Как ограничить доступ к /user на сервере с nginx в Drupal?

Question

[Rokis]

Здравствуйте.

Есть VPS сервер с nginx+php-fpm. На нём есть сайт на друпале. При определении location /user в его конфиге - отдаёт ошибку 404. Причём ошибка появляется независимо от того, что я в нём прописываю (хоть пустой).

Вот как я делаю:

location /user {
allow 111.111.11.11;
deny all;
include /etc/nginx/conf.d/php.conf; #тут подключаю php
}

Если пишу site.ru/user - отдаёт 404, если пишу site.ru/?q=user - открывается страница, но при авторизации отдаёт 404. Аналогичная ситуация и с блокировкой админки:

location /admin {
allow 111.111.11.11;
deny all;
include /etc/nginx/conf.d/php.conf; #тут подключаю php
}

На wordpress код работает. В чём особенность друпала в этом вопросе? Из-за чего такое может происходить? Подскажите пожалуйста.

Comments

[Андрей Михалёв]

покажи полный конфиг nginx. так сложно сказать почему у тебя файл не найден. Плюс посмотри логи nginx, там будет понятно какой файл он пытается найти и где.

[Rokis]

В логах нет никаких указаний на какой-либо файл. Вот пример того, что выводит:

2017/03/19 22:38:27 [error] 5100#5100: *5 open() "/var/www/mysite.ru/user" failed (2: No such file or directory), client: 11.111.111.111, server: mysite.ru, request: "GET /user HTTP/1.1", host: "mysite.ru"

Конфиг сайта:

server {
    listen 80;
    listen [::]:80;
    root /var/www/mysite.ru;
    server_name mysite.ru www.mysite.ru;

    location / {
        try_files $uri /index.php?$query_string;
}
 #location @rewrite {
   #     rewrite ^/(.*)$ /index.php?q=$1;
  #  }
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

  location ~ (^|/)\. {
     return 403;
   }

location ~ ^/sites/.*/private/ {
return 403;
}

location ~* ^/.well-known/ {
allow all;
}

location ~* \.(ttf|ttc|otf|eot|woff|woff2|font.css|css|js)$ {
    add_header Access-Control-Allow-Origin *;
}


location ~* ^.+\.(ogg|ogv|svg|svgz|eot|otf|woff|mp4|ttf|rss|atom|jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|doc|xls|exe|ppt|tar|mid|midi|wav|bmp|rtf|css|js)$ {
access_log off;
log_not_found off;
try_files $uri $uri/ /index.html;
expires max;
}

location = /favicon.ico {
log_not_found off;
access_log off;
}

location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~* \.(txt|log)$ {
include /etc/nginx/conf.d/wpip-block.conf; #здесь allow и deny
include /etc/nginx/conf.d/php.conf; #тут php
}
location /admin {
include /etc/nginx/conf.d/wpip-block.conf;
include /etc/nginx/conf.d/php.conf;
}
location /user {
include /etc/nginx/conf.d/wpip-block.conf;
include /etc/nginx/conf.d/php.conf;
}
location ~ \..*/.*\.php$ {
return 403;
}
location ~ /vendor/.*\.php$ {
deny all;
return 404;
}
}

А это nginx.conf

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
        worker_connections 1024;
        multi_accept on;
}

http {
        #limit_conn_zone $binary_remote_addr zone=slimits:5m;
        #limit_conn slimits 100;
        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;

        keepalive_timeout 30;
        keepalive_requests 100;

        send_timeout 2;
        types_hash_max_size 2048;
        server_tokens off;
        reset_timedout_connection on;

        client_header_buffer_size 1k;
        client_header_timeout 10;
        client_body_buffer_size 10K;
        client_body_timeout 10;
        client_max_body_size 8m;
        large_client_header_buffers 2 2k;
        index index.php index.html index.htm;

        server_names_hash_bucket_size 64;
        # server_name_in_redirect off;
include /etc/nginx/mime.types;
        default_type application/octet-stream;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;

        access_log  /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        gzip on;
        gzip_disable "msie6";
        gzip_static on;
        gzip_vary on;
        gzip_proxied any;
        gzip_comp_level 5;
        # gzip_buffers 16 8k;
        gzip_http_version 1.1;
        gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

        open_file_cache max=200000 inactive=20s;
        open_file_cache_valid 30s;
        open_file_cache_min_uses 2;
        open_file_cache_errors on;

        #include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

Answer 1

[Антон Янковский]

Всё потому что вы не понимаете как работает try_files и rewrite. Nginx пытается найти папку user в корне сайта. Её в друпале по умолчанию нет и об этом прям так и написано "2: No such file or directory". Других правил которые бы подходили или переписывали урл до /index.php?q=user в случаи "allow" нет, поэтому до запуска друпала дело не доходи. Достаточно сделать вот так и всё "заработает":

location /user  {
        allow 111.111.11.11;
        deny all;
        try_files $uri /index.php?$query_string;
}

"заработает" в кавычках потому что в приведенном вами "конфиге сайта" много всякого мусора и его использование чревато проблемами с безопасностью в том числе.

Comments

[Rokis]

Спасибо большое! Теперь мне всё стало понятно. Действительно, я не до конца понимаю как это работает, многие вещи делаю "Методом тыка", что не есть хорошо. Почитаю про try_files и rewrite в документации. Совсем недавно начал изучать nginx.

Согласен с Вами, что конфиг у меня далёк от идеала. Я сейчас переписываю его на https://github.com/perusio/drupal-with-nginx/blob/...

Подскажите пожалуйста, что по стандарту нужно ограничить в друпале, чтобы проблем с безопасностью не было? (независимо от проекта)