Hallo Bernd, hallo zusammen, Am Montag, 15. April 2024, 15:41:56 MESZ schrieb Bernd Lentes:
ich möchte einen reverse proxy aus Sicherheitsgründen vor eine selbst geschriebene Webapplikation setzen.
Definiere "aus Sicherheitsgründen" ;-) - was genau willst Du erreichen? Hintergrund meiner Frage: standardmäßig reicht ein reverse proxy alle https-Requests durch - sprich: dadurch wird es erstmal nicht sicherer. Einen eindeutigen Sicherheitsgewinn gibt es immerhin (unter der Annahme, dass die Webapp auf einem eigenen Server oder VM läuft): andere Ports sind nicht mehr von außen erreichbar. Das bekommst Du mit einer Firewall aber auch. Evtl. hilft es auch, wenn Du kurz erzählst, wie die Webapp derzeit in den Webserver eingebunden ist.
Die Webapp wird per https aufgerufen. Ich habe noch nie einen reverse proxy aufgesetzt. Welchen könnt Ihr empfehlen (und warum) ?
In der openSUSE-Infrastruktur läuft (fast) alles hinter einem haproxy, der die Requests dann auf die jeweils zuständige VM verteilt (meistens anhand der Domain, teilweise auch anhand der URL). Läuft zuverlässig. Die Konfiguration für *.opensuse.org ist natürlich "etwas" komplexer, aber für kleinere Setups ist die Konfiguration recht einfach. Ob ich haproxy jetzt empfehle? Ich könnte natürlich "ja" sagen (und ich wüsste nichts, was dagegen spricht) - aber ohne zu wissen, was Du erreichen willst, ist so eine pauschale Antwort begrenzt hilfreich. Für ein paar Webapps, die nur über einen Socket erreicht werden können, haben wir übrigens auf der jeweiligen VM nginx im Einsatz. (Und auch sonst meistens nginx als "normalen" Webserver, wenn es nicht gute Gründe für einen anderen gibt.) Gruß Christian Boltz -- Lass es mich so sagen: GUIs? Wir haben keine. Davon aber zwei. [Ratti in suse-linux]