Geschützte Verzeichnisse für NGINX Konfiguration WCF 2.1 / WBB 4.1 und Apps

Dukemaster · Sep 3rd 2017

WOLTLAB WCS 3.0.0 mit NGINX PUR / NGINX ONLY: (erster Block zur Darstellung der Verzeichnisstruktur)

Code

if (!-e $request_filename)
{
rewrite ^/(wcf/|gallery/|blog/|calendar/|filebase/)?(.+)$ /$1index.php?$2 last;
}
location ~ /\.ht {
deny all;
}
location ~ /cli.php|config.inc.php|global.php|options.inc.php {
deny all;
}
location ~ /acp/templates/ {
deny all;
}
location ~ /acp/uninstall/ {
deny all;
}
location ~ /attachments/ {
deny all;
}
location ~ /cache/ {
deny all;
}
location ~ /images/proxy/ {
deny all;
}
location ~ /language/ {
deny all;
}
location ~ /lib/ {
deny all;
}
location ~ /log/ {
deny all;
}
location ~ /templates/ {
deny all;
}
location ~ /*/templates/ {
deny all;
}
location ~ /tmp/ {
deny all;
}
location ~ /*/config.inc.php|global.php {
deny all;
}
location ~ /*/lib/ {
deny all;
}
location ~ /*/lib/core.functions.php {
deny all;
}
location ~ /*/acp/templates/ {
deny all;
}

Display More

SoftCreatR · Sep 3rd 2017

Das geht auch kompakter

Zumal ich mir sicher bin, dass das in einem Standard-nginx gar nicht geht, weil deny von einem extra Modul bereitgestellt wird.

Dukemaster · Sep 3rd 2017

Sei froh, daß Du dir "nicht" sicher bist SoftCreatR, smile. Denn es geht.

Bin täglich im Plesk Support Forum zugange. Muss das noch hier noch einmal pleskifizieren, lach.

Der .htaccess zu nginx Konverter ist mittlerweile auch weniger buggy. Dort wird es auch so umgewandelt.

Wir verlassen uns besser auch auf andere Quellen. Denke diese wird Dir auch besser zusagen.

es gibt ferner die Möglichkeit es zu mappen. da stehe ich weniger darauf. Oder in Blacklists zu verbannen.

Diese Möglichkeit hier ist einfach, weil sie domain-spezifisch erst ganz am Ende in die vhost getan wird ohne es global allen aufzuzwingen.

Woodmen · Sep 3rd 2017

Quote from Dukemaster

ohne es global allen aufzuzwingen.

Was spricht dagegen, die Direktiven in eine separate .conf zupacken, und bei den gewünschten VHosts einfach zu "includen" ?

scy · Sep 3rd 2017

Quote from SoftCreatR

Standard-nginx gar nicht geht, weil deny von einem extra Modul bereitgestellt wird.

Das ngx_http_access_module Modul ist Bestandteil des Nginx Core, wird also für alle Pakete ausgeliefert, egal ob man nginx-light oder nginx-full installiert. Damit es nicht funktioniert muss es explizit mit dem --without Parameter kompiliert werden.

Was aber die ganzen location Blöcke von Dukemaster angeht, das gefällt mir persönlich überhaupt nicht. Viel zu viele Zeilen, es geht kompakter und vorallem funktionieren ein paar Sachen dort gar nicht

Gruß

SoftCreatR · Sep 4th 2017

Quote from scy

Das ngx_http_access_module Modul ist Bestandteil des Nginx Core

Okay, da war ich mir nicht sicher. Mir war, als wäre das zumindest bei älteren nginx-Versionen anders gewesen... Hab bisher nur return 403 genutzt, wobei das unterm Strich dasselbe tut, wenn auch deny all mehr Aussagekraft hat über das, was da am Ende wirklich passiert. Daher würde ich es so abkürzen:

Code

location ~ ^/(.*/)?(\.|config\.inc\.php|options\.inc\.php|templates|uninstall|attachments|cache|language|lib|log|media_files|tmp) {
    deny all;
}

Wobei das wirklich nur die WSC-Standard-Installation abdeckt, allerdings kann die Liste ja nach Gusto erweitert werden.

Im Optimalfall sind gleichnamige Verzeichnisse in sämtlichen Unterverzeichnissen ebenso geschützt wie die im Root-Verzeichnis, weshalb ich auf /acp/ und co. verzichtet habe.

Geschützte Verzeichnisse für NGINX Konfiguration WCF 2.1 / WBB 4.1 und Apps

Participate now!

Share

Tags