Gehärtete Distribution Rocky nginx Webproxy

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Webproxy mit Nginx für HTTP und HTTPS

Einführung

  • Nginx wird als Reverse Proxy für den internen Mail-Server mail.it213.int unter dem Namen revproxy.it213.int eingesetzt.
  • Alle Verbindungen werden über HTTPS gesichert, um eine sichere Kommunikation zu gewährleisten.

Nginx-Konfiguration

  • vi /etc/nginx/conf.d/revproxy.it213.int.conf
server {
    listen 443 ssl;
    server_name revproxy.it113.int;

    # TLS/SSL-Zertifikate
    ssl_certificate /etc/nginx/ssl/star.it213.int.crt;
    ssl_certificate_key /etc/nginx/ssl/star.it213.int.key;

    # Weiterleitung der Anfragen an den internen Mail-Server
    location / {
        proxy_pass https://mail.it213.int;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

SElinux

Um Nginx zu erlauben, auf Netzwerkressourcen zuzugreifen muss man dies SELinux mitteilen-
  • sudo setsebool -P httpd_can_network_connect 1
  • sudo systemctl reload nginx
Bei weiteren Verstössen testen
  • sudo ausearch -m avc -ts recent

Nginx neu laden

  • sudo systemctl reload nginx
Abgerufen von „http://wiki.ixheim.de/index.php?title=Gehärtete_Distribution_Rocky_nginx_Webproxy&oldid=63618