Включить HTTP Строгий Транспортный Заголовок глобально в HAProxy
Я хочу включить заголовки HTTP Strict Transport Security (HSTS) глобально для всех моих бэкэндов в HAProxy v1.5.
Следуя инструкциям из https://www.haproxy.com/blog/haproxy-and-http-strict-transport-security-hsts-header-in-http-redirects/ я могу добавить следующую строку в файл конфигурации бэкенда и это работает как ожидалось.
http-response set-header Strict-Transport-Security max-age=16000000;\
includeSubDomains;\ preload;
У меня есть дюжина бэкэнд-файлов и, скорее всего, в будущем их будет больше. Я хотел бы установить это в одном месте.
Я хотел бы что-то похожее на глобальную настройку в Apache httpd.conf:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
2 ответа
haproxy не имеет иерархической конфигурации, как у Apache. Я не думаю, что это возможно.
Теперь HAPROXY поддерживает HSTS для этого, я следовал ниже шагов
Вот мой файл cfg
Шаг # 1 Добавьте статический шифр (НЕ ОБЯЗАТЕЛЬНО Я ДЕЛАЮ ХОРОШУЮ ВИЛУ)
frontend http-in
bind 192.168.71.20:443 ssl crt /etc/ssl/private/domain.pem ca-file /etc/ssl/private/domain/domain.ca-bundle no-sslv3 force-tlsv12 no-tls-tickets ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA384:AES128-SHA256:AES128-SHA:AES256-SHA256:AES256-SHA:!MD5:!aNULL:!DH:!RC4
Шаг № 2 Создайте ACL для маркировки защищенных пакетов
# Distinguish between secure and insecure requests
acl secure dst_port eq 443
Защитите свой Cookie
# Mark all cookies as secure if sent over SSL
rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure
Наконец применить настройки HSTS
# Add the HSTS header with a 1 year max-age
rspadd Strict-Transport-Security:\ max-age=31536000 if secure
После этого перезапустите haproxy