Gehärtete Distribution Rocky nginx Webproxy: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 16: | Zeile 16: | ||
server { | server { | ||
listen 443 ssl; | listen 443 ssl; | ||
| − | server_name revproxy. | + | server_name revproxy.it213.int; |
# TLS/SSL-Zertifikate | # TLS/SSL-Zertifikate | ||
Version vom 3. Juli 2025, 10:21 Uhr
Webproxy mit Nginx für HTTP und HTTPS
Einführung
- Nginx wird als Reverse Proxy für den internen Mail-Server mail.it213.int unter dem Namen revproxy.it213.int eingesetzt.
- Alle Verbindungen werden über HTTPS gesichert, um eine sichere Kommunikation zu gewährleisten.
Zertifikate besorgen
- cd /etc/nginx/ssl
- wget https://web.samogo.de/certs/star.it213.int.crt
- wget https://web.samogo.de/certs/star.it213.int.key
Nginx-Konfiguration
- vi /etc/nginx/conf.d/revproxy.it213.int.conf
server {
listen 443 ssl;
server_name revproxy.it213.int;
# TLS/SSL-Zertifikate
ssl_certificate /etc/nginx/ssl/star.it213.int.crt;
ssl_certificate_key /etc/nginx/ssl/star.it213.int.key;
# Weiterleitung der Anfragen an den internen Mail-Server
location / {
proxy_pass https://mail.it213.int;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
SElinux
- Um Nginx zu erlauben, auf Netzwerkressourcen zuzugreifen muss man dies SELinux mitteilen-
- sudo setsebool -P httpd_can_network_connect 1
- sudo systemctl reload nginx
- Bei weiteren Verstössen testen
- sudo ausearch -m avc -ts recent
Nginx neu laden
- sudo systemctl reload nginx