Re: nginx-1.7.0
2014-04-25 8:46 GMT+04:00 Homutov Vladimir v...@nginx.com: On Fri, Apr 25, 2014 at 09:33:55AM +0700, Vadim A. Misbakh-Soloviov wrote: В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin написал: Изменения в nginx 1.7.0 24.04.2014 *) Добавление: проверка SSL-сертификатов бэкендов. Отключаемая, надеюсь? http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не всегда очевидна, а по умолчанию 1 будет трактоваться как только один? -- Dmitry Goryainov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Странное поведение и 502 ошибка
Сорри, вопрос решился перезапуском апача. Мистика. 25 апреля 2014 г., 11:20 пользователь greenh gre...@gmail.com написал: Добрый день Подскажите плз, куда смотреть Имеется nginx/1.4.1 на centos, стоящий фронтендом перед апачем Вчера заметили странную вещь - при обращении к серверу некоторых сервисов, возвращающих ответ POST запросом (text.ru) nginx выдает 502 ошибку, при этом в логах вот что access.log POST /uniq_news.php HTTP/1.1 502 172 - - - r= uid=xtext_unique=100.00json_result=%7B%22date_check%22%3A%2225.04.2014+11%3A37%3A08%22%2C%22unique%22%3A100%2C%22urls%22%3A%5B%5D%7D error.log 2014/04/25 10:36:58 [error] 6572#0: *4783 upstream prematurely closed connection while reading response header from upstream, client: 37.187.71.37, server: b2blogger.com, request: POST /uniq_news.php HTTP/1.1, upstream: http://109.205.246.71:80/uniq_news.php;, host: b2blogger.com При этом, если послать аналогичный запрос из браузера - все отрабатывается нормально. Что это может быть? ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
логирование по UDP
Добрый день! Каким модулем сегодня модно пользоваться для отправки логов по UDP? Почему так делать плохо - я в курсе, и для моей задачи это значениея не имеет. Спасибо! С уважением, Даниил Подольский ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
вроде ж модуль для nginx только один был... И даже работал год назад. По крайней мере у меня с ним проблем не было. 2014-04-25 13:53 GMT+04:00 Daniel Podolsky onoko...@gmail.com: tail -F access_log | logger.pl вот как раз этого мы позволить себе не можем. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
2014-04-25 13:57 GMT+04:00 Роман Москвитин nefe...@gmail.com: вроде ж модуль для nginx только один был... И даже работал год назад. По крайней мере у меня с ним проблем не было. вот этот? http://www.grid.net.ru/nginx/udplog.ru.html он, насколько я помню, про access_log только, а мы хотим еще и error ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
https://github.com/ngsru/nginx-syslog-module 25 апреля 2014 г., 14:17 пользователь Daniel Podolsky onoko...@gmail.comнаписал: 2014-04-25 13:57 GMT+04:00 Роман Москвитин nefe...@gmail.com: вроде ж модуль для nginx только один был... И даже работал год назад. По крайней мере у меня с ним проблем не было. вот этот? http://www.grid.net.ru/nginx/udplog.ru.html он, насколько я помню, про access_log только, а мы хотим еще и error ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Штатный syslog-ng модуль из комплекта OS чем не устроил? Он может любой лог-файл переслать вовне хоть по UDP, хоть по TCP. 25 апреля 2014 г., 13:29 пользователь Daniel Podolsky onoko...@gmail.com написал: Добрый день! Каким модулем сегодня модно пользоваться для отправки логов по UDP? Почему так делать плохо - я в курсе, и для моей задачи это значениея не имеет. Спасибо! С уважением, Даниил Подольский ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Штатный syslog-ng модуль из комплекта OS чем не устроил? нагрузку создает на диск. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то на сервере с запасом? 2014-04-25 14:57 GMT+04:00 Daniel Podolsky onoko...@gmail.com: Штатный syslog-ng модуль из комплекта OS чем не устроил? нагрузку создает на диск. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то на сервере с запасом? вот этого вот всего хотелось избежать... ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Тогда патчить модуль. 2014-04-25 15:04 GMT+04:00 Daniel Podolsky onoko...@gmail.com: Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то на сервере с запасом? вот этого вот всего хотелось избежать... ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Fwd: логирование по UDP
форвардну сюда - пусть поисковики проиндексируют. видимо - изучим, и я отчитаюсь -- Forwarded message -- From: Maksim Anfilatov mak...@woyager.ru Date: 2014-04-25 15:11 GMT+04:00 Subject: Re: логирование по UDP To: onoko...@gmail.com День добрый. Почему-то не удалось ответить в рассылку - есть вот такой модуль https://github.com/ngsru/nginx-syslog-module, умеет и error_log отправлять. 25 апреля 2014 г., 15:04 пользователь Daniel Podolsky onoko...@gmail.com написал: Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то на сервере с запасом? вот этого вот всего хотелось избежать... ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. Если все пойдет по плану, то где-то в районе июня такая поддержка появится в 1.7. Документацию можно посмотреть тут: http://nginx.org/en/docs/http/ngx_http_log_module.html Ключевое слово syslog. -- Maxim Konovalov http://nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Репозиторий Ubuntu
Добрый день. Пытаюсь привязать официальный репозиторий как написано на http://nginx.org/ru/linux_packages.html: deb http://nginx.org/packages/mainline/ubuntu/ codename nginx deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx Результат после обновления списка пакетов: W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources 404 Not Found W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages 404 Not Found Что-то не так в консерватории? Или я таки не верно что-то понимаю? Спасибо за помощь. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Репозиторий Ubuntu
On 25/04/2014 15:29, Dmitriy Lyalyuev wrote: Добрый день. Пытаюсь привязать официальный репозиторий как написано на http://nginx.org/ru/linux_packages.html: deb http://nginx.org/packages/mainline/ubuntu/ codename nginx deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx Результат после обновления списка пакетов: W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources 404 Not Found W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages 404 Not Found Что-то не так в консерватории? Или я таки не верно что-то понимаю? Спасибо за помощь. Для Ubuntu замените codename на кодовое имя дистрибутива -- Konstantin Pavlov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Репозиторий Ubuntu
Странно, но второй раз обновилось нормально. Вопрос закрыт. PS: Да, codename я заменил на имя системы в первую попытку. 25.04.2014 14:29, Dmitriy Lyalyuev пишет: Добрый день. Пытаюсь привязать официальный репозиторий как написано на http://nginx.org/ru/linux_packages.html: deb http://nginx.org/packages/mainline/ubuntu/ codename nginx deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx Результат после обновления списка пакетов: W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources 404 Not Found W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages 404 Not Found Что-то не так в консерватории? Или я таки не верно что-то понимаю? Спасибо за помощь. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Вопрос про merge_slashes
Здравствуйте. В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes написано Однако из соображений безопасности лучше избегать отключения преобразования. Что именно небезопасного может произойти приmerge_slashes off; Поясню проблему. Сайт сильно спамят. Я настроил правило, которое смотрит лог и если происходит более Х обращений вроде POST /p/add_topic.cgi HTTP/1.1 то ip считается подозрительным. Спамер это просёк и сейчас шлёт запросы вот такие: POST //p/add_topic.cgi HTTP/1.1 Я могу свою парсилку логов поправить, но и с директивой хотелось бы понять проблему. -- С уважением, Михаил mailto:postmas...@softsearch.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Два пайпа. Один на access.log, другой на error.log 25 апреля 2014 г., 17:37 пользователь Евгений Квазар esokolov.t...@gmail.com написал: У нас маленький сервис, запускающийся runit-ом, создающий именованный пайм, данные из которого перебрасываются через nc куда надо. nginx пишет логи в именованный пайп и всё. Два пайпа. Один 25 апреля 2014 г., 17:18 пользователь Maxim Konovalov ma...@nginx.comнаписал: На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. Если все пойдет по плану, то где-то в районе июня такая поддержка появится в 1.7. Документацию можно посмотреть тут: http://nginx.org/en/docs/http/ngx_http_log_module.html Ключевое слово syslog. -- Maxim Konovalov http://nginx.com ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- -- Соколов Евгений -- -- Соколов Евгений ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
Собсно я тормознул - ранее давали ссылку на syslog модуль для nginx. Он тоже вполне себе неплохо работал у меня. при этом настраивается сразу что бы от nginx'а логи не писались в файл, а сразу отсылались на удаленный сервер. Ы? 2014-04-25 15:35 GMT+04:00 Daniel Podolsky onoko...@gmail.com: На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. Если все пойдет по плану, то где-то в районе июня такая поддержка появится в 1.7. о! это круто. до июня, правда, мы можем и не дотерпеть... ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: nginx-1.7.0
Hello! On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote: 2014-04-25 8:46 GMT+04:00 Homutov Vladimir v...@nginx.com: On Fri, Apr 25, 2014 at 09:33:55AM +0700, Vadim A. Misbakh-Soloviov wrote: В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin написал: Изменения в nginx 1.7.0 24.04.2014 *) Добавление: проверка SSL-сертификатов бэкендов. Отключаемая, надеюсь? http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не всегда очевидна, а по умолчанию 1 будет трактоваться как только один? Значение по умолчанию предполагает, что сертификаты подписаны непосредственно теми root CA, которые указаны как доверенные. Если длина цепочки не очевидна - то можно поставить, например, 9 (именно такое значение OpenSSL использует по умолчанию). -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: логирование по UDP
С чего ему вставать, если там только чтение из пайпа и просарие UDP-пакета? Если его даже прибить килом, то сервис, как я уже сказал, запущен через runit и сразу же поднимется автоматически. Эта схема работает на приличной нагрузке уже долгое время. 25 апреля 2014 г., 17:40 пользователь Daniel Podolsky onoko...@gmail.comнаписал: 2014-04-25 15:37 GMT+04:00 Евгений Квазар esokolov.t...@gmail.com: У нас маленький сервис, запускающийся runit-ом, создающий именованный пайм и если этот сервис встанет - встанет и nginx. так мы тоже умеем, но совсем не хотим... ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- -- Соколов Евгений ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Вопрос про merge_slashes
Hello!
On Fri, Apr 25, 2014 at 03:37:34PM +0400, Михаил Монашёв wrote:
Здравствуйте.
В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes
написано Однако из соображений безопасности лучше избегать отключения
преобразования.
Что именно небезопасного может произойти приmerge_slashes off;
Поясню проблему. Сайт сильно спамят. Я настроил правило, которое
смотрит лог и если происходит более Х обращений вроде
POST /p/add_topic.cgi HTTP/1.1
то ip считается подозрительным. Спамер это просёк и сейчас шлёт
запросы вот такие:
POST //p/add_topic.cgi HTTP/1.1
Я могу свою парсилку логов поправить, но и с директивой хотелось бы
понять проблему.
Если отключить merge_slashes, то ограничения вида
location /p/ { allow 127.0.0.1; deny all; ... }
точно так же легко обходятся добавлением лишнего слеша.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Вопрос про merge_slashes
25.04.2014 15:37, Михаил Монашёв пишет:
Здравствуйте.
В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes
написано Однако из соображений безопасности лучше избегать отключения
преобразования.
Что именно небезопасного может произойти приmerge_slashes off;
Поясню проблему. Сайт сильно спамят. Я настроил правило, которое
смотрит лог и если происходит более Х обращений вроде
POST /p/add_topic.cgi HTTP/1.1
то ip считается подозрительным. Спамер это просёк и сейчас шлёт
запросы вот такие:
POST //p/add_topic.cgi HTTP/1.1
Я могу свою парсилку логов поправить, но и с директивой хотелось бы
понять проблему.
#to http
map $binary_remote_addr $is_post {
POST $binary_remote_addr;
}
limit_req_zone $is_post zone=post:1m rate=12r/m;
location / {
limit_req zone=post burst=1 nodelay;
limit_req zone=limitReqsPerIP burst=8 nodelay;
...
И ловим в еррлогах 503, после чего уже банним.
Вариант 2
location /login/ {
if ($request_method = POST) {
#limit_req zone=pmk-login; #burst=1;
return 402;
}
error_page 402 @post;
location @post {
access_log post.log;
limit_req zone=pmk-login; #burst=1;
proxy_pass http://BE;
proxy_redirect off;
proxy_next_upstream error timeout invalid_header
http_500 http_502 http_503;
}
Вариант 3
location ~* add_topic.cgi$ {
и тоже лимиты, if на POST итд
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re[2]: Вопрос про merge_slashes
Здравствуйте, Илья. спамеров интересует накрутка индексов цитирования. если вы поправите движок форума и вместо прямой ссылки на сайт спамера на форуме будет размещаться ссылка на вашу страничку, на которой будет предупреждение вы хотите перейти по такому-то адресу ?, то спамерам не будет толка от вашего форума. и они от вас отстанут :-) Расскажите это автору вот этого поста: http://beon.ru/discussion/12270-135-rvz-read.shtml -- С уважением, Михаил mailto:postmas...@softsearch.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: nginx и снова icecast2 = в чем разница?
Да, всем кто будет возможно читать, nginx справедливо оказался не причем :) Выпросил кусок исходников коннекта к серверу у автора, а поскольку это ява, а значит кривая, то там должен открываться сокет с обязательным указанием порта из 4ех значений :) если порт из 2-3 значений - не работает, не зря в оракле люди зарплату получают ... :) Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249540,249640#msg-249640 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: nginx-1.7.0
В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал: On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote: Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не всегда очевидна, а по умолчанию 1 будет трактоваться как только один? Значение по умолчанию предполагает, что сертификаты подписаны непосредственно теми root CA, которые указаны как доверенные. Если длина цепочки не очевидна - то можно поставить, например, 9 (именно такое значение OpenSSL использует по умолчанию). Мне больше интересно про поставить 0 (будет ли подразумеваться не проверять CA или будет какой-то side-effect (проверять, конечно же, лень :D) -- Best regsrds, mva signature.asc Description: This is a digitally signed message part. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
