Tôi có máy chủ Nginx và các tệp ẩn bị vô hiệu hóa trong nginx_vhost.conf
## Disable .htaccess and other hidden files
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
Nhưng LetsEncrypt cần truy cập vào .well-knownthư mục.
Làm cách nào để cho phép .well-knownthư mục và từ chối các tệp ẩn khác?
Câu trả lời:
Các giải pháp khác không giúp tôi.
Giải pháp của tôi là bao gồm một regex tiêu cực cho .well-known. Khối mã của bạn sẽ trông như thế này sau đó:
## Disable .htaccess and other hidden files
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
Nó sẽ chặn mọi tệp chấm trừ những tệp bắt đầu bằng .well-known
PS: Tôi cũng sẽ thêm return 404;vào khối.
location ~* /\.(?!well-known\/) {như đã thấy tại github.com/h5bp/server-configs-nginx/blob/master/h5bp/location/ không đồng nhất với điều này location ~ /\.(?!well-known).* { ?
/\.(?!well-known\/)không biểu cảm như regex của tôi (vì tôi chặn tất cả các tệp chấm trừ định nghĩa nổi tiếng). Có lẽ tốt nhất sẽ là một sự kết hợp giống như location ~ /\.(?!well-known\/).*chỉ mở khóa thư mục nổi tiếng thay vì cũng là một lý thuyết .well-known-blabla. Nhưng tôi nghĩ không có mối nguy hiểm thực sự nào trong việc không chặn một tập tin lý thuyết .well-know-blabla.
Nginx áp dụng các vị trí có biểu thức chính quy theo thứ tự xuất hiện trong tệp cấu hình.
Do đó, thêm một mục như thế này ngay trước vị trí hiện tại của bạn, nó sẽ giúp bạn.
location ~ /\.well-known {
allow all;
}
location ~ /\.well-known {. Dù bằng cách nào, đây sẽ là câu trả lời được chấp nhận.
Tôi đã cung cấp hướng dẫn từng bước đầy đủ về cách sử dụng Let Encrypt với NGINX trên trang web của tôi.
Các phần chính là:
Bạn hoàn toàn không cần người nghe trong khối https của mình, tất cả đều được thực hiện trên https. Điều này chỉ để chứng minh bạn kiểm soát tên miền, nó không phục vụ bất cứ điều gì riêng tư hoặc bí mật.
# Answer let's encrypt requests, but forward everything else to https
server {
listen 80;
server_name example.com www.example.com
access_log /var/log/nginx/access.log main;
# Let's Encrypt certificates with Acmetool
location /.well-known/acme-challenge/ {
alias /var/www/.well-known/acme-challenge/;
}
location / {
return 301 https://www.example.com$request_uri;
}
}
Hướng dẫn từng bước đầy đủ liên kết ở trên.
Thêm cái này (trước hoặc sau):
location ^~ /.well-known/ {
log_not_found off;
}
Bạn cũng có thể thêm phần này ở dưới cùng, bởi vì công cụ ^~sửa đổi phù hợp được ưu tiên hơn các biểu thức thông thường. Xem các tài liệu .
Nếu bạn có nhiều tệp cấu hình và chúng đã chứa từ chối trên .htaccess như
location ~ /\.ht { deny all; }
sau đó thay vì bỏ qua tất cả các tệp dấu chấm , bạn chỉ cần thêm một lần bỏ qua thứ hai cho .git với
sed -i '/location ~ \/\\.ht { deny all; }/a \ location ~ \/\\.git { deny all; }' /etc/nginx/*
.htaccesstệp. Nó có tập tin configuraiton nhưng chúng không được gọi.htaccess, cũng không hoạt động giống nhau.