Конфиг NGNIX


#1

25/09/19 в рассылке пришло предупреждение о проблеме с конфигом ngnix и порядок действий, при наличии проблемы:
“Для её решения вам понадобится помощь администратора сервера. Скорее всего, у вас веб-сервер nginx, который настроен больше полутора лет назад. На Apache и Apache + nginx такая проблема не возникала.”

Переслал в поддержку, получил ответ:
"Если файл размещён в указанном каталоге сайта https://example.com/store/var/test.txt то файл ДОЛЖЕН открываться по такому URL и другого просто не может быть. Это задача веб-сервера nginx, который и занимается отдачей статических файлов на сервере хостинга. Иначе бы ваш сайт попросту работал бы не корректно из-за того что не открывались бы файлы css-стилей, js-скриптов, изображений и т.д

На нашем сервере хостинга используется классическая связка nginx + apache.

Если у вас есть необходимость закрывать к каким-либо файлам прямой доступ по URL, вы можете использовать файл .htaccess для этого, размещается .htaccess в необходимом каталоге и указывая правила запрета для веб-сервера apache.
При этом чтобы обрабатывать правила запрета статичных файлов в .htaccess, в настройках веб-сервера apache предстоит принудительно включать только apache вместо nginx."

Короче, или htaccess или ngnix??


#2

А какую цель вы преследуете?


#3

Так писали вроде что только на nginx эта проблема возникает, nginx+apache не затрагивает.


#4

В реальности, к сожалению, затрагивает


#5

Поясните, не соображу что-то. Если в каталоге var можно открыть файл по такой ссылке httрs://example.соm/store/var/test.txt, то это плохо для безопасности или для чего? :roll_eyes:


#6

Поясню. Была рассылка от 25 сент2019:
Цитата:
"Недавно нам написал клиент. С ним связались неизвестные и назвали адрес его панели администратора. Это ещё не означает, что магазин взломали (для взлома нужен пароль), но уже повод задуматься о безопасности. Поэтому мы изучили тот случай и делимся решением проблемы. Она редкая, но рекомендую проверить, есть ли она в вашем магазине.

Проверить наличие проблемы просто: создайте в подпапке var вашего магазина файл test.txt с каким-нибудь текстом, а потом попробуйте открыть его по ссылке [ваш_магазин]/var/text.txt (https://example.com/var/test.txt или https://example.com/store/var/test.txt и т.п.). Если текст из файла не покажется (например, будет ошибка 404), то всё хорошо."

ну, далее был совет обратиться к админам
Админы недоумевают
Пользователь совсем растерян
Онлайн маркетинг страны под ударом


#7

так у вас текст то показался или все хорошо?


#8

Показывается. Однако техподдержка рекомендует обратиться к специалистам, если магазин рабочий, так как без знаний можно накосячить. Уж и не знаю что делать. :pensive:


#9

Или нанимать специалиста по серверам или наши деньги за движок на ветер… и их репутация

О, а если еще и упущенную выгоду и невыполненные обязательства перед третьими лицами в копеечку перевести, то картина вообще разорительная может получиться


#10

Очередной ответ поддержки сервера:
“Мы не будем вносить изменения в конфигурацию nginx. Как вариант можете закрыть любую требуемую вам директорию через .htaccess.”

И это от рекомендованного разработчиками хостинга!

Ок, теперь осталось выяснить какие директории обязательные к закрытию. Куда вопрос задать, если в HelpDesk не отвечают?


#11

какого?


#12

У меня виртуальный хостинг на apache. Проблема есть, файл открывается.
Техподдержка цскарт сказала “На сколько я вижу, запреты в файле .htaccess не действуют на txt файлы.
Вам необходимо связаться с вашим администратором сервера для уточнения причин.”