Много вопросов про порты, Apache, nginx и доступ к админке

[daitepiva]

Здравствуйте.

В админке написано, что:
Текущая комплектация: apache2.4 php5.3 php5.6 php7.2 php7.3 php7.4 php8.0

Но в процессах есть nginxb, также он слушает порты 8000 и 8002, а Апач слушает стандартные порты 80 и 443:

Код: Выделить всё

$ netstat -lp -u -t -n|grep "httpd\|nginx"
tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN      536117/nginx: maste 
tcp        0      0 0.0.0.0:8002            0.0.0.0:*               LISTEN      536117/nginx: maste 
tcp6       0      0 :::443                  :::*                    LISTEN      3129126/httpd       
tcp6       0      0 :::80                   :::*                    LISTEN      3129126/httpd       

Ещё в админке указано, что "Порт Brainy 8002" и "Порт Brainy SSL 8000".

Правильно ли я подозреваю, что nginx обеспечивает работу с панелью управления, а Апач - клиентских сайтов?

Непонятно на какой порт надо заходить для доступа к админке. При попытке подключиться браузером к порту 8000 или 8002 по http или https получаю ошибку nginx-а "400 Bad Request", ошибку проверки сертификата или небезопасное соединение.

Админка нормально открывается по стандартным портам:
http://myhosting.tld/
https://myhosting.tld/

Если порты 8000 и 8002 не предназначены для подключения, то почему они открыты для всех и зачем тогда nginx, который их слушает? Если nginx - только бэкенд для Апача, то зачем открывать порты на всех айпишниках?


Возможно ли ограничить доступ к панели администратора (но не пользователей) по IP-адресам и по паролю через http-аутентификацию? Те ограничения, которые задаются в админке, блокируют всех.

А ещё относятся ли ограничения по IP-адресам, задаваемые в админке (Настройки сервера - Разрешенные IP), вообще ко всем пользователям или только для администратора?

А ещё вопрос про "Разрешенные IP для доступа по API к панели". Можно ли API вообще выключить? Мне он пока не нужен, а лишняя "дверь" не нужна. Убрать секцию про api в файле /usr/local/brainycp/src/compiled/nginxb/sites-available/brainy.conf?

В общем задача в данном случае: максимально обезопасить сервер отключив или зафильтровав всё что не требуется для работы.

Спасибо.

[alenka]

Здравствуйте.

В админке написано, что:
Текущая комплектация: apache2.4 php5.3 php5.6 php7.2 php7.3 php7.4 php8.0

Но в процессах есть nginxb, также он слушает порты 8000 и 8002, а Апач слушает стандартные порты 80 и 443:

Код: Выделить всё

$ netstat -lp -u -t -n|grep "httpd\|nginx"
tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN      536117/nginx: maste 
tcp        0      0 0.0.0.0:8002            0.0.0.0:*               LISTEN      536117/nginx: maste 
tcp6       0      0 :::443                  :::*                    LISTEN      3129126/httpd       
tcp6       0      0 :::80                   :::*                    LISTEN      3129126/httpd       

Ещё в админке указано, что "Порт Brainy 8002" и "Порт Brainy SSL 8000".

Правильно ли я подозреваю, что nginx обеспечивает работу с панелью управления, а Апач - клиентских сайтов?

Непонятно на какой порт надо заходить для доступа к админке. При попытке подключиться браузером к порту 8000 или 8002 по http или https получаю ошибку nginx-а "400 Bad Request", ошибку проверки сертификата или небезопасное соединение.

Админка нормально открывается по стандартным портам:
http://myhosting.tld/
https://myhosting.tld/

Если порты 8000 и 8002 не предназначены для подключения, то почему они открыты для всех и зачем тогда nginx, который их слушает? Если nginx - только бэкенд для Апача, то зачем открывать порты на всех айпишниках?


Возможно ли ограничить доступ к панели администратора (но не пользователей) по IP-адресам и по паролю через http-аутентификацию? Те ограничения, которые задаются в админке, блокируют всех.

А ещё относятся ли ограничения по IP-адресам, задаваемые в админке (Настройки сервера - Разрешенные IP), вообще ко всем пользователям или только для администратора?

А ещё вопрос про "Разрешенные IP для доступа по API к панели". Можно ли API вообще выключить? Мне он пока не нужен, а лишняя "дверь" не нужна. Убрать секцию про api в файле /usr/local/brainycp/src/compiled/nginxb/sites-available/brainy.conf?

В общем задача в данном случае: максимально обезопасить сервер отключив или зафильтровав всё что не требуется для работы.

Спасибо.

Панель использует демон nginxb, который слушает по умолчанию 8000 и 8002 порты.
В связке nginx или апач (в зависимости что у вас установлено) слушает 80,443,8080

Админка нормально открывается по стандартным портам:
http://myhosting.tld/
https://myhosting.tld/

В вашем случае апач проксирует на nginxb(который слушает 8000 и 8002)

А ещё относятся ли ограничения по IP-адресам, задаваемые в админке (Настройки сервера - Разрешенные IP), вообще ко всем пользователям или только для администратора?

Для всех пользователей.

[daitepiva]

Спасибо вам за ваши быстрые и чёткие ответы.

Панель использует демон nginxb, который слушает по умолчанию 8000 и 8002 порты.
В связке nginx или апач (в зависимости что у вас установлено) слушает 80,443,8080

Т.е. можно просто в файрволе запретить обращения на эти порты отовсюду, кроме 127.0.0.1 и публичных айпишников сервера?


И вопрос про отключение API остался без ответа. Если он не используется в обычной ситуации, то можно ли его выключить из соображений безопасности? И если можно, то как сделать это правильно.

[alenka]

И вопрос про отключение API остался без ответа. Если он не используется в обычной ситуации, то можно ли его выключить из соображений безопасности? И если можно, то как сделать это правильно.

По умолчанию доступ к api запрещен для всех, пока вы не разрешите.
Порты 8002 и 8000 не рекомендуем блокировать. Порты по умолчанию вы можете сменить.

[daitepiva]

Ясно. Спасибо.