Pocket

redmineをhttps化する時には注意!!
apacheもnginxと同様で、Railsアプリをプロキシかますとリダイレクトが
httpになります。これを回避するためにはバックエンドのアプリケーションサーバへの
X_FORWARDED_PROTOヘッダを付け加えればOKです。
H2Oでダイブハマったので今回ブログします。(やり方カンタン)


■Configure > Proxy Directives

https://h2o.examp1e.net/configure/proxy_directives.html

 

Description:
A boolean flag (ON or OFF) designating whether or not to pass Host header from incoming request to upstream.

Level:
global, host, path, extension

これだ!ちなみにproxy.preserve-x-forwarded-protoはLevelがglobal
受信したx-forwarded-proto要求ヘッダーを削除からのHTTPSを介して接続されていることを
攻撃者がHTTPで接続しないように送信するがHTTPSプロキシの背後で実行されている場合
あまりセキュアではないとのこと。(他に手がない/予防手段として)


■redmine.adachin.com.conf


 ■まとめ

ビビったのがredmineログインしてログアウトすると
ページ遮断されてアクセスできなくなったw
H2Oでもちゃんと実装可能。
こっちも参考に!

[AWS][EC2][H2O][unicorn][ruby][redmine3.4.2]Redmineのインストールはこれが最強!リプレイスも簡単!

 

Pocket

カテゴリー: H2ORuby

adachin

1989年生まれのSRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWS/Azureでのインフラ構築、Docker開発環境の提供、Kubernetes保守、インフラコード化、新技術の検証、リファクタリング、セキュリティ強化、エンジニア採用広報などを担当している。個人開発では「夫婦、パートナー向け家事管理サービス/famii」をCakePHPで開発中。個人事業主では数社サーバー保守とベンチャー企業のインフラコンサルティングやMENTAで未経験者にインフラのコーチング/コミュニティの運用を実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください