Nginx Archives - iZero

[Nginx] Tls 1.3

1 juin 20211 juin 2021 BEF Laisser un commentaire

Article original publié le : 01 juin 2021 Mise a jour le : Petit mémo pour ajouter le tls 1.2 et 1.3 sous Nginx En fonction du niveau d’exigence désiré À appliquer sur l’ensemble des vhosts

ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';

ssl_prefer_server_ciphers on;

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';

ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+AESGCM:EECDH+AES;

ssl_prefer_server_ciphers on;

ssl_protocols TLSv1.2 TLSv1.3;

ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+AESGCM:EECDH+AES;

Source : https://www.mkssoftware.com/docs/man1/openssl_ciphers.1.asp

[Web] Mes virtualhosts sur Nginx

26 janvier 201927 janvier 2019 BEF Laisser un commentaire

Mes virtualhosts sur Nginx Article original Publié le : 26 janvier 2018 Mise a jour le : – Voici la conf de mes 2 vhosts sur Nginx, un site web wordpress et matomo. Pour en garder une trace et pour en avoir une correction si quelqu’un y voit une erreur. […]

[Web] Mise en place des headers pour Nginx

26 janvier 201926 janvier 2019 BEF Laisser un commentaire

Mise en place des headers pour Nginx Article original Publié le : 26 janvier 2018 Mise a jour le : – Suite a la mise en place d’un site avec Nginx, il manque des headers pour plus de sécurité comme on peux le constater depuis le site securityheaders ou j’obtiens un D. Pour […]

[Nginx] Sécuriser encore un peu WordPress en bloquant l’accès XMLRPC

13 janvier 20197 septembre 2019 BEF Laisser un commentaire

Sécuriser encore un peu WordPress en bloquant l’accès XMLRPC sur Nginx Article original Publié le : 13 janvier 2018 Mise a jour le : – Je suis tombé sur cet article très intéressant et des explications plus détaillés sur cet autre site. Bref l’accès XMLRPC n’est pas très bien vu et nécessite […]

[Nginx] Sécuriser Nginx contre les Exploits, les injections, le spam ..

1 octobre 20181 octobre 2018 BEF Laisser un commentaire

Sécuriser Nginx contre les Exploits, les injections, le spam .. Trouver sur le forum de “La Cabane Libre” Depuis sa mise en place il y a 2 semaines, j’ai beaucoup moins de spams. Les mots clés qu’il bloque sont assez explicite, a personnaliser en fonction de l’évolution. Dans sa globalité, ces blocks […]

[Nginx] Configuration des headers

4 mars 20184 mars 2018 BEF Laisser un commentaire

Configuration des headers Suite a un test sur securityheaders, j’ai reçu une note en C. c’est moche .. Après recherche, voici les 3 points de corrections qui m’ont finalement donné la note A+ La correction se fait dans le vhost. Pour Strict-Transport-Security il faut rajouter.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

1	add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Pour Content-Security-Policy il […]

[Nginx] Bloquer Adresse IP / plage d’adresse IP

6 février 20186 février 2018 BEF Laisser un commentaire

Bloquer Adresse IP / plage d’adresse IP Comme pour quasiment tous les sites web recensés, je n’échappe pas au spam. J’utilise Akismet, qui fait du bon boulot, mais pour aller plus loin et pour éviter de toujours tout externaliser, pourquoi ne pas bloquer a la source l’IP, pour celle-ci c’est tjrs le […]

[Nginx] Restreindre par adresse IP l’accès à la page d’authentification de WordPress avec Nginx

4 novembre 201729 octobre 2020 BEF Laisser un commentaire

Restreindre par adresse IP l’accès à la page d’authentification de WordPress avec Nginx Notre WordPress étant fonctionnel, il faut le sécuriser a minima. Un des conseils qui revient souvent c’est la sécurisation de la page d’administration, Apache s’appuie sur un .htaccess, pour Nginx il faut ajouter un bloc dans le vhost. […]

[Linux] Installation d’une Debian 9 + WordPress + Nginx + Netfilter

3 novembre 201721 janvier 2019 BEF Laisser un commentaire

Installation d’une Debian 9 + WordPress + Nginx + Netfilter Version de l’OS Debian 9 Version de WordPress 4.8.3 Pré-requis Php, Mariadb Installation du système Configuration de WordPress Configuration du vhost Nginx Générer un certificat Configuration de Netfilter Lancement de WordPress Installation du système Récupérer une image ISO […]

Création d’un vhost pour Proxmox 4.x et changement du port d’écoute sur Nginx

5 avril 201726 mai 2019 BEF Laisser un commentaire

Création d’un vhost pour Proxmox 4.x et changement du port d’écoute sur Nginx Version de l’OS Debian 8.5 Pré-requis Nginx Créer le vhost, ajouter le contenu et les chemins vers le certificat letsencrypt, le port d’écoute par défaut est 8006, il sera configuré en 443

$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

1	$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

upstream proxmox {
server <strong>192.168.x.x</strong>;  <span style="color: #ff0000;"><-- Adresse Ip du serveur Proxmox</span>
}

server {
listen 80 default_server;
rewrite ^(.*) https://<strong>srv-proxmox.domaine.tld</strong> permanent;  <span style="color: #ff0000;"><-- Définir le fqdn</span>
}
server {
listen 443; ##  <span style="color: #ff0000;"><-- Choisir le port d'écoute, par défaut 443</span>
server_name _;
ssl on;
ssl_certificate <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem</strong>;
ssl_certificate_key     <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem</strong>;
proxy_redirect off;
location / {
proxy_pass https://<strong>srv-proxmox.domaine.tld</strong>:8006;  <span style="color: #ff0000;"><-- Définir le fqdn</span>
}
}
# Pour l'ouverture d'une console VNC (popup), le port étant différent
proxy_http_version 1.1;
proxy_set_header Connection $http_connection;
proxy_set_header Origin http://$host;
proxy_set_header Upgrade $http_upgrade;

upstream proxmox {

server 192.168.x.x; <-- Adresse Ip du serveur Proxmox

}

server {

listen 80 default_server;

rewrite ^(.*) https://srv-proxmox.domaine.tld permanent; <-- Définir le fqdn

}

server {

listen 443; ## <-- Choisir le port d'écoute, par défaut 443

server_name _;

ssl on;

ssl_certificate /etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem;

proxy_redirect off;

location / {

proxy_pass https://srv-proxmox.domaine.tld:8006; <-- Définir le fqdn

}

# Pour l'ouverture d'une console VNC (popup), le port étant différent

proxy_http_version 1.1;

proxy_set_header Connection $http_connection;

proxy_set_header Origin http://$host;

proxy_set_header Upgrade $http_upgrade;

Faire un lien […]

[Nginx] Création d’un vhost pour Proxmox

5 avril 201719 novembre 2017 BEF Laisser un commentaire

Création d’un vhost pour Proxmox sur Nginx Testé sur Debian 8.5 Pré requis Avoir généré le certificat, voir article Installation de Let’s Encrypt Avoir installé Nginx Créer le vhost, ajouter le contenu et les chemins vers le certificat letsencrypt.

$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

1	$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

server {
listen       80;
server_name <strong>srv-proxmox.domaine.tld</strong>    <strong>srv-proxmox</strong>;
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
}
server {
listen       443 ssl;

server_name <strong>srv-proxmox.domaine.tld</strong>    <strong>srv-proxmox</strong>;
ssl_certificate <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem</strong>;
ssl_certificate_key     <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem</strong>;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

location / {
proxy_pass https://<strong>srv-proxmox.domaine.tld</strong>/;
}
}

server {

listen 80;

server_name srv-proxmox.domaine.tld srv-proxmox;

if ($scheme = http) {

return 301 https://$server_name$request_uri;

}

server {

listen 443 ssl;

server_name srv-proxmox.domaine.tld srv-proxmox;

ssl_certificate /etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

location / {

proxy_pass https://srv-proxmox.domaine.tld/;

}

Faire un lien symbolique vers sites-enabled

$ sudo ln -sf /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld</strong> /etc/nginx/sites-enabled/

1	$ sudo ln -sf /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld</strong> /etc/nginx/sites-enabled/

[…]

[Nginx] Création d’un vhost pour Openfire

4 avril 201719 novembre 2017 BEF Laisser un commentaire

Création d’un vhost pour Openfire Os version: Centos 6.8 Une fois Nginx installé, créer le vhost.

$ sudo vim /etc/nginx/sites-available/<span style="color: #ff0000;">nomdemachine.domaine.tld.conf</span>

1	$ sudo vim /etc/nginx/sites-available/<span style="color: #ff0000;">nomdemachine.domaine.tld.conf</span>

Voici le contenu.

server {
    listen       80;
    server_name <span style="color: #ff0000;">nom.domaine.tld nom</span>;
   if ($scheme = http) {
        return 301 https://$server_name$request_uri;
   }
}
server {
    listen       443 ssl;

    server_name  <span style="color: #ff0000;">nom.domaine.tld nom</span>;
ssl_certificate /etc/nginx/ssl/<span style="color: #ff0000;">nom.domaine.tld</span>.crt; (<span style="color: #ff0000;">.pem si letsencrypt</span>)
ssl_certificate_key     /etc/nginx/ssl/<span style="color: #ff0000;">nom.domaine.tld</span>.key; (<span style="color: #ff0000;">.pem si letsencrypt</span>)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-G
CM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA25
6:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-
AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RS
A-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-
RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES1
28-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-
SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!
RC4";



    location / {
        proxy_pass https://<span style="color: #ff0000;">nom.domaine.tld</span>:7443/ofmeet;
    }
}

server {

listen 80;

server_name nom.domaine.tld nom;

if ($scheme = http) {

return 301 https://$server_name$request_uri;

}

server {

listen 443 ssl;

server_name nom.domaine.tld nom;

ssl_certificate /etc/nginx/ssl/nom.domaine.tld.crt; (.pem si letsencrypt)

ssl_certificate_key /etc/nginx/ssl/nom.domaine.tld.key; (.pem si letsencrypt)

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-G

CM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA25

6:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-

AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RS

A-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-

RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES1

28-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-

SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!

RC4";

location / {

proxy_pass https://nom.domaine.tld:7443/ofmeet;

}

[Certificat] Installer un certificat sur Nginx

30 mars 201715 novembre 2017 BEF Laisser un commentaire

Après avoir commandé un certificat SSL (https://www.networking4all.com par exemple), l’archive reçu est constituée de 5 fichiers. Copier les dans /tmp

- GeoTrustGlobalCA.cer
- test.mondomaine.net.cer
- RapidSSLSHA256CA.cer
- test.mondomaine.net.csr
- test.mondomaine.net.export.key

- GeoTrustGlobalCA.cer

- test.mondomaine.net.cer

- RapidSSLSHA256CA.cer

- test.mondomaine.net.csr

- test.mondomaine.net.export.key

Ouvrir un bloc note et copier et concaténer le contenu de:

test.mondomaine.net.cer

1	test.mondomaine.net.cer

puis a la suite

GeoTrustGlobalCA.cer

1	GeoTrustGlobalCA.cer

puis a la suite

RapidSSLSHA256CA.cer

1	RapidSSLSHA256CA.cer

Sauvegarder le fichier en

test.mondomaine.net.crt

1	test.mondomaine.net.crt

Renommé

test.mondomaine.net.export.key en test.mondomaine.net.key

1	test.mondomaine.net.export.key en test.mondomaine.net.key

[…]