关于Nginx和443端口不得不说的故事

今天用RPM包安装nginx

nginx -V

可以看见SSL模块已经正常安装,配置的时候马大哈了,配置了这样的东西

server {
listen 443;

重启nginx,443端口起来了,没报错,但是https://IP 怎么也访问不了;但是http://IP:443
就可以访问,想了半天,后来检查发现应该配置为如下

server {
listen 443 ssl;

放这里给大家乐呵乐呵!

nginx 1.18.0 使用RPM安装的支持网站

有台机器是CentOS7,因为我比较懒,所以采用RPM包形式安装,用的都挺好,就是需要安装插件的时候要选用不同的MOD包,好在nginx官方提供了基本的mod包

http://nginx.org/packages/rhel/7/x86_64/RPMS/

不过远远不够,比如nginx-module-fancyindex,现在下载需要paypal支付,在这里我提供一个网站,趁现在可以下,大家可以先存着

https://www.hpc.jcu.edu.au/repos/jcu_eresearch/centos-7/x86_64/

Confluence 从7.3.1 升级到 7.3.4

Confluence 从7.3.1 升级到 7.3.4,升级过程很顺利

这次主要是想看看7.3这个版本是不是已经不用修改
atlassian-universal-plugin-manager-plugin-*.jar 文件

目前测试结果是:
7.3 版本只需要修改atlassian-extras-decoder-v2-3.4.1.jar文件
插件也可以跟随主程序注册完成,我新安装了一个原来没有安装过的插件
better content archiving
仅申请了测试key,输入后,如下图显示和主程序一样的注册信息

Apache Tomcat 文件包含漏洞不会影响 Confluence 7.3.2

2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

解决方案

将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复

禁用AJP协议

编辑 /conf/server.xml,找到如下行:

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
  • 配置secret来设置AJP协议的认证凭证。

例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

回到Confluence :

2月23日,Confluence更新版本是7.3.2,我们可以在/opt/atlassian/confluence/bin目录下,执行 ./version.sh

Server startup logs are located in /opt/atlassian/confluence/logs/catalina.out

Using Java: /opt/atlassian/confluence/jre//bin/java

2020-02-28 18:45:56,953 INFO [main] [atlassian.confluence.bootstrap.SynchronyProxyWatchdog] A Context element for ${confluence.context.path}/synchrony-proxy is found in /opt/atlassian/confluence/conf/server.xml. No further action is required

Using CATALINA_BASE: /opt/atlassian/confluence
Using CATALINA_HOME: /opt/atlassian/confluence
Using CATALINA_TMPDIR: /opt/atlassian/confluence/temp
Using JRE_HOME: /opt/atlassian/confluence/jre/
Using CLASSPATH: /opt/atlassian/confluence/bin/bootstrap.jar:/opt/atlassian/confluence/bin/tomcat-juli.jar
Using CATALINA_PID: /opt/atlassian/confluence/work/catalina.pid

NOTE: Picked up

JDK_JAVA_OPTIONS: –add-opens=java.base/java.lang=ALL-UNNAMED –add-opens=java.base/java.io=ALL-UNNAMED –add-opens=java.rmi/sun.rmi.transport=ALL-UNNAMED

Server version: Apache Tomcat/9.0.27
Server built: Oct 7 2019 09:57:22 UTC
Server number: 9.0.27.0
OS Name: Linux
OS Version: 2.6.32-573.el6.x86_64
Architecture: amd64
JVM Version: 11.0.5+10
JVM Vendor: AdoptOpenJDK

可以看到7.3.2自带的tomcat版本是9.0.27,是受影响的版本(9.0.31以前的版本),但检查server.xml,可以发现此文件已经被修改为不支持AJP协议,所以在atlassian升级tomcat版本之前,我们也不用过度担心这个问题。