LINUX.ORG.RU

Релиз nginx 1.20

 


1

0

Новый релиз получил сразу несколько заметных улучшений:

  • поддержка OCSP (Online Certificate Status Protocol). Это новый протокол для отзыва X.509 (TLS). Использует нотацию ASN.1 поверх HTTP вроде такой:
      FooAnswer ::= SEQUENCE {
            questionNumber INTEGER,
            answer         BOOLEAN
        }
    
  • новый модуль ngx_stream_set_module. модуль нужен для того, чтобы можно было определять переменные в конфигах. Наконец, доступен полноценный механизм if ($var) ... else ... .
  • опция позволяет определить в командной строке лог файл для ошибок.
  • опция запрета устанавливать шифрованные сообщения вообще - ssl_reject_handshake. Основное применение - добавить в описание default server и блокировать коннекты без явного хоста.
  • в почтовый прокси добавлена опция proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
  • опция с кучей параметров proxy_cache_path получила еще один «min_free». Специальный процесс cache manager мониторит свободное место и, если оно заканчивается, начинает вытеснять кеш. Опять же по заданным параметрам.
  • убрали часть специфичных опций для HTTP/2 в пользу уже существовавших для HTTP/1. Они будут общие для обоих протоколов.
  • добавлена опция proxy_cookie_flags для защиты от CSS (cross-site scripting). позволяет добавлять определенные HTTP хедеры для проксируемых соединений. Насколько может судить автор новости, раньше мы просто писали
                   add_header 'Access-Control-Allow-Origin' '*';
                   add_header 'Access-Control-Allow-Methods' blablabla
    

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от demidrol

без понятия. я сделал del рамблеру, забанив его через DNS еще до того, как это стало мейнстримом. а nginx 1.20 сегодня собрал из портов вместе с geo модулем. хочу GEO CDN для персонального сайта.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)

Насколько может судить автор новости, раньше мы просто писали
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' blablabla

Это для добавления в куки отдаваемых проксируемым сервером, опций «secure, httponly, samesite=strict, samesite=lax, samesite=none». Раньше для этого надо было переписывать весь блок кук или вычленять отдельные куки или прописывать куки вручную. Теперь можно менять отданные куки налету и выбирать нужные регуляркой.

Подробнее: http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_flags

chaos_dremel ★★ ()
Последнее исправление: chaos_dremel (всего исправлений: 2)

Ещё добавили ssl_conf_command и proxy_ssl_conf_command, для задания опций ssl напрямую. И если первый параметр довольно редко будет использоваться, так как параметры ssl для сервера можно настроить своими переменными (не все, но многие), то вот опция для прокси это прям огонь, потому как шифры и т.п. там настроить вообще некак иначе.

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_conf_command

chaos_dremel ★★ ()
Последнее исправление: chaos_dremel (всего исправлений: 1)
Ответ на: комментарий от chaos_dremel

ну может быть. я вроде по-моему обошелся просто понижением версий для совместимости. вот хочу посмотреть, есть ли поддержка шифрования через другие библиотеки. libressl они добавили или нет.

crypt ★★★★★ ()

новость подтвердили, идите туда

Ага, я видел. Поставлю тоже на днях, погоняю. День какой-то сегодня нелегкий, уже не до обсуждений, голова ватная. Лучше фильм пойду посмотрю :) Всем хорошего вечера! Даже Шаману!))

Stack77 ()
Последнее исправление: Stack77 (всего исправлений: 1)

я смотрю, что geoip модуль в 2019 году сменил формат с .dat на .mmdb, пираты новых версий не выложили, а nginx поддержку старого формата дропнул:(

crypt ★★★★★ ()
Ответ на: комментарий от Novec1230

Сабж не совсем ВЕБ сервер (хотя смотря как это понимать) я его бы назвал больше проксей веб сервер но для полноценого веб сервера он не дорос и судя по другому проекту, уже не дорастет. А прокси статики уже перерос … так что хз.

С учетом выпиливания из браузеров ФТП нужен более легкий нттп сервер чем сабж.

mx__ ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

(попробую попроще ВАМ ответить)

Скажем так полно сайтов работающих на одном apache. Т.е. фрамеворк и апач и все (ДБ не в счет). Есть хоть один сайт работающий только на сабже ?

А fastCGI это уже не то … если вы знаете что такое CGI.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

А fastCGI это уже не то

Это как раз то. Это сервер приложений для php. Для других языков есть свои сервера приложений. CGI говно мамонта, ни один умный человек не будет это в 2021 году использовать, даже с apache.

eternal_sorrow ★★★★★ ()
Последнее исправление: eternal_sorrow (всего исправлений: 1)

поддержка OCSP (Online Certificate Status Protocol). Это новый протокол

Поддержка была уже как ssl_stapling давно, а сейчас

new features and bug fixes from the 1.19.x mainline branch — including OCSP validation of client SSL certificates
ssl_ocsp
This directive appeared in version 1.19.0.

Вообще суть этого релиза не передана. Просто повысили номер. Нечетный - нестабильный. Четный - стабильный.

Changes with nginx 1.20.0                                        20 Apr 2021
    *) 1.20.x stable branch.

Changes with nginx 1.19.10                                       13 Apr 2021
    *) Change: the default value of the "keepalive_requests" directive was
       changed to 1000.
    *) Feature: the "keepalive_time" directive.
    *) Feature: the $connection_time variable.
    *) Workaround: "gzip filter failed to use preallocated memory" alerts
       appeared in logs when using zlib-ng.

Changes with nginx 1.19.9                                        30 Mar 2021
    *) Bugfix: nginx could not be built with the mail proxy module, but
       without the ngx_mail_ssl_module; the bug had appeared in 1.19.8.
-----------
boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 4)
Ответ на: комментарий от mx__

php-fpm это сервер приложений. FastCGI это протокол, который он использует. поскольку только php-fpm использует этот протокол, то по сути это одна и за же сущность

eternal_sorrow ★★★★★ ()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Ладно давай зайдем с другой строны php-fpm кто написал ? Как вы к примеру на сабже будете выполнять perl ? Опять же зачем авторам сабжа пилить сервер приложений, в котором вроде тоже есть поддержка php ?

Может ли считаться полноценным браузер исользующий для js не свой движок ?

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Есть ли в Apache встроенный сервер приложений для python? Ruby? JS? GO?

Или мы всё таки будем разделять сущности - вебсервер и сервер приложений. Если нам нужно отдавать только статический контент, то достаточно только вебсервера, а если у наст есть так же динамический контент, то сервер приложений необходим. И нет ровно никакой проблемы если этот сервер приложений будет сторонним по отношению к вебсерверу, потому что поддержку всех возможных языков и фреймворков в вебсервер запилить невозможно и не нужно.

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от boowai

да не, я заглядывал в changelog. понятно, что 1.20 включает в стабильный релиз фишки 1.19.x ветки. нужно было их все перечислить? да я как-то не особо придал значение the default value of the «keepalive_requests» directive was changed to 1000.

crypt ★★★★★ ()