gelonida's questions

我有一个 uwsgi.ini 文件。它工作完美，但如果我添加strict=true它会失败并显示消息

[strict-mode] unknown config directive: inifile

然而这个词inifile在我的ini文件中根本不存在。

为了重现该错误，我创建了一个只有两行的 uwsgi.ini 文件。

[uwsgi]
strict=true

如果我运行uwsgi --ini uwsgi.ini 我会收到上述错误

如果我将 strict 设置为 false，我当然会收到有关缺少参数的错误。

即使我使用包含以下内容的 yaml 文件：

uwsgi:
    strict: true

我打电话给uwsgi -y uwsgi.yaml

我得到：

[uWSGI] getting YAML configuration from uwsgi.yaml
[strict-mode] unknown config directive: inifile

所以我认为 uwsgi 想告诉我一些不同的东西，但我不知道是什么。

我喜欢保留严格标志，以防止拼写错误或过时或仅存在于较新版本中的选项。如果我没有得到帮助来找到有问题的线路，就很难诊断。

我用 uwsgi 2.0.18 和 2.0.21 进行了测试

对于某些 url，我希望 nginx 返回一个“慢”404。

例子：

nginx 将回复/special_path/non_existing404，但仅在 5 秒后

nginx可以在没有/有插件的情况下做到这一点吗？

我有基本的 haproxy 知识，并且知道如何根据 SNI 服务器名称处理 tcp 后端的选择。

相关线路是

    acl is_myhost req.ssl_sni -i my.host.com
    acl is_otherhost req.ssl_sni -i other.host.com


    use_backend mybackend if is_myhost
    use_backend otherbackend if is_otherhost

现在我想将它们更改为允许我根据源 ip 选择后端的东西，但我不知道以下伪配置的确切语法或这是否可能

    acl is_myhost_for_specif req.ssl_sni -i my.host.com <and source ip = 1.2.3.4>
    acl is_myhost_for_others req.ssl_sni -i my.host.com <and source ip != 1.2.3.4>
    acl is_otherhost req.ssl_sni -i other.host.com


    use_backend mybackend1 if is_myhost_for_specific
    use_backend mybackend2 if is_myhost_for_others
    use_backend otherbackend if is_otherhost

我正在寻找一种设置，我想为除一个源 IP 之外的所有 IP 提供 SSL 客户端证书。

我的想法是设置

 ssl_verify_client optional;

并向位置添加详细的 if 语句。但是我不知道如何编写这样的 if 语句。

  # this requires ssl client certificates for all locations
  location / {
    if ($ssl_client_verify != "SUCCESS") { 
       return 403; 
    ...
  }

  # now what to write to require ssl certs except if source IP is e.g. 1.2.3.4
  location /two {
    if (?????) { 
       return 403; 
    ...
  }

编辑：附加信息

带有该值的开关ssl_verify_clientoptional告诉客户端，他们可以但不必发送客户端证书。

因此，通过检查变量$var_ssl_client_verify我可以查看是否提供了客户端证书并且是否有效（SUCCESS）。此规则应适用于没有给定源 IP 的所有客户端。对于一个特定的源 IP，我不想验证客户端证书。

我需要的是类似

    if ($ssl_client_verify != "SUCCESS" and source_ip != 1.2.3.4 ) { 
       return 403; 
    }

编辑 2：我将标题从更改为 setup nginx to require client certs for all but a given source IP ， setup nginx to require certain conditions of a location for all but a given source IP因为我真正苦苦挣扎的内容与客户端证书无关，而是结合 if 语句和有条件地对源 IP 地址进行过滤。

有什么方法可以创建自定义日志文件，允许查看在同一个保活会话中处理了哪些请求？

我想创建一些日志并估计创建新会话的频率以及在某些给定场景中保持活动会话的典型生存时间。

如果可能的话，我不想为此创建调试日志，而只需为每个请求的每个日志行多添加一项。

我有一个网站，许多不同的移动设备和嵌入式设备都可以访问该网站。

我经常遇到一些设备无法连接的问题。

原因可能是：

• 设备无法识别某个 CA
• 设备太旧，需要旧协议 TLS1.1
• 该设备需要一个过时的加密算法或只是一个加密算法，我没有提供给我的服务器配置文件。

由于设备位于远程位置，因此没有易于访问的日志我希望能够使用 nginx 日志分析此类问题。

我可以通过将错误日志日志级别提高到调试来做到这一点。

error_log  /var/log/nginx/errors_with_debug.log debug;

但是，此日志包含大量我不感兴趣的内容。

只有当 ssl 连接被拒绝但在所有其他情况下具有正常的错误日志级别时，是否有任何方法可以记录详细信息？

到目前为止，我启用了debug日志记录，要求他们的设备有问题的远程用户连接并记录跟踪，禁用调试级别，重新加载 nginx，然后分析获得的跟踪。

事实上，如果我可以记录由于 SSL 问题而无法连接的任何客户端的日期和 IP 地址，我已经得到了帮助。

理想情况下，我还想记录原因，但我知道，尝试连接但由于 SSL 失败将非常有帮助。

我经常遇到以下问题。

我有一个 nginx 服务器通过 https 在同一个 IP 和同一个端口上提供两个主机名。每个主机名都有自己的证书。

到目前为止，我正在做的是有两种配置：

server {
    listen              443 ssl;
    server_name         www.example1.com;
    ssl_certificate     www.example1.com.crt;
    ssl_certificate_key www.example1.com.key;
    ssl_protocols       ...;
    ssl_ciphers         ...;
    ...
}

和

server {
    listen              443 ssl;
    server_name         www.example2.com;
    ssl_certificate     www.example2.com.crt;
    ssl_certificate_key www.example2.com.key;
    ssl_protocols       ...;
    ssl_ciphers         ...;
    ...
}

仅在一个服务器块中完成此操作有什么技巧吗？

我问的原因是，两台服务器共享名称和证书完全相同的配置。

到目前为止我所做的是：

server {
    listen              443 ssl;
    server_name         www.example1.com;
    ssl_certificate     www.example1.com.crt;
    ssl_certificate_key www.example1.com.key;
    include /etc/nginx/common_config/example1_and_2/*;
}

server {
    listen              443 ssl;
    server_name         www.example2.com;
    ssl_certificate     www.example2.com.crt;
    ssl_certificate_key www.example2.com.key;
    include /etc/nginx/common_config/example1_and_2/*;
}

这可以改进吗？有一些标准的建议吗？如果这很好，是否至少有关于这种常见配置文件的路径的建议？