デフォルトで動作していたリバースプロキシのインストールがありました。
すべてが設計どおりHTTPSで提供されていました。
数バージョンアップし、ここで報告されている「アップグレード・オブ・デス」という画面が真っ白になる現象に遭遇しました: Upgrade discourse doesn't work - #6 by Andrew_Bond
./launcher rebuild app で手動でDiscourseを更新し、ビルド 2.9.0.beta14 (0da79561c3) になりました。
下書きを保存しようとしたり、投稿やログインなどのほとんどのアクションで、Chromeインスペクター経由で403 Forbiddenエラーが発生することに気づきました。
サイトの左上にあるロゴは表示されます。
コマンドラインから強制HTTPS要素を無効にすると、HTTP要素がブロックされるため、混合モードになりロゴが表示されなくなります。サイトの他のすべての要素は引き続き機能します。
リバースnginxの変更は行っていません。アプリの再構築を再度試しましたが、うまくいきませんでした。
私がアップグレードしたビルドから、Discourseの動作方法が変更されたことを示唆しています。強制HTTPSオプションが機能していた最後のビルドIDは次のとおりです: e9f53dbe0028ca7a5d8926711a1944765d34347
現在トラップされているエラー:
「いいね!」 2
david
(David Taylor)
3
アンドリュー様
レポートありがとうございます。この問題は、リクエストに複数のX-Forwarded-Protoヘッダーが追加されてからアプリケーションコンテナに到達する、リバースプロキシ構成に特に影響します。
mainに修正をマージしました。約20分でtests-passedに反映されるはずです。
tests-passedに表示されたら、完全な再構築が必要です(UIベースのアップグレード中にはnginx設定の変更は適用されません)。
「いいね!」 8
アップデートについてです。
./launcher rebuild app でアプリを再構築しました。
問題はありません。
HTTPSを強制した場合、以下の画像を除いてエラーは解消されました。
403 Forbiddenは表示されなくなりましたが、例えばログインしようとすると、ログインボックスが表示され、データを受け付けたように見えますが、ログインしていないユーザーが再度表示されます。
ページをリロードすると、上記と同じエラーが表示されます。
再度HTTPSの強制を無効にするとサイトは動作しますが、明確にするために、ロゴは引き続き提供されていません。
「いいね!」 1
david
(David Taylor)
6
そのエラーは無関係です。Cloudflareが分析スクリプトを挿入することによって発生します(そしてDiscourseのデフォルトのコンテンツセキュリティポリシーが挿入をブロックします)。
ユーザーとDiscourseの間にどのようなプロキシがありますか?Cloudflareが最初のレイヤーだと想定してよいですか?CloudflareとDiscourseアプリコンテナの間には他に何がありますか?
「いいね!」 3
はい!\n\nおっしゃる通りです。Cloudflareが最初のヒットで、次にDockerへのCentminmod提供のnginxリバースプロキシがあります。
david
(David Taylor)
8
これに関する設定を共有していただけますか?特に、追加のX-Forwarded-Protoヘッダーを追加しますか?
承知いたしました。
# Centmin Mod 入門ガイド
# 必ずお読みください https://centminmod.com/getstarted.html
# HTTP/2 SSL設定の場合
# https://centminmod.com/nginx_configure_https_ssl_spdy.html をお読みください
# wwwから非wwwへのリダイレクト 強制SSL
# コメントを解除し、ファイルを保存してNginxを再起動すると有効になります
# 不明な場合は、return 301 を使用する前に return 302 を使用してください
server {
listen 80;
server_name exiges.com www.exiges.com;
return 302 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name exiges.com www.exiges.com;
ssl_dhparam /usr/local/nginx/conf/ssl/exiges.com/dhparam.pem;
ssl_certificate /usr/local/nginx/conf/ssl/exiges.com/exiges.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/exiges.com/exiges.com.key;
include /usr/local/nginx/conf/ssl_include.conf;
# Cloudflare認証オリジンプル証明書 community.centminmod.com/threads/13847/
#ssl_client_certificate /usr/local/nginx/conf/ssl/cloudflare/exiges.com/origin.crt;
#ssl_verify_client on;
# Mozilla推奨
ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;
ssl_prefer_server_ciphers on;
#add_header Alternate-Protocol 443:npn-spdy/3;
# HSTSを有効にする前に、以下の行を有効にする前に centminmod.com/nginx_domain_dns_setup.html#hsts をお読みください
#add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
#add_header X-Frame-Options SAMEORIGIN;
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
#add_header Referrer-Policy "strict-origin-when-cross-origin";
#add_header Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()";
#spdy_headers_comp 5;
ssl_buffer_size 1369;
ssl_session_tickets on;
# OCSPステープリングを有効にする
#resolver 8.8.8.8 8.8.4.4 1.1.1.1 1.0.0.1 valid=10m;
#resolver_timeout 10s;
#ssl_stapling on;
#ssl_stapling_verify on;
#ssl_trusted_certificate /usr/local/nginx/conf/ssl/exiges.com/exiges.com-trusted.crt;
# ngx_pagespeed & ngx_pagespeed ハンドラ
#include /usr/local/nginx/conf/pagespeed.conf;
#include /usr/local/nginx/conf/pagespeedhandler.conf;
#include /usr/local/nginx/conf/pagespeedstatslog.conf;
# limit_conn limit_per_ip 16;
# ssi on;
access_log /home/nginx/domains/exiges.com/log/access.log combined buffer=256k flush=5m;
error_log /home/nginx/domains/exiges.com/log/error.log;
include /usr/local/nginx/conf/autoprotect/exiges.com/autoprotect-exiges.com.conf;
root /home/nginx/domains/exiges.com/public;
# cloudflare.conf のインクルードをコメント解除して、
# server および/または vhost サイトで cloudflare を使用している場合
#include /usr/local/nginx/conf/cloudflare.conf;
include /usr/local/nginx/conf/503include-main.conf;
location / {
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
proxy_set_header X-Forwarded-Proto https;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
}
include /usr/local/nginx/conf/php.conf;
#include /usr/local/nginx/conf/pre-staticfiles-local-exiges.com.conf;
#include /usr/local/nginx/conf/pre-staticfiles-global.conf;
#include /usr/local/nginx/conf/staticfiles.conf;
#include /usr/local/nginx/conf/drop.conf;
#include /usr/local/nginx/conf/errorpage.conf;
#include /usr/local/nginx/conf/vts_server.conf;
}
x-proto ヘッダーの参照を確認しました。
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
「いいね!」 1
david
(David Taylor)
10
Cloudflare はどのようにオリジンに接続していますか?SSL/TLS を使用していますか?理想的には、ここでは「フル」または「フル(厳格)」を使用する必要があります。
柔軟です。怠けてサーバー証明書を使用していませんでした。
david
(David Taylor)
12
Cloudflare の SSL オプションのいずれかで設定することをお勧めします。「Flexible」は、Cloudflare とサーバー間のトラフィックが暗号化されないことを意味します。
設定を再度確認します。
ヘッダーを https に設定してから、2 行下に $scheme (Cloudflare の設定に基づき http になります) に設定し直しているようです。2 番目の設定を削除すると、Discourse は接続が安全であると判断します (実際には安全ではありませんが)。
「いいね!」 4
興味深いですね。\n\nしかし、不思議なのは、それが機能していたことです。
david
(David Taylor)
14
DiscourseコンテナのNGINXが、以前は「最初」のX-Forwarded-Protoヘッダーを見ていたと(100%確認はしていませんが)疑っています。現在は、「最後」のX-Forwarded-Protoヘッダーを見ており、これは受信リクエストに関する最も多くの情報を持つ「最新の」プロキシからのものであるため、より安全であると言えます。
そのため、アップデート前はCloudflare(https)によって導入されたX-Forwarded-Protoヘッダーを見ていました。現在は、お使いの「centminmod」リバースプロキシ設定(http)によって導入されたX-Forwarded-Protoヘッダーを見ています。
「いいね!」 3
設定から proxy_set_header X-Forwarded-Proto $scheme; を削除したところ、設定が機能するようになりました。
ご覧になっている方で、centminmod を設定している方がいれば、nginx の設定は2つあります。
1つは HTTP 用、もう1つは HTTPS 用です。
HTTP サイトから2番目の proxy_set_header X-Forwarded-Proto $scheme; を削除したところ、すべて期待どおりに機能するようになりました。
これが私の exiges.com.conf です。
# Centmin Mod Getting Started Guide
# must read https://centminmod.com/getstarted.html
# redirect from non-www to www
# uncomment, save file and restart Nginx to enable
# if unsure use return 302 before using return 301
#server {
# listen 80;
# server_name exiges.com;
# return 301 $scheme://www.exiges.com$request_uri;
# }
server {
server_name exiges.com www.exiges.com;
#return 301 https://exiges.com.com$request_uri;
#return 301 $scheme://www.exiges.com$request_uri;
# ngx_pagespeed & ngx_pagespeed handler
#include /usr/local/nginx/conf/pagespeed.conf;
#include /usr/local/nginx/conf/pagespeedhandler.conf;
#include /usr/local/nginx/conf/pagespeedstatslog.conf;
#add_header X-Frame-Options SAMEORIGIN;
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
#add_header Referrer-Policy "strict-origin-when-cross-origin";
#add_header Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()";
# limit_conn limit_per_ip 16;
# ssi on;
access_log /home/nginx/domains/exiges.com/log/access.log combined buffer=256k flush=5m;
error_log /home/nginx/domains/exiges.com/log/error.log;
include /usr/local/nginx/conf/autoprotect/exiges.com/autoprotect-exiges.com.conf;
root /home/nginx/domains/exiges.com/public;
# uncomment cloudflare.conf include if using cloudflare for
# server and/or vhost site
#include /usr/local/nginx/conf/cloudflare.conf;
include /usr/local/nginx/conf/503include-main.conf;
# prevent access to ./directories and files
#location ~ (?:^|/)\. {
# deny all;
# }
location / {
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
proxy_set_header X-Forwarded-Proto https;
#proxy_set_header Host $http_host;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
#include /usr/local/nginx/conf/503include-only.conf;
# block common exploits, sql injections etc
#include /usr/local/nginx/conf/block.conf;
# Enables directory listings when index file not found
#autoindex on;
# Shows file listing times as local time
#autoindex_localtime on;
# Wordpress Permalinks example
#try_files $uri $uri/ /index.php?q=$uri&$args;
}
include /usr/local/nginx/conf/php.conf;
#include /usr/local/nginx/conf/pre-staticfiles-local-exiges.com.conf;
#include /usr/local/nginx/conf/pre-staticfiles-global.conf;
#include /usr/local/nginx/conf/staticfiles.conf;
#include /usr/local/nginx/conf/drop.conf;
#include /usr/local/nginx/conf/errorpage.conf;
#include /usr/local/nginx/conf/vts_server.conf;
}
これが私の exiges.com.conf.ssl です。
# Centmin Mod Getting Started Guide
# must read https://centminmod.com/getstarted.html
# For HTTP/2 SSL Setup
# read https://centminmod.com/nginx_configure_https_ssl_spdy.html
# redirect from www to non-www forced SSL
# uncomment, save file and restart Nginx to enable
# if unsure use return 302 before using return 301
server {
listen 80;
server_name exiges.com www.exiges.com;
return 302 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name exiges.com www.exiges.com;
ssl_dhparam /usr/local/nginx/conf/ssl/exiges.com/dhparam.pem;
ssl_certificate /usr/local/nginx/conf/ssl/exiges.com/exiges.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/exiges.com/exiges.com.key;
include /usr/local/nginx/conf/ssl_include.conf;
# cloudflare authenticated origin pull cert community.centminmod.com/threads/13847/
#ssl_client_certificate /usr/local/nginx/conf/ssl/cloudflare/exiges.com/origin.crt;
#ssl_verify_client on;
# mozilla recommended
ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;
ssl_prefer_server_ciphers on;
#add_header Alternate-Protocol 443:npn-spdy/3;
# before enabling HSTS line below read centminmod.com/nginx_domain_dns_setup.html#hsts
#add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
#add_header X-Frame-Options SAMEORIGIN;
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
#add_header Referrer-Policy "strict-origin-when-cross-origin";
#add_header Permissions-Policy "accelerometer=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()";
#spdy_headers_comp 5;
ssl_buffer_size 1369;
ssl_session_tickets on;
# enable ocsp stapling
#resolver 8.8.8.8 8.8.4.4 1.1.1.1 1.0.0.1 valid=10m;
#resolver_timeout 10s;
#ssl_stapling on;
#ssl_stapling_verify on;
#ssl_trusted_certificate /usr/local/nginx/conf/ssl/exiges.com/exiges.com-trusted.crt;
# ngx_pagespeed & ngx_pagespeed handler
#include /usr/local/nginx/conf/pagespeed.conf;
#include /usr/local/nginx/conf/pagespeedhandler.conf;
#include /usr/local/nginx/conf/pagespeedstatslog.conf;
# limit_conn limit_per_ip 16;
# ssi on;
access_log /home/nginx/domains/exiges.com/log/access.log combined buffer=256k flush=5m;
error_log /home/nginx/domains/exiges.com/log/error.log;
include /usr/local/nginx/conf/autoprotect/exiges.com/autoprotect-exiges.com.conf;
root /home/nginx/domains/exiges.com/public;
# uncomment cloudflare.conf include if using cloudflare for
# server and/or vhost site
include /usr/local/nginx/conf/cloudflare.conf;
include /usr/local/nginx/conf/503include-main.conf;
location / {
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
proxy_set_header X-Forwarded-Proto https;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
}
include /usr/local/nginx/conf/php.conf;
#include /usr/local/nginx/conf/pre-staticfiles-local-exiges.com.conf;
#include /usr/local/nginx/conf/pre-staticfiles-global.conf;
#include /usr/local/nginx/conf/staticfiles.conf;
#include /usr/local/nginx/conf/drop.conf;
#include /usr/local/nginx/conf/errorpage.conf;
#include /usr/local/nginx/conf/vts_server.conf;
}
@david 時間を割いてこの問題を解決していただき、ありがとうございます。
参考までに、証明書は現在フルで、柔軟性がありません。
「いいね!」 1
system
(system)
クローズされました:
16
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
