты от уязвимостей phpmyadmin нужен отдельный экземпляр fpm.

я Вам в первом посте написал, что phpmyadmin нужно запускать на отдельном виртуальном сервере с отдельным экземпляром php-fpm, Вы как читаете сообщения? по диагонали через 10 слов?

Организуйте для phpMyAdmin отдельный поддомен с отдельным виртуальным сервером и отдельной обработкой php5-fpm через отдельный сокет.

Написано более трёх лет назад

1 комментарий

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+3 ещё

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 3 минуты назад
- 7 просмотров
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- час назад
- 36 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 2 часа назад
- 21 просмотр
0

ответов
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 15 часов назад
- 157 просмотров
2

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 21 час назад
- 131 просмотр
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 часа назад
- 60 просмотров
0

ответов
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 23 часа назад
- 66 просмотров
0

ответов
PHP

+1 ещё

Средний
Как отладить плавающий баг проверки капчи?
- 1 подписчик
- 23 часа назад
- 57 просмотров
1

ответ
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- вчера
- 70 просмотров
1

ответ
PHP

Простой
Как вывести переменную php которая выводит путь к файлу в строке $data = File('assets/files/uslugi-i-ceny/558.csv');?
- 1 подписчик
- вчера
- 97 просмотров
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Создать дизайн лендинга портфолио на фигме

23 апр. 2024, в 14:09

500 руб./за проект

В wordpress подключить модуль по рассрочке (документацию дам)

23 апр. 2024, в 13:51

4500 руб./за проект

Сохранение постов из телеграм каналов+отправка платящим пользователям

17 апр. 2024, в 16:55

200000 руб./за проект

Answer 1 · 2017-10-20 09:29:24

1. Постоянный редирект с / на index.php

location = / {
        rewrite ^ $scheme://$host/index.php permanent;
    }

    location / {
        deny all;
        return 404;
    }
    location ~* ^/index\.php$ {
        try_files $uri $uri/ =404;
        fastcgi_index index.php;
        fastcgi_pass php5-fpm-sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
    }

Очень странная логика, особенно использование $host и некорректное использование try_files. Про try_files почитайте тут.

$host
в порядке приоритета: имя хоста из строки запроса, или имя хоста из поля “Host” заголовка запроса, или имя сервера, соответствующего запросу

Если у вас не определен default_server и server_name site.ru; стоит первым в списке, то к вам будут прилетать все запросы с любым полем Host, в том числе пустым, что является очень опасной практикой.
Лучше использовать переменную $server_name, но все равно, если вам нужно обращения по любым url обрабатывать только через index.php, то правильно это делается так:

/NONEXISTENTFILE меняете на заранее фейковый файл который не может существовать, например /d7sdhsdhsdf8sfhgsfd8fh438dfjh

...
        error_page 404 = @cms;

        location / {
            try_files /NONEXISTENTFILE @cms;
        }

        location @cms {
                fastcgi_pass      unix:/var/lib/php5-fpm/xxxxx.sock;
                fastcgi_index    index.php;
                fastcgi_param   SCRIPT_FILENAME $document_root/index.php;
                fastcgi_param   SCRIPT_NAME /index.php;
                include             /etc/nginx/fastcgi_params;
        }
...

2. Запрещаем любую статику кроме gif|jpg|png|js|css|ttf|woff|ico
location ~* \.(gif|jpg|png|js|css|ttf|woff|ico)$ {
        try_files $uri =404;
        expires 30d;
    }

Логичнее и правильнее будет сделать так:

try_files $uri =404; нам не понадобится, т.к. у нас есть error_page 404 = @cms; который в случае отсутствия картинки перенаправит запрос в @cms

...
        error_page 404 = @cms;

        location ~* ^.+\.(gif|jpg|png|js|css|ttf|woff|ico)$ {
                expires 30d;
                access_log off;
                log_not_found off;
        }

        location / {
            try_files /NONEXISTENTFILE @cms;
        }
...

По поводу json.php и в принципе ограничения доступа, правильнее делать это через map или geo, например так:

http {
....
        geo $my_client_ip $denied {
                default 1;
                127.0.0.1 0;
                XX.XX.XX.XX 0; # <- IP1 с которого можно заходить
                YY.YY.YY.YY 0;    # <- IP2 с которого можно заходить
        }

server {
        listen       443 ssl;
        server_name  site.ru;
        root         /var/www/html/;
...
        set $my_client_ip $remote_addr;
        if ($http_x_forwarded_client_ip ~ "\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}") {
                set $my_client_ip $http_x_forwarded_client_ip;
        }

        error_page 403 = @deny;

        location @deny {
                root /var/www/deny;
                rewrite ^(.*)$ /index.html break;
        }

        location ~* ^/json\.php$ {
                if ($denied) {
                        return 403;
                }
                try_files /NONEXISTENTFILE @json;
        }

        location @json {
                try_files       $uri = 404;
                fastcgi_pass    unix:/var/lib/php5-fpm/xxxxx.sock;
                fastcgi_index   index.php;
                fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include         /etc/nginx/fastcgi_params;
        }

}
}

4. Разрешаем доступ к /admin только с 1-го IP, для /admin/phpmyadmin

Не делайте так! Организуйте для phpMyAdmin отдельный поддомен с отдельным виртуальным сервером и отдельной обработкой php5-fpm через отдельный сокет.
Никогда не храните "левые" (вспомогательные) утилиты в общем каталоге web-приложения, это плохая практика. К примеру: Если в phpMyAdmin будет найдена критическая уязвимость, то даже в случае ограничения доступа к нему с определенного IP существует вероятность, что она может быть проэксплуатирована и тогда через неё поломают ваше web-приложение - оно вам нужно?

По поводу location ~* /admin/ аналогично как для json.php.

Ну и все рекомендации выше от Кирилл Несмеянов относительно hsts, ssl, ciphers, dh, ocsp stapling поддерживаю.

Answer 2 · 2017-10-20 05:22:09

1) Отсутствует hsts заголовок
2) Не указаны SSL протоколы, стоит явно прописать TLS, т.к. остальные потенциально не безопасные
3) Отсутствует перечисление ciphers (потенциально допустимы слабые и небезопасные алгоритмы)
4) Отсутствует ключик диффи
5) Используется потенциально небезопасная и устаревшая версия PHP
6) Включена (не отключена) передача заголовков сервера (т.е. информация о том, что используется nginx)
7) Отсутствуют OCSP Stapling настройки (насколько я помню - могут возникнуть проблемы с отозванными сертификатами x.509)

По поводу настройки самих урлов - хз. Самая лучшая защита и самая адекватная - это просто хранить в web-корне только то, что может быть доступно наружу, как делают все адекватные фреймы, например: https://github.com/laravel/laravel/tree/master/public
Это значит, что в вашем случае их всего два должно быть - это index и json (второй просто прикрыт по айпишнику), остальные вариант ничего не гарантируют.

Тоже самое и с phpmyadmin. Зачем он? Неужели workbench, phpstorm или ещё что с соединением сквозь ssh туннель по сертификату будет менее удобен или безопасен? Не верю.

С админкой, соглашусь, но там, кажется, всё в пределах нормы. Только, кажется, имеет смысл перенастроить каким-нибудь таким (не обязательно прям так, ибо я не проверял как работает пример) образом:

location ~ /admin/*.\.php$ {
    try_files $uri $uri/ /admin/index.php?$query_string =404;
    // ...
}

Т.е. чтобы любой запрос куда-либо отправлял на его index. Не?

Answer 3 · 2017-11-02 12:44:42

Pulse @Pulse

зачем вам такой монстр как phpMyAdmin?
adminer - один файл и заменяет весь этот комбайн.

Ответ написан более трёх лет назад

Комментировать

Какие прорехи в безопасности могут быть в конфигурации nginx?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт