Edtech Posté(e) le 23 août 2019 Partager Posté(e) le 23 août 2019 Ca fait quelques années déjà que j'essaie de configurer mon serveur Nginx afin qu'il soit le plus sécurisé possible. Pour cela, il y a 2 choses à prendre en compte : La mise en place du chiffrement HTTPS. Configurer les entêtes (soit au niveau serveur, soit au niveau du site). Si le chiffrement HTTPS est assez connu des administrateurs, la gestion des entêtes est généralement omise. Pour commencer, voici quelques sites vous permettant de tester si votre site est bien configuré : Pour les certificats : https://www.ssllabs.com/ssltest/analyze.html Pour le HSTS : https://hstspreload.org/ Pour les entêtes HTTP : https://securityheaders.com/ Pour tous les exemples qui suivent, Ubuntu 19.04 est utilisé. Je ne rentrerai pas dans les détails d'installation, juste comment bien utiliser tous les outils. Le domaine d'exemple est actif, vous pouvez le tester avec les liens ci-dessus. Il s'agit de aarklendoia.com. Configurer Let's Encrypt Première chose, bien configurer Let's Encrypt. En effet, par défaut, les certificats ne sont générés qu'avec une clé de 2048 bits, ce qui est reconnu comme insuffisant. Commencez par éditer le fichier /etc/letsencrypt/cli.ini et copiez-y le contenu suivant : max-log-backups = 0 rsa-key-size = 4096 must-staple = true staple-ocsp = true hsts = true uir = true Nous indiquons que les certificats doivent utiliser des clés de 4096 bits, que OCSP et OCSP Must Staple sont activés. Même chose pour HSTS. Configurer son domaine Pour que CAA, OCSP et Staple fonctionne, il va falloir indiquer au niveau de domaine qu'ils sont utilisés. Dans les paramètres de votre zone DNS, ajoutez un enregistrement de type CAA avec pour valeur 128 issue "letsencrypt.org". Par exemple : aarklendoia.com. 0 CAA 128 issue "letsencrypt.org" Une fois que vous aurez tout configuré, SSL Labs vous indiquera les informations suivantes : Configuration de Nginx Entrons maintenant dans le vif du sujet. Pour chacun de vos domaines, il va falloir configurer correctement Nginx. Je considère pour la suite que vous avez déjà installé un certificat et que vous ne faites que mettre à niveau la sécurité. La première chose à savoir, c'est que Let's Encrypt (Certbot) a besoin d'accéder au site en HTTP. Pour tout le reste, nous voulons uniquement du HTTPS, condition obligatoire pour ensuite activer HSTS Preload. On va donc créer une map pour indiquer les cas à ou à ne pas rediriger : map $uri $redirect_https { /.well-known/acme-challenge 0; default 1; } Le code ci-dessus indique qu'on ne doit pas rediriger (valeur 0) si c'est Let's Encrypt qui travaille, et qu'on veut rediriger pour tout le reste. On va prévoir tous les cas, c'est à dire, tous les domaines, même ceux pour lesquels ont ne souhaite pas activer HSTS Preload. On déclare donc un premier server sur le port 80 : server { listen 80; listen [::]:80; server_name _; return 444; if ($redirect_https = 1) { return 301 https://$host$request_uri; } } Le code ci-dessus indique qu'on veut tout d'abord écouter en IPv4 et IPv6 (conseillé, sauf si évidemment votre serveur n'a pas d'IPv6). Ensuite, un petit hack qui permet à nginx de refuser les connexions directement via l'IP. Seules les connexions par domaine seront autorisées. Et pour finir, on teste l'URI utilisée et on redirige vers HTTPS on fonction de la map précédemment déclarée. Maintenant, on veut rediriger le trafic du domaine principal de HTTP vers HTTS. Il faut donc déclarer un second server sur le port 80 : server { listen 80; listen [::]:80; server_name aarklendoia.com; if ($redirect_https = 1) { return 301 https://aarklendoia.com$request_uri; } } Comme précédemment, on écoute en IPv4 et IPv6. On déclare notre domaine principal et même chose, on redirige en HTTPS en fonction de la map, mais cette fois-ci, en nommant clairement le domaine concerné. Enfin, on ne veut pas que les visiteurs utilisent le domaine principal, mais soient redirigés vers le sous domaine www. On ajoute donc un troisième server sur le port 80 : server { listen 80; listen [::]:80; root /var/www/html/wordpress; server_name www.aarklendoia.com; if ($redirect_https != 0) { return 301 https://www.aarklendoia.com$request_uri; } } Comme toujours, on écoute en IPv4 et IPv6. On indique le root où se trouvent nos fichiers (pour que Let's Encrypt retrouve ses petits) et ondéclare notre sous-domaine avec la redirection en fonction de la map. Pour finir, il faut bien évidemment déclarer un server sur le pour 443 : server { listen 443 ssl http2; listen [::]:443 ssl http2; root /var/www/html/wordpress; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_certificate /etc/letsencrypt/live/aarklendoia.com/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/aarklendoia.com/privkey.pem; # managed by Certbot ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_session_timeout 5m; ssl_ecdh_curve sect571r1:secp521r1:brainpoolP512r1:secp384r1; ssl_stapling on; ssl_stapling_verify on; resolver 127.0.0.1 80.67.169.12 valid=300s; resolver_timeout 5s; ssl_trusted_certificate /etc/letsencrypt/live/aarklendoia.com/chain.pem; server_name www.aarklendoia.com; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"; add_header Content-Security-Policy "default-src 'self' https://analytique.aarklendoia.com https://s.w.org https://ps.w.org data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com https://www.gstatic.com https://analytique.aarklendoia.com; style-src 'self' 'unsafe-inline' https://www.gstatic.com https://fonts.googleapis.com; font-src 'self' https://fonts.googleapis.com https://fonts.gstatic.com data:; report-uri https://report.aarklendoia.com/report-uri.php"; add_header X-Xss-Protection "1; mode=block; report=https://report.aarklendoia.com/report-uri.php"; add_header X-Content-Type-Options "nosniff" always; add_header X-Frame-Options "allow-from https://analytique.aarklendoia.com"; add_header Referrer-Policy "strict-origin-when-cross-origin"; add_header Feature-Policy "geolocation https://analytique.aarklendoia.com"; add_header Access-Control-Allow-Origin "https://www.aarklendoia.com"; add_header Vary "Origin"; add_header Expect-CT "max-age=604800, report-uri=https://report.aarklendoia.com/report-uri.php"; add_header X-Permitted-Cross-Domain-Policies "master-only"; add_header Referer-Policy "origin-when-cross-origin"; location / { index index.php index.html index.htm; try_files $uri $uri/ /index.php?$args; } # Pass the php scripts to fastcgi server specified in upstream declaration. location ~ \.php(/|$) { # Unmodified fastcgi_params from nginx distribution. include fastcgi_params; # Necessary for php. fastcgi_split_path_info ^(.+\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT $realpath_root; fastcgi_pass unix:/run/php/php7.2-fpm.sock; fastcgi_buffers 16 16k; fastcgi_buffer_size 32k; } location = /favicon.ico { log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } location ~* \.(?:ico|css|js|gif|jpe?g|png|mp3|js|woff2?)$ { expires 30d; add_header Pragma public; add_header Cache-Control "public"; log_not_found off; } } Ce bloc est très riche, je vais donc le détailler section par section. On commence évidemment par déclarer qu'on écoute sur le port 443, en IPv4 et IPv6. On précise au passage que la connexion est sécurisé (ssl) et que le http 2.0 est supporté. On indique aussi le root où se trouve les fichiers. Paramétrage SSL Il faut maintenant configurer la partie SSL. On commence par la liste des protocoles de chiffrement que va proposer le serveur. Cette liste évolue avec le temps car certains protocoles peuvent devenir faibles et d'autres apparaitre. La configuration est ici optimisée pour être la plus sûre possible sans empêcher des machines un peu anciennes de se connecter. ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; SSL Labs indique d'ailleurs que 2 des protocoles utilisés sont "faibles". Ils sont donc placés en fin de liste car Nginx va prioriser ceux en début de liste. On trouve ensuite les paramètres classiques d'une configuration SSL comme l'emplacement des fichiers. On ajoute aussi quelques paramètres de cache et de timeout. ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_session_timeout 5m; Enfin, on ajoute le support du chiffrement ECC pour les échanges de clés et le stappling. ssl_ecdh_curve sect571r1:secp521r1:brainpoolP512r1:secp384r1; ssl_stapling on; ssl_stapling_verify on; resolver 127.0.0.1 80.67.169.12 valid=300s; resolver_timeout 5s; ssl_trusted_certificate /etc/letsencrypt/live/aarklendoia.com/chain.pem; Le stappling permet d'indiquer au navigateur quels sont les certificats en lesquels il peut avoir confiance et leur source. On doit donc indiquer dans resolver les IP autorisées à servir ce certificat, ainsi qu'une durée de confiance (ici 300s) afin que si le serveur est piraté, le navigateur vérifie suffisamment souvent que tout est OK. Paramétrage des entêtes Les entêtes permettent de restreindre à quelques domaines les sources de données. Par exemple, vous pouvez indiquer que tous les médias (images, vidéos, etc.) ne peuvent provenir que de votre propre domaine et de YouTube, mais pas d'ailleurs. Même chose pour les scripts, les polices, le contenu généré dynamiquement, etc. Le réglage de ces entêtes doit donc se faire finement site par site, au risque de bloquer une ressource utile à l'affichage de votre site. Si vous souhaitez obtenir une note A+, il est quasiment impossible de faire appel à d'autres sites. Dans le cas de mon exemple, Wordpress oblige à descendre légèrement en sécurité de par la manière dont il est écrit, ce qui me bloque à la note A. add_header Content-Security-Policy "default-src 'self' https://analytique.aarklendoia.com https://s.w.org https://ps.w.org data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com https://www.gstatic.com https://analytique.aarklendoia.com; style-src 'self' 'unsafe-inline' https://www.gstatic.com https://fonts.googleapis.com; font-src 'self' https://fonts.googleapis.com https://fonts.gstatic.com data:; report-uri https://report.aarklendoia.com/report-uri.php"; L'exemple ci-dessus est assez parlant. On voit que Wordpress nécessite des accès à ses propres domaines, aux domaines de Google et à m'oblige à activer des fonctions "unsafe". Le mieux pour effectuer ce paramétrage est de commencer à déclarer une URI de rapport. Ca vous permettra de lister toutes les erreurs d'accès. Le script de rapport On va donc créer un script qui va nous renvoyer toutes les erreurs d'accès. Le navigateur, quand il chargera une page dont des ressources ont été bloquées, rapportera à l'URL indiquer ce qu'il n'a pas réussi à charger. Il est fortement conseillé d'utiliser un autre domaine ou sous-domaine pour le lien de rapport, car sinon, vous risquez de ne pas remonter correctement les problèmes. On crée donc le script PHP suivant qu'on nommera report-uri.php et on le place à la racine de notre sous-domaine de rapport, ici https://report.aarklendoia.com <?php // Send `204 No Content` status code. http_response_code(204); // collect data from post request $data = file_get_contents('php://input'); if ($data = json_decode($data)) { // Remove slashes from the JSON-formatted data. $data = json_encode( $data, JSON_UNESCAPED_SLASHES ); // set options for syslog daemon openlog('report-uri', LOG_NDELAY, LOG_USER); // send warning about csp report syslog(LOG_WARNING, $data); mail('edtech@toto.com', 'Rapport URI Aarklendoia', $data); } ?> Ce script renvoie une réponse au navigateur et décode le JSON renvoyé par le navigateur pour le stocker dans un fichier log. On se l'envoie ensuite par mail. Le fichier de log se trouve dans /var/log/report-uri/report-uri.json. Exemple de contenu : { "@timestamp": "2019-08-18T05:34:44+02:00", "host": "sleipnir", "message": { "csp-report": { "document-uri": "https://www.corriel.com/", "referrer": "", "violated-directive": "img-src", "effective-directive": "img-src", "original-policy": "default-src 'self' https://analytique.aarklendoia.com https://s.w.org https://ps.w.org data:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.google.com https://www.gstatic.com https://analytique.aarklendoia.com; style-src 'self' 'unsafe-inline' https://www.gstatic.com https://fonts.googleapis.com; font-src 'self' https://fonts.googleapis.com https://fonts.gstatic.com data:; report-uri https://report.aarklendoia.com/report-uri.php", "disposition": "enforce", "blocked-uri": "http://waiting.for.magic.free.fr/logo.png", "line-number": 5, "source-file": "https://www.corriel.com/", "status-code": 0, "script-sample": "" } } } On voit ici que sur un de mes autres domaines (le site d'un ami), il a oublié de mettre à jour une vieille URL qui a donc été bloquée. Il existe des sites de traitement des rapports qui permettent d'avoir une interface graphique et des alertes, ça peut être utile pour un gros site en production. Dans le header Content-Security-Policy, on a donc indiqué la directive suivante pour que le navigateur renvoie les erreurs : report-uri https://report.aarklendoia.com/report-uri.php" Pour le détail des entêtes, le site https://securityheaders.com/ vous les décrit succinctement. Voici un résumé de leur fonction : Strict-Transport-Security : indique que le site supporte HSTS (voir section suivante). Content-Security-Policy : indique d'où le contenu peut provenir en fonction de son type. X-Xss-Protection : indique l'action à effectuer en cas de scripts croisés (dans l'exemple, tout est bloqué). X-Content-Type-Options : indique que les types MIME annoncés dans les en-têtes Content-Type ne doivent pas être modifiés et doivent être suivis. X-Frame-Options : indique quelles URL peuvent être chargées depuis une iFrame (ici, on autorise le script de Matomo affichant les réglages de vie privée). Referrer-Policy: contrôle la quantité d'informations du référant (envoyées via l'en-tête du référant) qui doit être incluse avec les requêtes. Feature-Policy: indique quelles fonctionnalités le navigateur peut autoriser (dans l'exemple, Matomo est autorisé à utiliser la géolocalisation). Access-Control-Allow-Origin : indique si la réponse peut être partagée avec le code demandeur de l'origine donnée. Vary : détermine comment faire correspondre les futurs en-têtes de requête pour décider si une réponse en cache peut être utilisée plutôt que d'en demander une nouvelle au serveur d'origine. Il est utilisé par le serveur pour indiquer les en-têtes qu'il utilise lors de la sélection d'une représentation d'une ressource dans un algorithme de négociation de contenu. Expect-CT : permet aux sites d'opter pour la déclaration et/ou l'application des exigences en matière de transparence des certificats, ce qui évite que l'utilisation de certificats mal émis pour ce site ne passe inaperçue. X-Permitted-Cross-Domain-Policies : exprime le désir que le navigateur bloque les requêtes d'origine croisée/transversales à la ressource donnée. Referer-Policy : contrôle la quantité d'informations du référant (envoyées via l'en-tête du référant) qui doivent être incluses dans les requêtes. Pour plus de détails, je recommande de consulter la documentation de Mozilla qui est très complète. Activer HSTS Preload Attention ! Activer HSTS Preload peut provoquer une inaccessibilité complète de votre site en cas de problème avec votre configuration ou vos certificats ! HSTS est un entête qui indique au navigateur après sa première connexion à votre site en HTTP, d'utiliser uniquement HTTPS pour les prochaines connexions. Le navigateur ne tentera donc que des connexions HTTPS tant que le temps indiqué ne sera pas écoulé. HSTS Preload est une version évolué de HSTS. Au lieu que le navigateur tente une première fois en HTTP avant de basculer en HTTPS, il va consulter une liste de domaines préchargés et s'il y trouve votre domaine, il se connectera en HTTPS sans jamais essayer en HTTP. Pour ajouter son domaine à la liste des domaines préchargés, vous devez effectuer l'enregistrement sur le site https://hstspreload.org/ . Suivez bien les indications fournies par le site avant de valider l'inscription. Votre entête Strict-Transport-Security doit être la suivante : add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"; Pour commencer, il est recommandé d'utiliser un max-age court (quelques minutes) afin qu'en cas de problème, vous puissiez revenir à une connexion HTTP. Notez que le domaine racine ainsi que tous vos sous-domaines doivent être accessibles en HTTPS sinon l'inscription sera refusée. Configuration de PHP Vous pouvez aussi renforcer la sécurité de PHP en activant une configuration par site. Voici par exemple la configuration de Nginx pour mon sous-domaine hébergeant Matomo : # Pass the php scripts to fastcgi server specified in upstream declaration. location ~ \.php(/|$) { # Unmodified fastcgi_params from nginx distribution. include fastcgi_params; # Necessary for php. fastcgi_split_path_info ^(.+\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT $realpath_root; fastcgi_pass unix:/run/php/php7.2-fpm-matomo.sock; fastcgi_buffers 16 16k; fastcgi_buffer_size 32k; } Le chemin d'accès à PHP FPM indique un .sock personnalisé pour ce site. En effet, Matomo demande des modules que Wordpress préfère voir désactivés par sécurité. Mon blog Wordpress utilise donc une configuration par défaut, mes autres sites dérives de cette configuration en ajoutant ou supprimant des limitations. Pour créer des configurations différentes par site, il suffit de rajouter des configurations dans /etc/php/7.2/fpm/pool.d. Voici ma configuration pour Matomo : ; Start a new pool named 'www'. ; the variable $pool can be used in any directive and will be replaced by the ; pool name ('www' here) [matomo] ; Per pool prefix ; It only applies on the following directives: ; - 'access.log' ; - 'slowlog' ; - 'listen' (unixsocket) ; - 'chroot' ; - 'chdir' ; - 'php_values' ; - 'php_admin_values' ; When not set, the global prefix (or /usr) applies instead. ; Note: This directive can also be relative to the global prefix. ; Default Value: none ;prefix = /path/to/pools/$pool ; Unix user/group of processes ; Note: The user is mandatory. If the group is not set, the default user's group ; will be used. user = matomo group = matomo ; The address on which to accept FastCGI requests. ; Valid syntaxes are: ; 'ip.add.re.ss:port' - to listen on a TCP socket to a specific IPv4 address on ; a specific port; ; '[ip:6:addr:ess]:port' - to listen on a TCP socket to a specific IPv6 address on ; a specific port; ; 'port' - to listen on a TCP socket to all addresses ; (IPv6 and IPv4-mapped) on a specific port; ; '/path/to/unix/socket' - to listen on a unix socket. ; Note: This value is mandatory. listen = /run/php/php7.2-fpm-matomo.sock ; Set listen(2) backlog. ; Default Value: 511 (-1 on FreeBSD and OpenBSD) ;listen.backlog = 511 ; Set permissions for unix socket, if one is used. In Linux, read/write ; permissions must be set in order to allow connections from a web server. Many ; BSD-derived systems allow connections regardless of permissions. ; Default Values: user and group are set as the running user ; mode is set to 0660 listen.owner = www-data listen.group = www-data ;listen.mode = 0660 ; When POSIX Access Control Lists are supported you can set them using ; these options, value is a comma separated list of user/group names. ; When set, listen.owner and listen.group are ignored ;listen.acl_users = ;listen.acl_groups = ; List of addresses (IPv4/IPv6) of FastCGI clients which are allowed to connect. ; Equivalent to the FCGI_WEB_SERVER_ADDRS environment variable in the original ; PHP FCGI (5.2.2+). Makes sense only with a tcp listening socket. Each address ; must be separated by a comma. If this value is left blank, connections will be ; accepted from any ip address. ; Default Value: any ;listen.allowed_clients = 127.0.0.1 ; Specify the nice(2) priority to apply to the pool processes (only if set) ; The value can vary from -19 (highest priority) to 20 (lower priority) ; Note: - It will only work if the FPM master process is launched as root ; - The pool processes will inherit the master process priority ; unless it specified otherwise ; Default Value: no set ; process.priority = -19 ; Set the process dumpable flag (PR_SET_DUMPABLE prctl) even if the process user ; or group is differrent than the master process user. It allows to create process ; core dump and ptrace the process for the pool user. ; Default Value: no ; process.dumpable = yes ; Choose how the process manager will control the number of child processes. ; Possible Values: ; static - a fixed number (pm.max_children) of child processes; ; dynamic - the number of child processes are set dynamically based on the ; following directives. With this process management, there will be ; always at least 1 children. ; pm.max_children - the maximum number of children that can ; be alive at the same time. ; pm.start_servers - the number of children created on startup. ; pm.min_spare_servers - the minimum number of children in 'idle' ; state (waiting to process). If the number ; of 'idle' processes is less than this ; number then some children will be created. ; pm.max_spare_servers - the maximum number of children in 'idle' ; state (waiting to process). If the number ; of 'idle' processes is greater than this ; number then some children will be killed. ; ondemand - no children are created at startup. Children will be forked when ; new requests will connect. The following parameter are used: ; pm.max_children - the maximum number of children that ; can be alive at the same time. ; pm.process_idle_timeout - The number of seconds after which ; an idle process will be killed. ; Note: This value is mandatory. pm = dynamic ; The number of child processes to be created when pm is set to 'static' and the ; maximum number of child processes when pm is set to 'dynamic' or 'ondemand'. ; This value sets the limit on the number of simultaneous requests that will be ; served. Equivalent to the ApacheMaxClients directive with mpm_prefork. ; Equivalent to the PHP_FCGI_CHILDREN environment variable in the original PHP ; CGI. The below defaults are based on a server without much resources. Don't ; forget to tweak pm.* to fit your needs. ; Note: Used when pm is set to 'static', 'dynamic' or 'ondemand' ; Note: This value is mandatory. pm.max_children = 20 ; The number of child processes created on startup. ; Note: Used only when pm is set to 'dynamic' ; Default Value: min_spare_servers + (max_spare_servers - min_spare_servers) / 2 pm.start_servers = 2 ; The desired minimum number of idle server processes. ; Note: Used only when pm is set to 'dynamic' ; Note: Mandatory when pm is set to 'dynamic' pm.min_spare_servers = 1 ; The desired maximum number of idle server processes. ; Note: Used only when pm is set to 'dynamic' ; Note: Mandatory when pm is set to 'dynamic' pm.max_spare_servers = 3 ; The number of seconds after which an idle process will be killed. ; Note: Used only when pm is set to 'ondemand' ; Default Value: 10s ;pm.process_idle_timeout = 10s; ; The number of requests each child process should execute before respawning. ; This can be useful to work around memory leaks in 3rd party libraries. For ; endless request processing specify '0'. Equivalent to PHP_FCGI_MAX_REQUESTS. ; Default Value: 0 ;pm.max_requests = 500 ; The URI to view the FPM status page. If this value is not set, no URI will be ; recognized as a status page. It shows the following informations: ; pool - the name of the pool; ; process manager - static, dynamic or ondemand; ; start time - the date and time FPM has started; ; start since - number of seconds since FPM has started; ; accepted conn - the number of request accepted by the pool; ; listen queue - the number of request in the queue of pending ; connections (see backlog in listen(2)); ; max listen queue - the maximum number of requests in the queue ; of pending connections since FPM has started; ; listen queue len - the size of the socket queue of pending connections; ; idle processes - the number of idle processes; ; active processes - the number of active processes; ; total processes - the number of idle + active processes; ; max active processes - the maximum number of active processes since FPM ; has started; ; max children reached - number of times, the process limit has been reached, ; when pm tries to start more children (works only for ; pm 'dynamic' and 'ondemand'); ; Value are updated in real time. ; Example output: ; pool: www ; process manager: static ; start time: 01/Jul/2011:17:53:49 +0200 ; start since: 62636 ; accepted conn: 190460 ; listen queue: 0 ; max listen queue: 1 ; listen queue len: 42 ; idle processes: 4 ; active processes: 11 ; total processes: 15 ; max active processes: 12 ; max children reached: 0 ; ; By default the status page output is formatted as text/plain. Passing either ; 'html', 'xml' or 'json' in the query string will return the corresponding ; output syntax. Example: ; http://www.foo.bar/status ; http://www.foo.bar/status?json ; http://www.foo.bar/status?html ; http://www.foo.bar/status?xml ; ; By default the status page only outputs short status. Passing 'full' in the ; query string will also return status for each pool process. ; Example: ; http://www.foo.bar/status?full ; http://www.foo.bar/status?json&full ; http://www.foo.bar/status?html&full ; http://www.foo.bar/status?xml&full ; The Full status returns for each process: ; pid - the PID of the process; ; state - the state of the process (Idle, Running, ...); ; start time - the date and time the process has started; ; start since - the number of seconds since the process has started; ; requests - the number of requests the process has served; ; request duration - the duration in µs of the requests; ; request method - the request method (GET, POST, ...); ; request URI - the request URI with the query string; ; content length - the content length of the request (only with POST); ; user - the user (PHP_AUTH_USER) (or '-' if not set); ; script - the main script called (or '-' if not set); ; last request cpu - the %cpu the last request consumed ; it's always 0 if the process is not in Idle state ; because CPU calculation is done when the request ; processing has terminated; ; last request memory - the max amount of memory the last request consumed ; it's always 0 if the process is not in Idle state ; because memory calculation is done when the request ; processing has terminated; ; If the process is in Idle state, then informations are related to the ; last request the process has served. Otherwise informations are related to ; the current request being served. ; Example output: ; ************************ ; pid: 31330 ; state: Running ; start time: 01/Jul/2011:17:53:49 +0200 ; start since: 63087 ; requests: 12808 ; request duration: 1250261 ; request method: GET ; request URI: /test_mem.php?N=10000 ; content length: 0 ; user: - ; script: /home/fat/web/docs/php/test_mem.php ; last request cpu: 0.00 ; last request memory: 0 ; ; Note: There is a real-time FPM status monitoring sample web page available ; It's available in: /usr/share/php/7.2/fpm/status.html ; ; Note: The value must start with a leading slash (/). The value can be ; anything, but it may not be a good idea to use the .php extension or it ; may conflict with a real PHP file. ; Default Value: not set ;pm.status_path = /status ; The ping URI to call the monitoring page of FPM. If this value is not set, no ; URI will be recognized as a ping page. This could be used to test from outside ; that FPM is alive and responding, or to ; - create a graph of FPM availability (rrd or such); ; - remove a server from a group if it is not responding (load balancing); ; - trigger alerts for the operating team (24/7). ; Note: The value must start with a leading slash (/). The value can be ; anything, but it may not be a good idea to use the .php extension or it ; may conflict with a real PHP file. ; Default Value: not set ;ping.path = /ping ; This directive may be used to customize the response of a ping request. The ; response is formatted as text/plain with a 200 response code. ; Default Value: pong ;ping.response = pong ; The access log file ; Default: not set ;access.log = log/$pool.access.log ; The access log format. ; The following syntax is allowed ; %%: the '%' character ; %C: %CPU used by the request ; it can accept the following format: ; - %{user}C for user CPU only ; - %{system}C for system CPU only ; - %{total}C for user + system CPU (default) ; %d: time taken to serve the request ; it can accept the following format: ; - %{seconds}d (default) ; - %{miliseconds}d ; - %{mili}d ; - %{microseconds}d ; - %{micro}d ; %e: an environment variable (same as $_ENV or $_SERVER) ; it must be associated with embraces to specify the name of the env ; variable. Some exemples: ; - server specifics like: %{REQUEST_METHOD}e or %{SERVER_PROTOCOL}e ; - HTTP headers like: %{HTTP_HOST}e or %{HTTP_USER_AGENT}e ; %f: script filename ; %l: content-length of the request (for POST request only) ; %m: request method ; %M: peak of memory allocated by PHP ; it can accept the following format: ; - %{bytes}M (default) ; - %{kilobytes}M ; - %{kilo}M ; - %{megabytes}M ; - %{mega}M ; %n: pool name ; %o: output header ; it must be associated with embraces to specify the name of the header: ; - %{Content-Type}o ; - %{X-Powered-By}o ; - %{Transfert-Encoding}o ; - .... ; %p: PID of the child that serviced the request ; %P: PID of the parent of the child that serviced the request ; %q: the query string ; %Q: the '?' character if query string exists ; %r: the request URI (without the query string, see %q and %Q) ; %R: remote IP address ; %s: status (response code) ; %t: server time the request was received ; it can accept a strftime(3) format: ; %d/%b/%Y:%H:%M:%S %z (default) ; The strftime(3) format must be encapsuled in a %{<strftime_format>}t tag ; e.g. for a ISO8601 formatted timestring, use: %{%Y-%m-%dT%H:%M:%S%z}t ; %T: time the log has been written (the request has finished) ; it can accept a strftime(3) format: ; %d/%b/%Y:%H:%M:%S %z (default) ; The strftime(3) format must be encapsuled in a %{<strftime_format>}t tag ; e.g. for a ISO8601 formatted timestring, use: %{%Y-%m-%dT%H:%M:%S%z}t ; %u: remote user ; ; Default: "%R - %u %t \"%m %r\" %s" ;access.format = "%R - %u %t \"%m %r%Q%q\" %s %f %{mili}d %{kilo}M %C%%" ; The log file for slow requests ; Default Value: not set ; Note: slowlog is mandatory if request_slowlog_timeout is set ;slowlog = log/$pool.log.slow ; The timeout for serving a single request after which a PHP backtrace will be ; dumped to the 'slowlog' file. A value of '0s' means 'off'. ; Available units: s(econds)(default), m(inutes), h(ours), or d(ays) ; Default Value: 0 ;request_slowlog_timeout = 0 ; Depth of slow log stack trace. ; Default Value: 20 ;request_slowlog_trace_depth = 20 ; The timeout for serving a single request after which the worker process will ; be killed. This option should be used when the 'max_execution_time' ini option ; does not stop script execution for some reason. A value of '0' means 'off'. ; Available units: s(econds)(default), m(inutes), h(ours), or d(ays) ; Default Value: 0 ;request_terminate_timeout = 0 ; Set open file descriptor rlimit. ; Default Value: system defined value ;rlimit_files = 1024 ; Set max core size rlimit. ; Possible Values: 'unlimited' or an integer greater or equal to 0 ; Default Value: system defined value ;rlimit_core = 0 ; Chroot to this directory at the start. This value must be defined as an ; absolute path. When this value is not set, chroot is not used. ; Note: you can prefix with '$prefix' to chroot to the pool prefix or one ; of its subdirectories. If the pool prefix is not set, the global prefix ; will be used instead. ; Note: chrooting is a great security feature and should be used whenever ; possible. However, all PHP paths will be relative to the chroot ; (error_log, sessions.save_path, ...). ; Default Value: not set ;chroot = ; Chdir to this directory at the start. ; Note: relative path can be used. ; Default Value: current directory or / when chroot ;chdir = /var/www ; Redirect worker stdout and stderr into main error log. If not set, stdout and ; stderr will be redirected to /dev/null according to FastCGI specs. ; Note: on highloaded environement, this can cause some delay in the page ; process time (several ms). ; Default Value: no ;catch_workers_output = yes ; Clear environment in FPM workers ; Prevents arbitrary environment variables from reaching FPM worker processes ; by clearing the environment in workers before env vars specified in this ; pool configuration are added. ; Setting to "no" will make all environment variables available to PHP code ; via getenv(), $_ENV and $_SERVER. ; Default Value: yes ;clear_env = no ; Limits the extensions of the main script FPM will allow to parse. This can ; prevent configuration mistakes on the web server side. You should only limit ; FPM to .php extensions to prevent malicious users to use other extensions to ; execute php code. ; Note: set an empty value to allow all extensions. ; Default Value: .php ;security.limit_extensions = .php .php3 .php4 .php5 .php7 ; Pass environment variables like LD_LIBRARY_PATH. All $VARIABLEs are taken from ; the current environment. ; Default Value: clean env ;env[HOSTNAME] = $HOSTNAME ;env[PATH] = /usr/local/bin:/usr/bin:/bin ;env[TMP] = /tmp ;env[TMPDIR] = /tmp ;env[TEMP] = /tmp ; Additional php.ini defines, specific to this pool of workers. These settings ; overwrite the values previously defined in the php.ini. The directives are the ; same as the PHP SAPI: ; php_value/php_flag - you can set classic ini defines which can ; be overwritten from PHP call 'ini_set'. ; php_admin_value/php_admin_flag - these directives won't be overwritten by ; PHP call 'ini_set' ; For php_*flag, valid values are on, off, 1, 0, true, false, yes or no. ; Defining 'extension' will load the corresponding shared extension from ; extension_dir. Defining 'disable_functions' or 'disable_classes' will not ; overwrite previously defined php.ini values, but will append the new value ; instead. ; Note: path INI options can be relative and will be expanded with the prefix ; (pool, global or /usr) ; Default Value: nothing is defined by default except the values in php.ini and ; specified at startup with the -d argument ;php_admin_value[sendmail_path] = /usr/sbin/sendmail -t -i -f www@my.domain.com ;php_flag[display_errors] = off php_admin_value[error_log] = /var/log/fpm-php.matomo.log ;php_admin_flag[log_errors] = on ;php_admin_value[memory_limit] = 32M php_admin_value[open_basedir] = /var/www/html/matomo php_admin_value[upload_tmp_dir] = /var/www/html/matomo/tmp php_admin_value[session.save_path] = /var/www/html/matomo/tmp On commence par changer le nom du pool, ici [matomo]. J'ai aussi créé un utilisateur spécifique pour le PHP utilisé par Matomo : user = matomo group = matomo Puis j'indique le chemin du socket à utiliser pour cette configuration (c'est celui qu'on retrouve dans la configuration de Nginx) : listen = /run/php/php7.2-fpm-matomo.sock J'en profite aussi pour configurer des dossiers spécifiques pour Matomo comme recommandé dans sa documentation : php_admin_value[error_log] = /var/log/fpm-php.matomo.log php_admin_value[open_basedir] = /var/www/html/matomo php_admin_value[upload_tmp_dir] = /var/www/html/matomo/tmp php_admin_value[session.save_path] = /var/www/html/matomo/tmp Matomo tourne maintenant dans un environnement entièrement isolé et n'impacte pas les autres instances de PHP. Quelques optimisations Ma configuration contient aussi quelques optimisations pour le robot.txt, la favicon et la mise en cache des médias : location = /favicon.ico { log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } location ~* \.(?:ico|css|js|gif|jpe?g|png|mp3|js|woff2?)$ { expires 30d; add_header Pragma public; add_header Cache-Control "public"; log_not_found off; } Conclusion Voici un petit aperçu de ce que l'on peut faire pour sécuriser son serveur Nginx et ses sites. Un simple certificat ne suffit donc pas, encore faut-il que le serveur soit lui-aussi bien configuré. En espérant que ça vous aide dans la sécurisation de vos propres sites ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.