The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск nginx 1.19.4"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск nginx 1.19.4"  +/
Сообщение от opennews (??), 27-Окт-20, 23:40 
Сформирован выпуск основной ветки nginx 1.19.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53976

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


5. "Выпуск nginx 1.19.4"  –6 +/
Сообщение от Аноним (5), 28-Окт-20, 01:31 
а чё это они с такой частотой релизов - и до сих пор на свободе?
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 06:36 
https://www.opennet.ru/openforum/vsluhforumID3/122243.html#9
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск nginx 1.19.4"  –8 +/
Сообщение от Аноним (6), 28-Окт-20, 01:42 
Доколе? У nginx есть хоть LTS? Что за темп нововведений?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск nginx 1.19.4"  +5 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 06:33 
У nginx есть stable и mainline.
Stable это 1.x.y, где x — четное число. Новый stable с добавлением фич выпускается один раз в год в апреле, между выпусками выходят только багфиксы. Mainline 1.n.m, где n — нечетное число, в этой ветке ведется разработка и добавление новых фич, из нее создается в апреле новый stable.

Но крупные игроки, типа CF и Yandex рекомендуют использовать mainline, как не странно.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск nginx 1.19.4"  –3 +/
Сообщение от пох. (?), 28-Окт-20, 13:42 
> Доколе? У nginx есть хоть LTS?

конечно есть - nginx+ называетсо. Всего лишь полторы тыщи долларов в год за одноядерную конфигурацию - вот тебе LTS! И mod-status работает, а не бесполезный огрызок, поди плохо за эти мелкие деньги?


> Что за темп нововведений?

Дежурный, строго по графику. Появилась строчка для комит-лога - выпускаем новую версию. Иначе инвесторы не поймут-с.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

35. "Выпуск nginx 1.19.4"  –1 +/
Сообщение от Аноним (35), 02-Ноя-20, 00:13 
Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде? Просто чтобы иметь их позже? Или вы в тестирование и мониторинг не умеете из-за чего ссыте их катить и думаете если вы на годит их себя лишите у вас ничего никогда не сломается?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Выпуск nginx 1.19.4"  +/
Сообщение от Аноним (7), 28-Окт-20, 02:09 
Service Discovery так и не завезли?
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск nginx 1.19.4"  +/
Сообщение от Аноним (8), 28-Окт-20, 02:25 
Почему по умолчанию отключён ssl_reject_handshake on?
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск nginx 1.19.4"  +5 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 07:21 
Включать по дефолту фичу которая только появилась? А ты — оригинал, блин
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск nginx 1.19.4"  –1 +/
Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:25 
> ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;

Два года ждал... Правда в первую неделю ожидания научился это делать глобально в /etc/ssl/openssl.cnf, как они же и предлагали в issue, и уже не особо и нужно.

> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...

Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Если да то зачем, если нет обяъсните, пожалуйста, эту опцию подробнее.

> В почтовый прокси...

Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Для чего именно это нужно?

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск nginx 1.19.4"  +2 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 07:34 
> Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https?

Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional.  If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.

Это вот так. По ссылке есть все, пройди туда.

> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?

Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше.
И smtp, и imap4, и pop3

https://nginx.org/en/docs/mail/ngx_mail_core_module.html
тебе в помощь

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск nginx 1.19.4"  –1 +/
Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:56 
>> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?
> Всегда мог, ну то есть в 0.7.x уже точно мог, может и
> раньше.
> И smtp, и imap4, и pop3
> https://nginx.org/en/docs/mail/ngx_mail_core_module.html
> тебе в помощь

Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 08:10 
Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск nginx 1.19.4"  +/
Сообщение от suffix (ok), 28-Окт-20, 10:22 
Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen:

ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;

над

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 11:00 
Cipher Strength будет в 100, Key Exchange в 90
Но, да, это совсем дофига попугаев :)
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск nginx 1.19.4"  +/
Сообщение от suffix (ok), 28-Окт-20, 11:08 
Чтобы и Key Exchange 100 стало надо чачу отключить ?
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск nginx 1.19.4"  +1 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 11:18 
Не исключаю :-D
Но, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 and higher ECC Certificate (This is a must if you want 100% on Key Exchange). Но я для теста попробовал, с 4096, все равно 90.
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск nginx 1.19.4"  +/
Сообщение от suffix (ok), 28-Окт-20, 15:38 
Что-то не заработало у меня :(

В TLS 1.3 остались по-мимо нужного TLS_AES_256_GCM_SHA384 и ненужные мне TLS_AES_128_GCM_SHA256 и TLS_CHACHA20_POLY1305_SHA25

при

ssl_protocols TLSv1.2 TLSv1.3;
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';


Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 18:04 
Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl'у в конфиге nginx'а(даю все связанное, что бы ты мог посмотреть на свое и сравнить)

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_early_data on;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;

ssl_stapling on;
ssl_stapling_verify on;
resolver 127.0.1.1 valid=60s;

А в /etc/letsencrypt/cli.ini у меня

rsa-key-size = 4096

было дописано перед тем как перевыпустить сегодня досрочно сертификаты.

P.S. Думаю про резолвер пояснять не нужно, если уж ты пытаешься разобраться :)

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск nginx 1.19.4"  +/
Сообщение от suffix (ok), 28-Окт-20, 18:25 
Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял !

Сейчас всё в порядке

https://www.ssllabs.com/ssltest/analyze.html?d=www.babai.ru&...

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск nginx 1.19.4"  +1 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 18:29 
Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую птицефабрику :)
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск nginx 1.19.4"  +/
Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:37 
> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...

Я правильно понял? Теперь вместо этого

server
{
    listen 443 default_server http2 ssl;
    ssl_certificate /etc/nginx/certs/example.com.crt;
    ssl_certificate_key /etc/nginx/certs/example.com.key;
    return 444;
}

можно просто написать вот это
server
{
    listen 443 http2 ssl;
    ssl_reject_handshake on;
}

И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера?
При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Выпуск nginx 1.19.4"  +2 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 07:46 
Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск nginx 1.19.4"  +2 +/
Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:52 
Благодарю, именно так!
If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск nginx 1.19.4"  +1 +/
Сообщение от flkghdfgklh (?), 28-Окт-20, 07:57 
Да не за что
Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск nginx 1.19.4"  +/
Сообщение от Аноним (35), 29-Окт-20, 01:00 
Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 29-Окт-20, 01:48 
Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны
У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск nginx 1.19.4"  +/
Сообщение от Аноним (35), 02-Ноя-20, 00:22 
У меня прод это мой бизнес за счёт которого я живу и кормлю семью. И конечно же я не буду терять преимущество отказываясь от новых фич, не буду тратить время чтобы сидеть читать какие-то сраные рассылки, а потом всё равно дрожать перед обновлением, потому что гарантий что твой кейс не пропустили нет никаких.

А вы сразу скажите что у вас за контора, чтобы не дай бог вашим клиентом не стать. Во времена виртхостинга мне уже возвращали деньги и неустойку одни (всё ещё популярные, на букву v) уроды с некомпетентными работаетнетрогаями вместо админов и древней тухлятиной вместо софта, под который нужно специальным образом писать код чтобы не дай бог не заиспользовать фичу PHP, питона или nginx пятилетней давности которая там ещё не поддерживается.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 02-Ноя-20, 16:16 
Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-ветке это разные вещи.

Мы используем именно mainline для nginx, у нас свой репозиторий(из-за использования модулей которые не входят в официальный, например brotli), но включать новую фичу клиентам сразу после релиза я не буду, что бы не сломать им ничего. Я выжду месяц(примерно столько между релизами в mainline), почитаю рассылку, протестирую у себя на некритичных проектах, а потом уже внедрю

У тебя вышел какой-то френдли-файр, прямо скажем :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск nginx 1.19.4"  +/
Сообщение от Ilya Indigo (ok), 07-Ноя-20, 08:07 
> Да не за что
> Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю
> что будут писать в рассылке про возможные проблемы.

Вы были правы!
Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах!

https://trac.nginx.org/nginx/ticket/2071
Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

40. "Выпуск nginx 1.19.4"  +/
Сообщение от flkghdfgklh (?), 07-Ноя-20, 22:32 
Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск nginx 1.19.4"  +6 +/
Сообщение от Какаянахренразница (ok), 28-Окт-20, 13:59 
Зачастили как-то релизы nginx-а...
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск nginx 1.19.4"  +5 +/
Сообщение от anoname (?), 28-Окт-20, 15:34 
Как будто что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск nginx 1.19.4"  –4 +/
Сообщение от Аноним (6), 28-Окт-20, 14:35 
Apache наше все, долой клонов индейца!
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск nginx 1.19.4"  +2 +/
Сообщение от Аноним (35), 29-Окт-20, 01:00 
ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы докумекать до неё. Теперь наконец можно нормально настроить ssl'ный default_server без костылей.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск nginx 1.19.4"  +1 +/
Сообщение от Аноним (35), 02-Ноя-20, 00:42 
Будьте аккуратнее, эта опция ломает TLS1.3:

https://trac.nginx.org/nginx/ticket/2071

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру