[pyar] [Semi-OT] SSL Offloading

Nahuel Defossé nahuel.defosse en gmail.com
Sab Ago 30 14:15:07 ART 2014


Hola Luis,

IMHO no expondría PHPMyAdmin al exterior. Te recomendaría que accedas
mediante un túnel SSH (ssh -L) o proxy dinámico (ssh -D) y que utilices un
cliente local.
Si tu aplicación no soporta proxy socks, podes usar proxychains que hace
que cualquier aplicación que no soporta socks pueda utilizar tu conexión
encriptada. Es muy fácil (ej: proxychains curl, proxychains mysqlworkbench,
etc).


Saludos!


El 22 de agosto de 2014, 20:51, Luis Masuelli <luismasuelli en hotmail.com>
escribió:

> Estoy puteando con unas configuraciones de nginx desde hace un rato.
>
> El tema es el siguiente: en este nginx van a convivir varias aplicaciones.
> Algunas son en PHP (son drupals que me dan ganas de cortarme las bolas),
> otras son en JAVA (son tomcats, aunque capaz que ahora que no tengo mas el
> jira "gharrrrrr!" ni el confluence tambien "gharrrrrrrr!" lo puedo fletar),
> y otras van a ser (todavia no, lastima) en Python/Django.
>
> Por motivos de hacerlo similar a un entorno productivo, y por el hecho de
> que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que
> es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense
> cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar
> incendios pero no que nos rompan la bd unos boludos (escenario bastante
> cercano considerando que nos hackearon unos wordpress hace poco).
>
> Entonces tenemos que exponer por SSL esas aplicaciones. Yo pensaba:
>
> 1. Nginx captura todas las http que recibe, y las redirige a https (ojo,
> digo redirect, no proxy_pass).
> 2. Expongo el trac atraves de https en nginx (proyecto1.trac.tebusco.lan
> para la red interna -- en planes de poner un dominio posta para exponer
> todo hacia afuera).
> 3. Expongo aplicaciones PHP atraves de https.
> 4. Expondre aplicaciones Python atraves de https.
>
> De lo que no me salvo ni en joda, es de tener que hacer salir varias cosas
> por el 80 y diferentes nombres. Por lo que un proxy necesito.
>
> El proxy estara exponiendo aplicaciones que estan en la misma computadora.
>
> Que desventajas tiene esto del SSL termination? A nivel de seguridad digo,
> considerando que todo esto ocurre en la misma maquina.
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140830/53204c1b/attachment.html>


More information about the pyar mailing list