The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск nginx 1.19.4

27.10.2020 22:09

Сформирован выпуск основной ветки nginx 1.19.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).

Основные изменения:

  • Добавлены директивы "ssl_conf_command", "proxy_ssl_conf_command", "grpc_ssl_conf_command" и "uwsgi_ssl_conf_command", при помощи которых можно задать произвольные параметры для настройки OpenSSL. Например, для приоритизации шифров ChaCha и расширенной настройки шифров TLSv1.3 можно указать
    
       ssl_conf_command Options PrioritizeChaCha;
       ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;
    
  • Добавлена директива "ssl_reject_handshake", которая предписывает отвергать все попытки согласования SSL-соединений (например, можно использовать для отклонения всех обращений с неизвестными именами хостов в поле SNI).
    
        server {
            listen 443 ssl;
            ssl_reject_handshake on;
        }
    
        server {
            listen 443 ssl;
            server_name example.com;
            ssl_certificate example.com.crt;
            ssl_certificate_key example.com.key;
        }
    
  • В почтовый прокси добавлена директива proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.


  1. Главная ссылка к новости (https://mailman.nginx.org/pipe...)
  2. OpenNews: Выпуск сервера приложений NGINX Unit 1.20.0
  3. OpenNews: Выпуск nginx 1.19.3 и njs 0.4.4
  4. OpenNews: Выпуск nginx 1.19.2 и njs 0.4.3
  5. OpenNews: Предварительный выпуск nginx с поддержкой QUIC и HTTP/3
  6. OpenNews: Релиз nginx 1.18.0
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/53976-nginx
Ключевые слова: nginx
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 01:31, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    а чё это они с такой частотой релизов - и до сих пор на свободе?
     
     
  • 2.10, flkghdfgklh (?), 06:36, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/122243.html#9
     

  • 1.6, Аноним (6), 01:42, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Доколе? У nginx есть хоть LTS? Что за темп нововведений?
     
     
  • 2.9, flkghdfgklh (?), 06:33, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У nginx есть stable и mainline.
    Stable это 1.x.y, где x — четное число. Новый stable с добавлением фич выпускается один раз в год в апреле, между выпусками выходят только багфиксы. Mainline 1.n.m, где n — нечетное число, в этой ветке ведется разработка и добавление новых фич, из нее создается в апреле новый stable.

    Но крупные игроки, типа CF и Yandex рекомендуют использовать mainline, как не странно.

     
  • 2.24, пох. (?), 13:42, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Доколе? У nginx есть хоть LTS?

    конечно есть - nginx+ называетсо. Всего лишь полторы тыщи долларов в год за одноядерную конфигурацию - вот тебе LTS! И mod-status работает, а не бесполезный огрызок, поди плохо за эти мелкие деньги?


    > Что за темп нововведений?

    Дежурный, строго по графику. Появилась строчка для комит-лога - выпускаем новую версию. Иначе инвесторы не поймут-с.

     
  • 2.35, Аноним (35), 00:13, 02/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде? Просто чтобы иметь их позже? Или вы в тестирование и мониторинг не умеете из-за чего ссыте их катить и думаете если вы на годит их себя лишите у вас ничего никогда не сломается?
     

  • 1.7, Аноним (7), 02:09, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Service Discovery так и не завезли?
     
  • 1.8, Аноним (8), 02:25, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему по умолчанию отключён ssl_reject_handshake on?
     
     
  • 2.11, flkghdfgklh (?), 07:21, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Включать по дефолту фичу которая только появилась? А ты — оригинал, блин
     

  • 1.12, Ilya Indigo (ok), 07:25, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;

    Два года ждал... Правда в первую неделю ожидания научился это делать глобально в /etc/ssl/openssl.cnf, как они же и предлагали в issue, и уже не особо и нужно.

    > ssl_reject_handshake on;
    > ... отвергать все попытки согласования SSL-соединений ...

    Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Если да то зачем, если нет обяъсните, пожалуйста, эту опцию подробнее.

    > В почтовый прокси...

    Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Для чего именно это нужно?

     
     
  • 2.13, flkghdfgklh (?), 07:34, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https?

    Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional.  If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.

    Это вот так. По ссылке есть все, пройди туда.

    > Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?

    Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше.
    И smtp, и imap4, и pop3

    https://nginx.org/en/docs/mail/ngx_mail_core_module.html
    тебе в помощь

     
     
  • 3.17, Ilya Indigo (ok), 07:56, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?
    > Всегда мог, ну то есть в 0.7.x уже точно мог, может и
    > раньше.
    > И smtp, и imap4, и pop3
    > https://nginx.org/en/docs/mail/ngx_mail_core_module.html
    > тебе в помощь

    Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot.

     
     
  • 4.19, flkghdfgklh (?), 08:10, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать
     
     
  • 5.20, suffix (ok), 10:22, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen:

    ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
    ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;

    над

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

    и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?

     
     
  • 6.21, flkghdfgklh (?), 11:00, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Cipher Strength будет в 100, Key Exchange в 90
    Но, да, это совсем дофига попугаев :)
     
     
  • 7.22, suffix (ok), 11:08, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы и Key Exchange 100 стало надо чачу отключить ?
     
     
  • 8.23, flkghdfgklh (?), 11:18, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не исключаю -D Но, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256... текст свёрнут, показать
     
     
  • 9.28, suffix (ok), 15:38, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то не заработало у меня В TLS 1 3 остались по-мимо нужного TLS_AES_256_GC... текст свёрнут, показать
     
     
  • 10.29, flkghdfgklh (?), 18:04, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl у в конфиге ... текст свёрнут, показать
     
     
  • 11.30, suffix (ok), 18:25, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял Сейчас ... текст свёрнут, показать
     
     
  • 12.31, flkghdfgklh (?), 18:29, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую... текст свёрнут, показать
     
  • 2.14, Ilya Indigo (ok), 07:37, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ssl_reject_handshake on;
    > ... отвергать все попытки согласования SSL-соединений ...

    Я правильно понял? Теперь вместо этого


    server
    {
    listen 443 default_server http2 ssl;
    ssl_certificate /etc/nginx/certs/example.com.crt;
    ssl_certificate_key /etc/nginx/certs/example.com.key;
    return 444;
    }


    можно просто написать вот это


    server
    {
    listen 443 http2 ssl;
    ssl_reject_handshake on;
    }


    И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера?
    При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?

     
     
  • 3.15, flkghdfgklh (?), 07:46, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах
     
     
  • 4.16, Ilya Indigo (ok), 07:52, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Благодарю, именно так!
    If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
     
     
  • 5.18, flkghdfgklh (?), 07:57, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не за что
    Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.
     
     
  • 6.33, Аноним (35), 01:00, 29/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.
     
     
  • 7.34, flkghdfgklh (?), 01:48, 29/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны
    У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать
     
     
  • 8.36, Аноним (35), 00:22, 02/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня прод это мой бизнес за счёт которого я живу и кормлю семью И конечно же ... текст свёрнут, показать
     
     
  • 9.38, flkghdfgklh (?), 16:16, 02/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-в... текст свёрнут, показать
     
  • 6.39, Ilya Indigo (ok), 08:07, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да не за что
    > Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю
    > что будут писать в рассылке про возможные проблемы.

    Вы были правы!
    Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах!

    https://trac.nginx.org/nginx/ticket/2071
    Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!

     
     
  • 7.40, flkghdfgklh (?), 22:32, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу
     

  • 1.25, Какаянахренразница (ok), 13:59, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Зачастили как-то релизы nginx-а...
     
     
  • 2.27, anoname (?), 15:34, 28/10/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Как будто что-то плохое.
     

  • 1.26, Аноним (6), 14:35, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Apache наше все, долой клонов индейца!
     
  • 1.32, Аноним (35), 01:00, 29/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы докумекать до неё. Теперь наконец можно нормально настроить ssl'ный default_server без костылей.
     
     
  • 2.37, Аноним (35), 00:42, 02/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Будьте аккуратнее, эта опция ломает TLS1.3:

    https://trac.nginx.org/nginx/ticket/2071

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру