| |
| 2.9, flkghdfgklh (?), 06:33, 28/10/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
У nginx есть stable и mainline.
Stable это 1.x.y, где x — четное число. Новый stable с добавлением фич выпускается один раз в год в апреле, между выпусками выходят только багфиксы. Mainline 1.n.m, где n — нечетное число, в этой ветке ведется разработка и добавление новых фич, из нее создается в апреле новый stable.
Но крупные игроки, типа CF и Yandex рекомендуют использовать mainline, как не странно.
| | |
| 2.24, пох. (?), 13:42, 28/10/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Доколе? У nginx есть хоть LTS?
конечно есть - nginx+ называетсо. Всего лишь полторы тыщи долларов в год за одноядерную конфигурацию - вот тебе LTS! И mod-status работает, а не бесполезный огрызок, поди плохо за эти мелкие деньги?
> Что за темп нововведений?
Дежурный, строго по графику. Появилась строчка для комит-лога - выпускаем новую версию. Иначе инвесторы не поймут-с.
| | |
| 2.35, Аноним (35), 00:13, 02/11/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде? Просто чтобы иметь их позже? Или вы в тестирование и мониторинг не умеете из-за чего ссыте их катить и думаете если вы на годит их себя лишите у вас ничего никогда не сломается?
| | |
|
| 1.12, Ilya Indigo (ok), 07:25, 28/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;
Два года ждал... Правда в первую неделю ожидания научился это делать глобально в /etc/ssl/openssl.cnf, как они же и предлагали в issue, и уже не особо и нужно.
> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...
Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Если да то зачем, если нет обяъсните, пожалуйста, эту опцию подробнее.
> В почтовый прокси...
Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Для чего именно это нужно?
| | |
| |
| 2.13, flkghdfgklh (?), 07:34, 28/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https?
Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional. If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
Это вот так. По ссылке есть все, пройди туда.
> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?
Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше.
И smtp, и imap4, и pop3
https://nginx.org/en/docs/mail/ngx_mail_core_module.html
тебе в помощь
| | |
| |
| |
| 4.19, flkghdfgklh (?), 08:10, 28/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать
| | |
| |
| 5.20, suffix (ok), 10:22, 28/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen:
ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
над
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';
и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?
| | |
| |
| 6.21, flkghdfgklh (?), 11:00, 28/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Cipher Strength будет в 100, Key Exchange в 90
Но, да, это совсем дофига попугаев :)
| | |
| |
| |
| |
| 9.28, suffix (ok), 15:38, 28/10/2020 [^] [^^] [^^^] [ответить] | +/– | Что-то не заработало у меня В TLS 1 3 остались по-мимо нужного TLS_AES_256_GC... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.14, Ilya Indigo (ok), 07:37, 28/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...
Я правильно понял? Теперь вместо этого
server
{
listen 443 default_server http2 ssl;
ssl_certificate /etc/nginx/certs/example.com.crt;
ssl_certificate_key /etc/nginx/certs/example.com.key;
return 444;
}
можно просто написать вот это
server
{
listen 443 http2 ssl;
ssl_reject_handshake on;
}
И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера?
При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?
| | |
| |
| 3.15, flkghdfgklh (?), 07:46, 28/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах
| | |
| |
| 4.16, Ilya Indigo (ok), 07:52, 28/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Благодарю, именно так!
If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
| | |
| |
| 5.18, flkghdfgklh (?), 07:57, 28/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да не за что
Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.
| | |
| |
| 6.33, Аноним (35), 01:00, 29/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.
| | |
| |
| 7.34, flkghdfgklh (?), 01:48, 29/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны
У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать
| | |
| |
| 8.36, Аноним (35), 00:22, 02/11/2020 [^] [^^] [^^^] [ответить] | +/– | У меня прод это мой бизнес за счёт которого я живу и кормлю семью И конечно же ... текст свёрнут, показать | | |
|
|
| 6.39, Ilya Indigo (ok), 08:07, 07/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Да не за что
> Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю
> что будут писать в рассылке про возможные проблемы.
Вы были правы!
Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах!
https://trac.nginx.org/nginx/ticket/2071
Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!
| | |
| |
| 7.40, flkghdfgklh (?), 22:32, 07/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу
| | |
|
|
|
|
|
|
| 1.32, Аноним (35), 01:00, 29/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы докумекать до неё. Теперь наконец можно нормально настроить ssl'ный default_server без костылей.
| | |
|
