LINEで送る
Pocket

redmineをhttps化する時には注意!!
apacheもnginxと同様で、Railsアプリをプロキシかますとリダイレクトが
httpになります。これを回避するためにはバックエンドのアプリケーションサーバへの
X_FORWARDED_PROTOヘッダを付け加えればOKです。
H2Oでダイブハマったので今回ブログします。(やり方カンタン)


■Configure > Proxy Directives

https://h2o.examp1e.net/configure/proxy_directives.html

 

Description:
A boolean flag (ON or OFF) designating whether or not to pass Host header from incoming request to upstream.

Level:
global, host, path, extension

これだ!ちなみにproxy.preserve-x-forwarded-protoはLevelがglobal
受信したx-forwarded-proto要求ヘッダーを削除からのHTTPSを介して接続されていることを
攻撃者がHTTPで接続しないように送信するがHTTPSプロキシの背後で実行されている場合
あまりセキュアではないとのこと。(他に手がない/予防手段として)


■redmine.adachin.com.conf


 ■まとめ

ビビったのがredmineログインしてログアウトすると
ページ遮断されてアクセスできなくなったw
H2Oでもちゃんと実装可能。
こっちも参考に!

https://blog.adachin.me/wordpress/archives/6306

 

LINEで送る
Pocket

カテゴリー: H2ORuby

あだちん

1989年生まれ。 ランサーズ/SRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、他社インフラレスポンス改善、ランサーズでの副業、ansibleでのインフラコード化を推進し、未経験によるエンジニアのMENTAなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/広報/VulsRepo init file,chatwork通知のコントリビュータでもある。現在はDocker開発環境の提供,AWSで新サービスのインフラ構築,PHPバージョンアップ,分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなし中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください