[H2O][Proxy Directives][redmine]プロキシにしたRailsアプリのhttpsがリダイレクト時にhttpになってしまう

投稿者: adachin 投稿日:

redmineをhttps化する時には注意!!
apacheもnginxと同様で、Railsアプリをプロキシかますとリダイレクトが
httpになります。これを回避するためにはバックエンドのアプリケーションサーバへの
X_FORWARDED_PROTOヘッダを付け加えればOKです。
H2Oでダイブハマったので今回ブログします。(やり方カンタン)

■Configure > Proxy Directives

https://h2o.examp1e.net/configure/proxy_directives.html

 

Description:
A boolean flag (ON or OFF) designating whether or not to pass Host header from incoming request to upstream.

Level:
global, host, path, extension

これだ!ちなみにproxy.preserve-x-forwarded-protoはLevelがglobal
受信したx-forwarded-proto要求ヘッダーを削除からのHTTPSを介して接続されていることを
攻撃者がHTTPで接続しないように送信するがHTTPSプロキシの背後で実行されている場合
あまりセキュアではないとのこと。(他に手がない/予防手段として)

■redmine.adachin.com.conf

 ■まとめ

ビビったのがredmineログインしてログアウトすると
ページ遮断されてアクセスできなくなったw
H2Oでもちゃんと実装可能。
こっちも参考に!

[AWS][EC2][H2O][unicorn][ruby][redmine3.4.2]Redmineのインストールはこれが最強!リプレイスも簡単!

 

カテゴリー: H2ORuby
タグ:

adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTA/TechBullで未経験者にインフラのコーチング/コミュニティマネージャーとして立ち上げと運営をしている。また、過去「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連投稿

H2O

[H2O]リバースプロキシのtimeoutを設定する

お久しぶりのH2Oネタですが、Nginxでいわゆるリバースプロキシのタ 続きを読む…

DDoS H2O Security

[H2O][Using DoS Detection]お手軽にDDos対策をして403を返すようにしてやったわ!!

お久しぶりにH2Oネタなのですが、このブログにDDos対策による設定を 続きを読む…

Nginx Rails Ruby Sidekiq

[Ruby][Rails][Sidekiq][Nginx][Docker][403 forbidden]WARN — : attack prevented by Rack::Protection::IPSpoofing

これはハマった。 既存で動いているNginx + Ruby + Rai 続きを読む…