[pyar] [Semi-OT] SSL Offloading

Wuelfhis Asuaje wasuaje en hotmail.com
Lun Ago 25 14:41:37 ART 2014




> Message: 6
> Date: Sat, 23 Aug 2014 01:51:02 +0200
> From: Luis Masuelli <luismasuelli en hotmail.com>
> To: "pyar en python.org.ar" <pyar en python.org.ar>
> Subject: [pyar] [Semi-OT] SSL Offloading
> Message-ID: <BAY174-W1507145B463390FDEFAF77CAD00 en phx.gbl>
> Content-Type: text/plain; charset="iso-8859-1"
> 
> Estoy puteando con unas configuraciones de nginx desde hace un rato.
> 
> El tema es el siguiente: en este nginx van a convivir varias aplicaciones. Algunas son en PHP (son drupals que me dan ganas de cortarme las bolas), otras son en JAVA (son tomcats, aunque capaz que ahora que no tengo mas el jira "gharrrrrr!" ni el confluence tambien "gharrrrrrrr!" lo puedo fletar), y otras van a ser (todavia no, lastima) en Python/Django.

Hasta ahora no hay problema nginx puede con eso

> Por motivos de hacerlo similar a un entorno productivo, y por el hecho de que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar incendios pero no que nos rompan la bd unos boludos (escenario bastante cercano considerando que nos hackearon unos wordpress hace poco).

Siempre vas a exponer por ssl el frontend, si es tan importante el tema de seguridad, yo crearia varios "sites-availables" en nginx, cada uno con certificados ssl cliente-servidor (vas a entregar el cliente.p12 a cada administrador) de manera que solo gente con certificado pueda llegar a "apagar los incendios como dices

> Entonces tenemos que exponer por SSL esas aplicaciones. Yo pensaba:
> 
> 1. Nginx captura todas las http que recibe, y las redirige a https (ojo, digo redirect, no proxy_pass).
> 2. Expongo el trac atraves de https en nginx (proyecto1.trac.tebusco.lan para la red interna -- en planes de poner un dominio posta para exponer todo hacia afuera). 
> 3. Expongo aplicaciones PHP atraves de https.
> 4. Expondre aplicaciones Python atraves de https.
> 
> De lo que no me salvo ni en joda, es de tener que hacer salir varias cosas por el 80 y diferentes nombres. Por lo que un proxy necesito.

Aqui cero rollos todo escucha en puerto 80

app1.mynginx.com:80   -> proxy pass a 999.999.999:puerto_alto
app2.mynginx.com:80   -> proxy pass a 999.999.999:puerto_alto
app3.mynginx.com:80   -> proxy pass a 999.999.999:puerto_alto
appn.mynginx.com:80   -> proxy pass a 999.999.999:puerto_alto

> El proxy estara exponiendo aplicaciones que estan en la misma computadora.
> 

Esto no es ningun problema apuntale a la ip o al domainname

> Que desventajas tiene esto del SSL termination? A nivel de seguridad digo, considerando que todo esto ocurre en la misma maquina.
>  		 	   		  
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140823/d1b961ee/attachment-0001.html>
> 
> ------------------------------
> 
> Message: 7
> Date: Sat, 23 Aug 2014 02:28:17 -0300
> From: "Ezequiel Brizuela [aka EHB or qlixed]" <qlixed en gmail.com>
> To: Python Argentina <pyar en python.org.ar>
> Subject: Re: [pyar] archivo corrupto al grabarlo.
> Message-ID:
> 	<CABDUVOrg2eQDo6bKLhn9Ya_uDYPOs3nh1YrC2OF5Fa6irJq3YA en mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
> 
> fi = open(self.file_name, "wb")
> hashorig=hashlib.sha1sum(json.dumps (self.options))
> fi.write(json.dumps(self.options))
> fi.flush ()
> fi.close()
> 
> #check data on disk:
> fi = open(self.file_name, "r")
> hash2check=hashlib.sha1sum (fi.read ())
> If hashorig.digest () == hash2check.digest ()
>   print 'Wrong!'
> fi.close()
> 
> My2cents
> El ago 21, 2014 5:14 PM, "Javier Marcon" <javiermarcon en gmail.com> escribió:
> 
> > Hola, En una aplicación que corre constantemente en un Windows 2003,
> > grabo en forma periódica un json con el siguiente código:
> >
> > fi = open(self.file_name, "w")
> > fi.write(json.dumps(self.options))
> > fi.close()
> >
> > El tema es que de vez en cuando de forma aleatoria, en lugar de grabarse
> > el json qcomo corresponde, se graba el archivo todo lleno de caracteres
> > 00 (hexadecimal) y pierdo la información del archivo. Ahora le puse un
> > fi.flush() antes del close, pero quiero prevenir que no pase de nuevo.
> >
> > Lo que quiero saber es por que pasa y como prevenirlo.
> >
> > Gracias,
> >
> > Javier.
> >
> > --
> > Anyone can lose his mind after marrying a beautiful dancer.
> >                -Jay Orbin.
> >
> > _______________________________________________
> > pyar mailing list pyar en python.org.ar
> > http://listas.python.org.ar/listinfo/pyar
> >
> > PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
> >
> > La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> > Argentina - http://www.usla.org.ar
> >
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140823/8b5c4b47/attachment.html>
> 
> ------------------------------
> 
> Subject: Pié de página del digest
> 
> _______________________________________________
> pyar mailing list
> pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
> 
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
> 
> 
> ------------------------------
> 
> Fin de Resumen de pyar, Vol 54, Envío 74
> ****************************************
 		 	   		  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140825/91336e9b/attachment.html>


More information about the pyar mailing list