Среда размещения ASP.NET Core в операционной системе Linux с NginxHost ASP.NET Core on Linux with Nginx

Автор Сурабх ШирхаттиBy Sourabh Shirhatti

В этом руководстве описывается настройка готовой к работе среды ASP.NET Core на сервере Ubuntu 16.04.This guide explains setting up a production-ready ASP.NET Core environment on an Ubuntu 16.04 server. Эти инструкции могут подходить для более поздних версий Ubuntu, но они еще не были протестированы в этих версиях.These instructions likely work with newer versions of Ubuntu, but the instructions haven't been tested with newer versions.

Сведения о других дистрибутивах Linux, поддерживаемых платформой ASP.NET Core, см. в разделе о необходимых компонентах для .NET Core в Linux.For information on other Linux distributions supported by ASP.NET Core, see Prerequisites for .NET Core on Linux.

Примечание

Для Ubuntu 14.04 в качестве решения для мониторинга процесса Kestrel рекомендуется supervisord.For Ubuntu 14.04, supervisord is recommended as a solution for monitoring the Kestrel process. Решение systemd в Ubuntu 14.04 недоступно.systemd isn't available on Ubuntu 14.04. Инструкции для Ubuntu 14.04 см. в предыдущей версии этого раздела.For Ubuntu 14.04 instructions, see the previous version of this topic.

В этом руководстве рассматриваетсяThis guide:

  • размещение существующего приложения ASP.NET Core за обратным прокси-сервером;Places an existing ASP.NET Core app behind a reverse proxy server.
  • настройка обратного прокси-сервера для перенаправления запросов на веб-сервер Kestrel;Sets up the reverse proxy server to forward requests to the Kestrel web server.
  • проверка выполнения веб-приложения как управляющей программы при запуске системы;Ensures the web app runs on startup as a daemon.
  • настройка средства управления процессами, с помощью которого можно перезапустить веб-приложение.Configures a process management tool to help restart the web app.

Предварительные требованияPrerequisites

  1. Доступ к серверу Ubuntu 16.04 под учетной записью обычного пользователя с правами sudo.Access to an Ubuntu 16.04 server with a standard user account with sudo privilege.
  2. Установите среду выполнения .NET Core на сервере.Install the .NET Core runtime on the server.
    1. Перейдите на страницу всех загрузок .NET Core.Visit the .NET Core All Downloads page.
    2. Выберите последнюю не предварительную версию среды выполнения из списка под заголовком Среда выполнения.Select the latest non-preview runtime from the list under Runtime.
    3. Сделайте выбор и следуйте инструкциям для Ubuntu, версия которой совпадает с версией Ubuntu на сервере.Select and follow the instructions for Ubuntu that match the Ubuntu version of the server.
  3. Существующее приложение ASP.NET Core.An existing ASP.NET Core app.

Публикация и копирование приложенияPublish and copy over the app

Настройте приложение, чтобы его развертывание зависело от платформы.Configure the app for a framework-dependent deployment.

Если приложение запускается локально и не настроено для безопасного подключения (HTTPS), следует применять один из следующих подходов.If the app is run locally and isn't configured to make secure connections (HTTPS), adopt either of the following approaches:

  • Настройка приложения для обработки безопасных локальных подключений.Configure the app to handle secure local connections. Дополнительные сведения см. в разделе Конфигурация HTTPS.For more information, see the HTTPS configuration section.
  • Удалите https://localhost:5001 (при его наличии) из свойства applicationUrl в файле Properties/launchSettings.json.Remove https://localhost:5001 (if present) from the applicationUrl property in the Properties/launchSettings.json file.

Запустите dotnet publish в среде разработки, чтобы упаковать приложение в каталог (например, bin/Release/<target_framework_moniker>/publish), который может выполняться на сервере:Run dotnet publish from the development environment to package an app into a directory (for example, bin/Release/<target_framework_moniker>/publish) that can run on the server:

dotnet publish --configuration Release

Приложение может быть опубликовано как автономное развертывание, если вы предпочитаете не сохранять среду выполнения .NET Core на сервере.The app can also be published as a self-contained deployment if you prefer not to maintain the .NET Core runtime on the server.

Скопируйте приложение ASP.NET Core на сервер с помощью инструмента, интегрированного в ваш рабочий процесс (например, SCP или SFTP).Copy the ASP.NET Core app to the server using a tool that integrates into the organization's workflow (for example, SCP, SFTP). Обычно веб-приложения находятся в каталоге var (например, var/www/helloapp).It's common to locate web apps under the var directory (for example, var/www/helloapp).

Примечание

Если развертывание выполняется в рабочей среде, рабочий процесс непрерывной интеграции автоматически опубликует приложение и скопирует его ресурсы на сервер.Under a production deployment scenario, a continuous integration workflow does the work of publishing the app and copying the assets to the server.

Проверьте работу приложения:Test the app:

  1. Запустите приложение в командной строке: dotnet <app_assembly>.dll.From the command line, run the app: dotnet <app_assembly>.dll.
  2. В браузере откройте страницу http://<serveraddress>:<port>, чтобы убедиться, что приложение локально работает на платформе Linux.In a browser, navigate to http://<serveraddress>:<port> to verify the app works on Linux locally.

Настройка обратного прокси-сервераConfigure a reverse proxy server

Обратный прокси-сервер — это стандартный вариант настройки для обслуживания динамических веб-приложений.A reverse proxy is a common setup for serving dynamic web apps. Обратный прокси-сервер завершает HTTP-запрос и перенаправляет его в приложение ASP.NET Core.A reverse proxy terminates the HTTP request and forwards it to the ASP.NET Core app.

Использование обратного прокси-сервераUse a reverse proxy server

Kestrel является отличным решением для обслуживания динамического содержимого из ASP.NET Core.Kestrel is great for serving dynamic content from ASP.NET Core. При этом компоненты для работы с веб-службами не настолько функциональны, как серверы типа IIS, Apache или Nginx.However, the web serving capabilities aren't as feature rich as servers such as IIS, Apache, or Nginx. Обратный прокси-сервер может облегчить такую работу, как обслуживание статического содержимого, кэширование и сжатие запросов, а также терминирование HTTPS с HTTP-сервера.A reverse proxy server can offload work such as serving static content, caching requests, compressing requests, and HTTPS termination from the HTTP server. Обратный прокси-сервер можно разместить на отдельном компьютере или развернуть параллельно с HTTP-сервером.A reverse proxy server may reside on a dedicated machine or may be deployed alongside an HTTP server.

В контексте данного руководства используется отдельный экземпляр Nginx.For the purposes of this guide, a single instance of Nginx is used. Он выполняется на том же сервере, что и HTTP-сервер.It runs on the same server, alongside the HTTP server. Настройки можно выбирать в зависимости от требований.Based on requirements, a different setup may be chosen.

Так как запросы перенаправляются обратным прокси-сервером, используйте ПО промежуточного слоя перенаправления заголовков, которое входит в пакет Microsoft.AspNetCore.HttpOverrides.Because requests are forwarded by reverse proxy, use the Forwarded Headers Middleware from the Microsoft.AspNetCore.HttpOverrides package. Это ПО обновляет Request.Scheme, используя заголовок X-Forwarded-Proto, что обеспечивает правильную работу URI перенаправления и других политик безопасности.The middleware updates the Request.Scheme, using the X-Forwarded-Proto header, so that redirect URIs and other security policies work correctly.

Любой компонент, который зависит от схемы, например проверка подлинности, генерация ссылок, перенаправление и геолокация, должен находиться после вызова ПО промежуточного слоя перенаправления заголовков.Any component that depends on the scheme, such as authentication, link generation, redirects, and geolocation, must be placed after invoking the Forwarded Headers Middleware. Как правило, ПО промежуточного слоя перенаправления заголовков должно выполняться до остального ПО промежуточного слоя, за исключением ПО промежуточного слоя для диагностики и обработки ошибок.As a general rule, Forwarded Headers Middleware should run before other middleware except diagnostics and error handling middleware. Такой порядок гарантирует, что ПО промежуточного слоя, полагающееся на сведения о перенаправленных заголовках, может использовать значения заголовков для обработки.This ordering ensures that the middleware relying on forwarded headers information can consume the header values for processing.

Вызовите метод UseForwardedHeaders в методе Startup.Configure перед вызовом UseAuthentication или другого ПО промежуточного слоя, предназначенного для проверки подлинности.Invoke the UseForwardedHeaders method in Startup.Configure before calling UseAuthentication or similar authentication scheme middleware. В ПО промежуточного слоя настройте перенаправление заголовков X-Forwarded-For и X-Forwarded-Proto:Configure the middleware to forward the X-Forwarded-For and X-Forwarded-Proto headers:

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});

app.UseAuthentication();

Если параметр ForwardedHeadersOptions не задан для ПО промежуточного слоя, по умолчанию перенаправляются заголовки None.If no ForwardedHeadersOptions are specified to the middleware, the default headers to forward are None.

Прокси-серверы под управлением адресов замыкания на себя (127.0.0.0/8, [:: 1]), включая стандартные адреса localhost (127.0.0.1), считаются доверенными по умолчанию.Proxies running on loopback addresses (127.0.0.0/8, [::1]), including the standard localhost address (127.0.0.1), are trusted by default. Если запросы между Интернетом и веб-сервером обрабатывают другие прокси-серверы или сети организации, добавьте их в список KnownProxies или KnownNetworks с помощью ForwardedHeadersOptions.If other trusted proxies or networks within the organization handle requests between the Internet and the web server, add them to the list of KnownProxies or KnownNetworks with ForwardedHeadersOptions. Следующий пример добавляет доверенный прокси-сервер с IP-адресом 10.0.0.100 в ПО промежуточного слоя для перенаправления заголовков KnownProxies в Startup.ConfigureServices:The following example adds a trusted proxy server at IP address 10.0.0.100 to the Forwarded Headers Middleware KnownProxies in Startup.ConfigureServices:

services.Configure<ForwardedHeadersOptions>(options =>
{
    options.KnownProxies.Add(IPAddress.Parse("10.0.0.100"));
});

Дополнительные сведения можно найти по адресу: Настройка ASP.NET Core для работы с прокси-серверами и подсистемами балансировки нагрузки.For more information, see Настройка ASP.NET Core для работы с прокси-серверами и подсистемами балансировки нагрузки.

Установка NginxInstall Nginx

Установите Nginx с помощью команды apt-get.Use apt-get to install Nginx. Программа установки создает сценарий инициализации systemd, который запускает Nginx как управляющую программу при запуске системы.The installer creates a systemd init script that runs Nginx as daemon on system startup. Следуйте инструкциям по установке для Ubuntu в разделе Nginx: официальные пакеты Debian и Ubuntu.Follow the installation instructions for Ubuntu at Nginx: Official Debian/Ubuntu packages.

Примечание

Если необходимы дополнительные модули Nginx, может потребоваться создание Nginx из источника.If optional Nginx modules are required, building Nginx from source might be required.

Так как Nginx устанавливается впервые, запустите его напрямую, выполнив следующую команду.Since Nginx was installed for the first time, explicitly start it by running:

sudo service nginx start

В браузере должна открыться стартовая страница Nginx по умолчанию.Verify a browser displays the default landing page for Nginx. Целевая страница доступна по адресу http://<server_IP_address>/index.nginx-debian.html.The landing page is reachable at http://<server_IP_address>/index.nginx-debian.html.

Настройка NginxConfigure Nginx

Чтобы настроить Nginx как обратный прокси-сервер для перенаправления запросов в наше приложение ASP.NET Core, измените файл /etc/nginx/sites-available/default.To configure Nginx as a reverse proxy to forward requests to your ASP.NET Core app, modify /etc/nginx/sites-available/default. Откройте этот файл в текстовом редакторе и замените его содержимое на следующий код.Open it in a text editor, and replace the contents with the following:

server {
    listen        80;
    server_name   example.com *.example.com;
    location / {
        proxy_pass         http://localhost:5000;
        proxy_http_version 1.1;
        proxy_set_header   Upgrade $http_upgrade;
        proxy_set_header   Connection keep-alive;
        proxy_set_header   Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }
}

Если отсутствуют совпадения для server_name, Nginx использует сервер по умолчанию.When no server_name matches, Nginx uses the default server. Если сервер по умолчанию не определен, первый сервер в файле конфигурации является сервером по умолчанию.If no default server is defined, the first server in the configuration file is the default server. Рекомендуется добавить в качестве сервера по умолчанию определенный сервер, который возвращает код состояния 444 в файле конфигурации.As a best practice, add a specific default server which returns a status code of 444 in your configuration file. Ниже приведен пример конфигурации сервера по умолчанию:A default server configuration example is:

server {
    listen   80 default_server;
    # listen [::]:80 default_server deferred;
    return   444;
}

С представленным выше файлом конфигурации и сервером по умолчанию Nginx принимает трафик от любого источника через порт 80 с заголовком узла example.com или *.example.com.With the preceding configuration file and default server, Nginx accepts public traffic on port 80 with host header example.com or *.example.com. Запросы, не соответствующие этим узлам, не будут перенаправляться в Kestrel.Requests not matching these hosts won't get forwarded to Kestrel. Запросы, которые им соответствуют, Nginx перенаправляет в Kestrel по адресу http://localhost:5000.Nginx forwards the matching requests to Kestrel at http://localhost:5000. Для получения дополнительной информации см. статью Как nginx обрабатывает запросы.See How nginx processes a request for more information. Сведения о том, как изменить IP-адрес/порт Kestrel, см. в разделе Kestrel: конфигурация конечной точки.To change Kestrel's IP/port, see Kestrel: Endpoint configuration.

Предупреждение

Если не будет указана правильная директива server_name, приложение будет подвержено значительным уязвимостям.Failure to specify a proper server_name directive exposes your app to security vulnerabilities. Привязки с подстановочными знаками на уровне дочерних доменов (например, *.example.com) не создают таких угроз безопасности, если вы полностью контролируете родительский домен (в отличие от варианта *.com, создающего уязвимость).Subdomain wildcard binding (for example, *.example.com) doesn't pose this security risk if you control the entire parent domain (as opposed to *.com, which is vulnerable). Дополнительные сведения см. в документе rfc7230, раздел 5.4.See rfc7230 section-5.4 for more information.

Установив конфигурацию Nginx, выполните команду sudo nginx -t, чтобы проверить синтаксис файлов конфигурации.Once the Nginx configuration is established, run sudo nginx -t to verify the syntax of the configuration files. Если проверка файла конфигурации прошла успешно, заставьте Nginx принять изменения, выполнив команду sudo nginx -s reload.If the configuration file test is successful, force Nginx to pick up the changes by running sudo nginx -s reload.

Для непосредственного запуска приложений на сервере:To directly run the app on the server:

  1. Перейдите в каталог приложения.Navigate to the app's directory.
  2. Запустите приложение: dotnet <app_assembly.dll>, где app_assembly.dll — имя файла сборки приложения.Run the app: dotnet <app_assembly.dll>, where app_assembly.dll is the assembly file name of the app.

Если приложение выполняется на сервере, но не отвечает по Интернету, проверьте брандмауэр сервера и убедитесь, что порт 80 открыт.If the app runs on the server but fails to respond over the Internet, check the server's firewall and confirm that port 80 is open. При использовании виртуальной машины Ubuntu Azure добавьте правило группы безопасности сети (NSG), которое разрешает входящий трафик через порт 80.If using an Azure Ubuntu VM, add a Network Security Group (NSG) rule that enables inbound port 80 traffic. Не нужно включать правило исходящего трафика на порте 80, так как исходящий трафик предоставляется автоматически при включении правила для входящего трафика.There's no need to enable an outbound port 80 rule, as the outbound traffic is automatically granted when the inbound rule is enabled.

Когда закончите тестировать приложение, завершите его работу с помощью Ctrl+C в командной строке.When done testing the app, shut the app down with Ctrl+C at the command prompt.

Мониторинг приложенияMonitor the app

Сервер настроен на перенаправление запросов к http://<serveraddress>:80 в приложение ASP.NET Core, выполняемое в Kestrel по адресу http://127.0.0.1:5000.The server is setup to forward requests made to http://<serveraddress>:80 on to the ASP.NET Core app running on Kestrel at http://127.0.0.1:5000. При этом Nginx не настроен для управления процессом Kestrel.However, Nginx isn't set up to manage the Kestrel process. Для запуска и мониторинга соответствующего веб-приложения можно использовать systemd и создать файл службы.systemd can be used to create a service file to start and monitor the underlying web app. systemd — это система инициализации, предоставляющая различные функции для запуска и остановки процессов, а также управления ими.systemd is an init system that provides many powerful features for starting, stopping, and managing processes.

Создание файла службыCreate the service file

Создайте файл определения службы.Create the service definition file:

sudo nano /etc/systemd/system/kestrel-helloapp.service

Далее представлен пример файла службы для нашего приложения.The following is an example service file for the app:

[Unit]
Description=Example .NET Web API App running on Ubuntu

[Service]
WorkingDirectory=/var/www/helloapp
ExecStart=/usr/bin/dotnet /var/www/helloapp/helloapp.dll
Restart=always
# Restart service after 10 seconds if the dotnet service crashes:
RestartSec=10
KillSignal=SIGINT
SyslogIdentifier=dotnet-example
User=www-data
Environment=ASPNETCORE_ENVIRONMENT=Production
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

Если пользователь www-data в конфигурации не используется, необходимо сначала создать определенного в примере пользователя, а затем предоставить ему необходимые права владения для файлов.If the user www-data isn't used by the configuration, the user defined here must be created first and given proper ownership for files.

Используйте TimeoutStopSec, чтобы настроить время ожидания до завершения работы приложения после начального сигнала прерывания.Use TimeoutStopSec to configure the duration of time to wait for the app to shut down after it receives the initial interrupt signal. Если приложение не завершит работу в течение этого периода, оно прерывается сигналом SIGKILL.If the app doesn't shut down in this period, SIGKILL is issued to terminate the app. Укажите значение в секундах без единиц измерения (например, 150), значение интервала (например, 2min 30s) или значение infinity, которое отключает время ожидания.Provide the value as unitless seconds (for example, 150), a time span value (for example, 2min 30s), or infinity to disable the timeout. По умолчанию TimeoutStopSec принимает значение DefaultTimeoutStopSec в файле конфигурации диспетчера (systemd-system.conf, system.conf.d, systemd-user.conf, user.conf.d).TimeoutStopSec defaults to the value of DefaultTimeoutStopSec in the manager configuration file (systemd-system.conf, system.conf.d, systemd-user.conf, user.conf.d). В большинстве дистрибутивов по умолчанию устанавливается время ожидания 90 секунд.The default timeout for most distributions is 90 seconds.

# The default value is 90 seconds for most distributions.
TimeoutStopSec=90

Linux имеет файловую систему, в которой учитывается регистр символов.Linux has a case-sensitive file system. Если для параметра ASPNETCORE_ENVIRONMENT установить значение Production, будет выполнен поиск файла конфигурации appsettings.Production.json, а не файла appsettings.production.json.Setting ASPNETCORE_ENVIRONMENT to "Production" results in searching for the configuration file appsettings.Production.json, not appsettings.production.json.

Некоторые значения (например, строки подключения SQL) необходимо экранировать, чтобы поставщики конфигурации могли читать переменные среды.Some values (for example, SQL connection strings) must be escaped for the configuration providers to read the environment variables. Используйте следующую команду, чтобы создать правильно экранированное значение для файла конфигурации:Use the following command to generate a properly escaped value for use in the configuration file:

systemd-escape "<value-to-escape>"

Разделители-двоеточия (:) не поддерживаются в именах переменных среды.Colon (:) separators aren't supported in environment variable names. Следует использовать двойной знак подчеркивания (__) вместо двоеточия.Use a double underscore (__) in place of a colon. Поставщик конфигурации переменных среды преобразует двойные символы подчеркивания в двоеточия, когда переменные среды считываются в конфигурации.The Environment Variables configuration provider converts double-underscores into colons when environment variables are read into configuration. В следующем примере ключ строки подключения ConnectionStrings:DefaultConnection задается в файле определения службы как ConnectionStrings__DefaultConnection.In the following example, the connection string key ConnectionStrings:DefaultConnection is set into the service definition file as ConnectionStrings__DefaultConnection:

Environment=ConnectionStrings__DefaultConnection={Connection String}

Сохраните файл и включите службу.Save the file and enable the service.

sudo systemctl enable kestrel-helloapp.service

Запустите службу и убедитесь, что она работает.Start the service and verify that it's running.

sudo systemctl start kestrel-helloapp.service
sudo systemctl status kestrel-helloapp.service

● kestrel-helloapp.service - Example .NET Web API App running on Ubuntu
    Loaded: loaded (/etc/systemd/system/kestrel-helloapp.service; enabled)
    Active: active (running) since Thu 2016-10-18 04:09:35 NZDT; 35s ago
Main PID: 9021 (dotnet)
    CGroup: /system.slice/kestrel-helloapp.service
            └─9021 /usr/local/bin/dotnet /var/www/helloapp/helloapp.dll

Теперь, когда обратный прокси-сервер настроен и systemd управляет процессом Kestrel, веб-приложение можно считать полностью настроенным и вы можете обратиться к нему по адресу http://localhost из браузера на локальном компьютере.With the reverse proxy configured and Kestrel managed through systemd, the web app is fully configured and can be accessed from a browser on the local machine at http://localhost. Оно также доступно для удаленных компьютеров, несмотря на наличие блокирующих трафик межсетевых экранов.It's also accessible from a remote machine, barring any firewall that might be blocking. Заголовок Server в ответе подтверждает, что приложение ASP.NET Core обслуживается Kestrel.Inspecting the response headers, the Server header shows the ASP.NET Core app being served by Kestrel.

HTTP/1.1 200 OK
Date: Tue, 11 Oct 2016 16:22:23 GMT
Server: Kestrel
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Transfer-Encoding: chunked

Просмотр журналовView logs

Так как веб-приложение, использующее Kestrel, управляется через systemd, все события и процессы регистрируются в централизованном журнале.Since the web app using Kestrel is managed using systemd, all events and processes are logged to a centralized journal. При этом журнал содержит все записи обо всех службах и процессах, управляемых systemd.However, this journal includes all entries for all services and processes managed by systemd. Чтобы просмотреть элементы, связанные с kestrel-helloapp.service, используйте следующую команду.To view the kestrel-helloapp.service-specific items, use the following command:

sudo journalctl -fu kestrel-helloapp.service

Кроме того, количество возвращаемых записей можно уменьшить, указав параметры времени, например --since today, --until 1 hour ago или их комбинацию.For further filtering, time options such as --since today, --until 1 hour ago or a combination of these can reduce the amount of entries returned.

sudo journalctl -fu kestrel-helloapp.service --since "2016-10-18" --until "2016-10-18 04:00"

Защита данныхData protection

Стек защиты данных в ASP.NET Core используется определенным ПО промежуточного слоя ASP.NET Core, включая промежуточное ПО для проверки подлинности (например, промежуточное ПО файлов cookie) и средствами защиты от подделки межсайтовых запросов.The ASP.NET Core Data Protection stack is used by several ASP.NET Core middlewares, including authentication middleware (for example, cookie middleware) and cross-site request forgery (CSRF) protections. Даже если API-интерфейсы защиты данных не вызываются из пользовательского кода, необходимо настроить защиту данных для создания постоянного хранилища криптографических ключей.Even if Data Protection APIs aren't called by user code, data protection should be configured to create a persistent cryptographic key store. Если защита данных не настроена, ключи хранятся в памяти и удаляются при перезапуске приложения.If data protection isn't configured, the keys are held in memory and discarded when the app restarts.

Если набор ключей хранится в памяти, при перезапуске приложения происходит следующее:If the key ring is stored in memory when the app restarts:

  • Все токены аутентификации, использующие файлы cookie, становятся недействительными.All cookie-based authentication tokens are invalidated.
  • При выполнении следующего запроса пользователю требуется выполнить вход снова.Users are required to sign in again on their next request.
  • Все данные, защищенные с помощью набора ключей, больше не могут быть расшифрованы.Any data protected with the key ring can no longer be decrypted. Это могут быть токены CSRF и файлы cookie временных данных ASP.NET Core MVC.This may include CSRF tokens and ASP.NET Core MVC TempData cookies.

Сведения о настройке защиты данных для хранения и шифрования набора ключей см. в приведенных ниже статьях.To configure data protection to persist and encrypt the key ring, see:

Длинные поля заголовка запросаLong request header fields

Если приложение требует поля заголовка запроса длиннее, чем разрешено параметрами прокси-сервера по умолчанию (обычно 4 или 8 КБ в зависимости от платформы), следующие директивы требуют корректировки.If the app requires request header fields longer than permitted by the proxy server's default settings (typically 4K or 8K depending on the platform), the following directives require adjustment. Применяемые значения зависят от условий.The values to apply are scenario-dependent. Дополнительные сведения см. в документации сервера.For more information, see your server's documentation.

Предупреждение

Не увеличивайте значение буферов прокси-сервера по умолчанию, если это не требуется.Don't increase the default values of proxy buffers unless necessary. Увеличение этих значений повышает риск переполнения буфера и атак типа "отказ в обслуживании" (DoS) со стороны злоумышленников.Increasing these values increases the risk of buffer overrun (overflow) and Denial of Service (DoS) attacks by malicious users.

Защита приложенияSecure the app

Включение AppArmorEnable AppArmor

Начиная с версии 2.6 ядро Linux включает платформу модулей безопасности Linux (LSM).Linux Security Modules (LSM) is a framework that's part of the Linux kernel since Linux 2.6. LSM поддерживают различные реализации модулей безопасности.LSM supports different implementations of security modules. AppArmor — это LSM, который реализует систему обязательного контроля доступа, позволяющую ограничивать программу определенным набором ресурсов.AppArmor is a LSM that implements a Mandatory Access Control system which allows confining the program to a limited set of resources. Убедитесь, что AppArmor включен и правильно настроен.Ensure AppArmor is enabled and properly configured.

Настройка брандмауэраConfigure the firewall

Закройте все внешние порты, которые не используются.Close off all external ports that are not in use. Незамысловатый межсетевой экран (ufw) позволяет взаимодействовать с iptables, предоставляя интерфейс командной строки для настройки межсетевого экрана.Uncomplicated firewall (ufw) provides a front end for iptables by providing a command line interface for configuring the firewall.

Предупреждение

Неправильно настроенный брандмауэр предотвратит доступ ко всей системе.A firewall will prevent access to the whole system if not configured correctly. Если задать неправильный порт SSH, то при использовании SSH для подключения к системе произойдет ее блокировка.Failure to specify the correct SSH port will effectively lock you out of the system if you are using SSH to connect to it. Порт по умолчанию — 22.The default port is 22. Дополнительные сведения см. в вводной статье по ufw и в этом руководстве.For more information, see the introduction to ufw and the manual.

Установите ufw и настройте его для разрешения прохождения трафика через все необходимые порты.Install ufw and configure it to allow traffic on any ports needed.

sudo apt-get install ufw

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

sudo ufw enable

Защита NginxSecure Nginx

Изменение имени ответа NginxChange the Nginx response name

Внесите изменения в файл src/http/ngx_http_header_filter_module.c:Edit src/http/ngx_http_header_filter_module.c:

static char ngx_http_server_string[] = "Server: Web Server" CRLF;
static char ngx_http_server_full_string[] = "Server: Web Server" CRLF;

Настройка параметровConfigure options

Настройте дополнительные обязательные модули на сервере.Configure the server with additional required modules. Для дополнительной защиты приложения можно использовать межсетевой экран для веб-приложений, например ModSecurity.Consider using a web app firewall, such as ModSecurity, to harden the app.

Конфигурация HTTPSHTTPS configuration

Настройка приложения для безопасных (HTTPS) локальных подключенийConfigure the app for secure (HTTPS) local connections

Команда dotnet run использует файл приложения Properties/launchSettings.json, который настраивает приложение для прослушивания URL-адресов, заданных свойством applicationUrl (например, https://localhost:5001;http://localhost:5000).The dotnet run command uses the app's Properties/launchSettings.json file, which configures the app to listen on the URLs provided by the applicationUrl property (for example, https://localhost:5001;http://localhost:5000).

Настройте приложение для использования при разработке сертификата для команды dotnet run или среды разработки (F5 или CTRL + F5 в Visual Studio Code), используя один из следующих подходов.Configure the app to use a certificate in development for the dotnet run command or development environment (F5 or Ctrl+F5 in Visual Studio Code) using one of the following approaches:

Настройка обратного прокси-сервера для безопасного подключения клиентов (HTTPS)Configure the reverse proxy for secure (HTTPS) client connections

  • Настройте сервер для прослушивания трафика HTTPS через порт 443, указав действительный сертификат, выпущенный доверенным центром сертификации (ЦС).Configure the server to listen to HTTPS traffic on port 443 by specifying a valid certificate issued by a trusted Certificate Authority (CA).

  • Обеспечьте дополнительную защиту, применив некоторые методы, показанные в представленном ниже файле /etc/nginx/nginx.conf.Harden the security by employing some of the practices depicted in the following /etc/nginx/nginx.conf file. Это может быть выбор более строгого шифра и перенаправление всего HTTP-трафика в HTTPS.Examples include choosing a stronger cipher and redirecting all traffic over HTTP to HTTPS.

  • При добавлении заголовка HTTP Strict-Transport-Security (HSTS) все последующие запросы клиента будут проходить по протоколу HTTPS.Adding an HTTP Strict-Transport-Security (HSTS) header ensures all subsequent requests made by the client are over HTTPS.

  • Если в дальнейшем планируется отключить HTTPS, не добавляйте заголовок HSTS или выберите соответствующий элемент max-age.Don't add the HSTS header or chose an appropriate max-age if HTTPS will be disabled in the future.

Добавьте файл конфигурации /etc/nginx/proxy.conf:Add the /etc/nginx/proxy.conf configuration file:

proxy_redirect          off;
proxy_set_header        Host $host;
proxy_set_header        X-Real-IP $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header        X-Forwarded-Proto $scheme;
client_max_body_size    10m;
client_body_buffer_size 128k;
proxy_connect_timeout   90;
proxy_send_timeout      90;
proxy_read_timeout      90;
proxy_buffers           32 4k;

Измените файл конфигурации /etc/nginx/proxy.conf.Edit the /etc/nginx/nginx.conf configuration file. В этом примере показаны разделы http и server одного и того же файла конфигурации.The example contains both http and server sections in one configuration file.

http {
    include        /etc/nginx/proxy.conf;
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    server_tokens  off;

    sendfile on;
    keepalive_timeout   29; # Adjust to the lowest possible value that makes sense for your use case.
    client_body_timeout 10; client_header_timeout 10; send_timeout 10;

    upstream hellomvc{
        server localhost:5000;
    }

    server {
        listen     *:80;
        add_header Strict-Transport-Security max-age=15768000;
        return     301 https://$host$request_uri;
    }

    server {
        listen                    *:443 ssl;
        server_name               example.com;
        ssl_certificate           /etc/ssl/certs/testCert.crt;
        ssl_certificate_key       /etc/ssl/certs/testCert.key;
        ssl_protocols             TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers               "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
        ssl_ecdh_curve            secp384r1;
        ssl_session_cache         shared:SSL:10m;
        ssl_session_tickets       off;
        ssl_stapling              on; #ensure your cert is capable
        ssl_stapling_verify       on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic
        location / {
            proxy_pass http://hellomvc;
            limit_req  zone=one burst=10 nodelay;
        }
    }
}

Защита Nginx от кликджекингаSecure Nginx from clickjacking

Кликджекинг (или атака с подменой пользовательского интерфейса) является вредоносной атакой, при которой посетителя сайта обманным путем вынуждают щелкнуть ссылку или нажать кнопку не той страницы, на которой он находится.Clickjacking, also known as a UI redress attack, is a malicious attack where a website visitor is tricked into clicking a link or button on a different page than they're currently visiting. Используйте X-FRAME-OPTIONS для защиты сайта.Use X-FRAME-OPTIONS to secure the site.

Чтобы уменьшить риск атак кликджекинга, выполните указанные ниже действия.To mitigate clickjacking attacks:

  1. Измените файл nginx.conf.Edit the nginx.conf file:

    sudo nano /etc/nginx/nginx.conf
    

    Добавьте строку add_header X-Frame-Options "SAMEORIGIN";.Add the line add_header X-Frame-Options "SAMEORIGIN";.

  2. Сохраните файл.Save the file.

  3. Перезапустите Nginx.Restart Nginx.

Сканирование типа MIMEMIME-type sniffing

Этот заголовок предотвращает MIME-сканирование ответов с указанным типом содержимого в большинстве браузеров, запрещая браузеру переопределять тип содержимого ответа.This header prevents most browsers from MIME-sniffing a response away from the declared content type, as the header instructs the browser not to override the response content type. Параметр nosniff означает, что, если сервер определяет содержимое как text/html, браузер будет обрабатывать его как text/html.With the nosniff option, if the server says the content is "text/html", the browser renders it as "text/html".

Измените файл nginx.conf.Edit the nginx.conf file:

sudo nano /etc/nginx/nginx.conf

Добавьте строку add_header X-Content-Type-Options "nosniff"; и сохраните файл, а затем перезапустите Nginx.Add the line add_header X-Content-Type-Options "nosniff"; and save the file, then restart Nginx.

Дополнительные ресурсыAdditional resources