Wikilivres

Le système d'exploitation GNU-Linux/Le serveur Web Nginx

< Le système d'exploitation GNU-Linux
Le serveur Web Apache Le serveur Web Apache
La base de données MySQL La base de données MySQL
  1. Qu'est-ce qu'un système d'exploitation ?
  2. Unix et Linux
  3. Partitionnement du disque
  4. Installation
    1. Installer Debian via le réseau
  5. Utilisateur Unix, l'interface console
    1. Le login
    2. Variables d'environnement
    3. Commandes de base
    4. L'aide en ligne man
    5. L'éditeur de texte vi
    6. Les shells
    7. La complétion
    8. Les jokers
    9. Les répertoires importants
    10. Redirection des entrées/sorties
    11. Invoquer un programme en tâche de fond
    12. Propriétaires et droits d'accès
    13. Processus
    14. Locale
  6. Administration du système
    1. Configuration du réseau
    2. Les utilisateurs et groupes
    3. Le processus d'initialisation
    4. Les systèmes de fichiers
    5. Le système virtuel /proc
    6. Les périphériques /dev
    7. L'ordonnanceur de travaux cron
    8. Le backup : tar et gzip
    9. ghost avec partimage
    10. sauvegarde de fichiers avec rsync
    11. Les fichiers journaux syslog
    12. Installation de nouveaux logiciels
    13. Le noyau Linux et les modules
    14. Autres commandes utiles
    15. Installation RAID1 logiciel + LVM + XFS
    16. Scripts de surveillance
    17. Réseaux sans fil
  7. Administration des services réseaux
    1. L'outil d'administration Webmin
    2. telnet
    3. cURL
    4. wget
    5. Le serveur de noms BIND
    6. Le serveur de configuration réseau DHCP
    7. Le serveur de shell distant SSH
    8. Le partage de fichiers Samba
    9. Le partage de fichiers NFS
    10. Le serveur d'impression CUPS
    11. Le serveur de fichiers FTP
    12. Le serveur Web Apache
    13. Le serveur Web Nginx
    14. La base de données MySQL
    15. La base de données Memcached
    16. La base de données Redis
    17. Le serveur de mails Postfix
    18. Les annuaires LDAP
    19. La supervision Nagios
  8. Sécurisation d'un serveur Linux
    1. Installation d'un service en mode chroot
    2. Protection avec iptables
  9. Erreurs connues
  10. Médiagraphie
  11. Auteurs

[ Modifier le sommaire ]

Le serveur Web Apache Le serveur Web Apache
La base de données MySQL La base de données MySQL

InstallationModifier

sudo apt-get install nginx

CommandesModifier

Relancer le serveur : 

systemctl restart nginx

Voir la configuration du processus lancé : 

nginx -T

Voir les logs : 

journalctl -u nginx

Activer un vhost : 

 ln -s /etc/nginx/sites-available/mon_vhost.conf /etc/nginx/sites-enabled/
 systemctl reload nginx

La différence entre "restart" et "reload", est que le premier stoppe tout puis tente de redémarrer, alors que "reload" ne stoppe les anciens processus que si le fichier de configuration ne contient pas d'erreur, et donc que les nouveaux peuvent se lancer. Il est donc plus sécurisé.

ParamètresModifier

La configuration se trouve dans les fichiers .conf du dossier /etc/nginx/conf.d/.

Exemples de configuration : 

client_max_body_size 32m;
fastcgi_read_timeout 600;
proxy_read_timeout 600;

vhostsModifier

On peut trouver des validateurs de vhosts en ligne[1].

VariablesModifier

le module ngx_http_core_module offre des variables correspondant à celles d'Apache[2].

  • $host
  • $alias
  • $root
  • $realpath_root
  • $document_root : $root ou $alias de la requête
  • $document_uri
  • $request_uri
  • $fastcgi_script_name

Mots réservésModifier

Comme dans Apache, la priorité entre les vhosts est déterminée par l'ordre alphabétique des .conf de /etc/nginx/sites-enables.

Les directives sont[3] :

listenModifier

Host et port écoutés par le vhost. Ex : 

 listen 80;
 listen 443 ssl;

server_nameModifier

URL du vhost.

  • Exemple simple : server_name x.example.com alias.example.com;
  • Pour désigner un nom de serveur invalide (généralement dans le vhost default) : server_name _;
  • Pour du regex, préfixer avec "~". Ex : server_name ~^(x|y|z)\.example\.com$;
    • Le regex permet même les groupes de capture utilisables dans la suite du vhost (ex : $ma_variable) avec la syntaxe suivante[4] : (?<ma_variable>.+). Exemple avec appel :
    server_name ~(?<branch>.+)-preprod\.example\.com$;
    root /var/www/mon_app/preprod/$branch/;

rootModifier

Dossier du système de fichier vers lequel redirige l'URL du vhost.

locationModifier

Bloc paramétrant un chemin donné au sein de l'URL du server_name. Il peut contenir plusieurs autre mots réservés.

includeModifier
internalModifier
denyModifier
expiresModifier
fastcgi_paramModifier

Définit un des paramètres FastCGI[5].

indexModifier

Définit l'index à exécuter. Il peut être global ou inclus dans une location. Ex : 

index app.php;

returnModifier

Ex : 

return 301 https://$host$request_uri;

rewriteModifier

Réécriture d'URL[6]. Ex : 

rewrite ^ http://example.com? permanent;

access_log et error_logModifier

Optionnel : emplacement des logs d'accès et d'erreur. Par défaut, /var/log/nginx/access.log et error.log.

add_headerModifier

Ajoute des clés aux en-têtes HTTP. Par exemple pour les règles de protection Content Security Policy (CSP) contre le cross-site scripting (XSS) : 

add_header Content-Security-Policy "default-src 'self';
                                    connect-src *;
                                    img-src 'self' data:;
                                    script-src 'self' 'unsafe-eval' 'unsafe-inline';
                                    style-src 'self' 'unsafe-inline';
                                    ";

Pour la protection contre le clickjacking : 

add_header X-Frame-Options "SAMEORIGIN" always;

Par ailleurs, des sites d'audit gratuits peuvent ensuite révéler s'il reste des failles.

ExemplesModifier

Pour un site HTTP : 

server {
    listen 80;

    server_name mon_site.localhost;
    root /var/www/mon_site;

    location / {
        try_files $uri /index.html =404;
    }
}

Pour un site IPv4 et IPv6 en HTTP et HTTPS : 

server {
    listen 80;
    listen [::]:80;
    listen 443 ssl;
    listen [::]:443;

    ssl_certificate /etc/nginx/conf.d/ssl-certs/ssl-cert-snakeoil.pem;
    ssl_certificate_key /etc/nginx/conf.d/ssl-certs/ssl-cert-snakeoil.key;
    ssl_trusted_certificate /etc/ssl/private/current.crt;

    server_name mon_site.localhost;
    root /var/www/mon_site;

    location / {
        try_files $uri /index.html =404;
    }
}
 le certificat et la clé de cryptage peuvent être générés avec OpenSSL.

Rediriger le flux HTTP vers HTTPSModifier

Ajouter dans la configuration la ligne commençant par "rewrite" ci-dessous : 

server {
  listen 80;
  server_name nom-domaine.fr www.nom-domaine.fr;
  rewrite ^ https://$server_name$request_uri? permanent;
}

server {
  listen 443;
  server_name my.domain.com;
  ssl on;
  [....]
}

RéférencesModifier

  1. https://nginx.viraptor.info/
  2. http://nginx.org/en/docs/http/ngx_http_core_module.html
  3. http://nginx.org/en/docs/http/ngx_http_core_module.html
  4. http://nginx.org/en/docs/http/server_names.html
  5. https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/
  6. https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/#taxing-rewrites
Récupérée de « https://fr.wikibooks.org/w/index.php?title=Le_système_d%27exploitation_GNU-Linux/Le_serveur_Web_Nginx&oldid=691307 »