Tengo un servidor Nginx y deshabilité los archivos ocultos en el nginx_vhost.conf
## Disable .htaccess and other hidden files
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
Pero LetsEncrypt necesita acceso al .well-knowndirectorio.
¿Cómo permito el .well-knowndirectorio y niego los otros archivos ocultos?
Respuestas:
Las otras soluciones no me ayudaron.
Mi solución es incluir una expresión regular negativa para .well-known. Su bloque de código debería verse así entonces:
## Disable .htaccess and other hidden files
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
Bloqueará todos los archivos de puntos, excepto los que comienzan con .well-known
PD: También agregaría return 404;al bloque.
location ~* /\.(?!well-known\/) {como se ve en github.com/h5bp/server-configs-nginx/blob/master/h5bp/location/… idéntico a esto location ~ /\.(?!well-known).* { ?
/\.(?!well-known\/)no es tan expresivo como mi expresión regular (porque bloqueo todos los archivos de puntos excepto los conocidos por definición). Quizás lo mejor sería una combinación como la location ~ /\.(?!well-known\/).*que desbloquea solo el directorio conocido en lugar de un teórico .well-known-blabla. Pero creo que no hay peligro real en no bloquear un archivo teórico .well-conocido-blabla.
Nginx aplica ubicaciones con expresiones regulares en el orden de su aparición en el archivo de configuración.
Por lo tanto, agregar una entrada como esta justo antes de su ubicación actual le ayudará.
location ~ /\.well-known {
allow all;
}
location ~ /\.well-known {. De cualquier manera, esta debería ser la respuesta aceptada.
He proporcionado un tutorial completo paso a paso sobre cómo usar Let's Encrypt with NGINX en mi sitio web.
Las partes clave son:
No necesita oyentes en su bloque https en absoluto, todo se hace en https. Esto es solo para probar que controlas el dominio, no sirve nada privado o secreto.
# Answer let's encrypt requests, but forward everything else to https
server {
listen 80;
server_name example.com www.example.com
access_log /var/log/nginx/access.log main;
# Let's Encrypt certificates with Acmetool
location /.well-known/acme-challenge/ {
alias /var/www/.well-known/acme-challenge/;
}
location / {
return 301 https://www.example.com$request_uri;
}
}
Guía completa paso a paso vinculada anteriormente.
Agregue esto (antes o después):
location ^~ /.well-known/ {
log_not_found off;
}
Puede agregar esto también en la parte inferior, porque el ^~modificador de coincidencia tiene prioridad sobre las expresiones regulares. Ver los documentos .
Si tiene muchos archivos de configuración y ya contienen una denegación en .htaccess como
location ~ /\.ht { deny all; }
luego, en lugar de ignorar todos los archivos de puntos , simplemente puede agregar un segundo ignorar para .git con
sed -i '/location ~ \/\\.ht { deny all; }/a \ location ~ \/\\.git { deny all; }' /etc/nginx/*
.htaccessarchivos. Tiene archivos de configuración, pero no se llaman.htaccessni funcionan igual.