Nginx-PHPスクリプトでの基本的なhttp認証

Question

「cgi-bin」として機能するPHPスクリプトを追加しました。
構成：

location ~^/cgi-bin/.*\.(cgi|pl|py|rb) { gzip off; fastcgi_pass 127.0.0.1:9000; fastcgi_index cgi-bin.php; fastcgi_param SCRIPT_FILENAME /etc/nginx/cgi-bin.php; fastcgi_param SCRIPT_NAME /cgi-bin/cgi-bin.php; fastcgi_param X_SCRIPT_FILENAME /usr/lib/$fastcgi_script_name; fastcgi_param X_SCRIPT_NAME $fastcgi_script_name; fastcgi_param QUERY_STRING $query_string; fastcgi_param REQUEST_METHOD $request_method; fastcgi_param CONTENT_TYPE $content_type; fastcgi_param CONTENT_LENGTH $content_length; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param DOCUMENT_ROOT $document_root; fastcgi_param SERVER_PROTOCOL $server_protocol; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_PORT $remote_port; fastcgi_param SERVER_ADDR $server_addr; fastcgi_param SERVER_PORT $server_port; fastcgi_param SERVER_NAME $server_name; fastcgi_param REMOTE_USER $remote_user; }

PHPスクリプト：

<?php $descriptorspec = array( 0 => array("pipe", "r"), // stdin is a pipe that the child will read from 1 => array("pipe", "w"), // stdout is a pipe that the child will write to 2 => array("pipe", "w") // stderr is a file to write to ); $newenv = $_SERVER; $newenv["SCRIPT_FILENAME"] = $_SERVER["X_SCRIPT_FILENAME"]; $newenv["SCRIPT_NAME"] = $_SERVER["X_SCRIPT_NAME"]; if (is_executable($_SERVER["X_SCRIPT_FILENAME"])) { $process = proc_open($_SERVER["X_SCRIPT_FILENAME"], $descriptorspec, $pipes, NULL, $newenv); if (is_resource($process)) { fclose($pipes[0]); $head = fgets($pipes[1]); while (strcmp($head, "
")) { header($head); $head = fgets($pipes[1]); } fpassthru($pipes[1]); fclose($pipes[1]); fclose($pipes[2]); $return_value = proc_close($process); } else { header("Status: 500 Internal Server Error"); echo("Internal Server Error"); } } else { header("Status: 404 Page Not Found"); echo("Page Not Found"); } ?>

その考えの問題は、基本認証を追加できないことです。
有効にするとすぐにlocation ~/cgi-bin検索しようとすると、404エラーが表示されます。

どうすればこれを解決できますか？

プロキシ経由で基本認証を追加する2番目のサーバーのみへのアクセスを制限することを考えましたが、もっと簡単な解決策があるはずです。

タイトルが悪いので申し訳ありませんが、これ以上良いタイトルは思いつきませんでした。

編集：私の解決策は、 WerkkreWs answer のおかげで、最終的には次のようになります。

cgi-bin.conf：

location ~^/.*\.(cgi|pl|p<|rb) { [...] }

vhost.conf：

server { [...] location ~^/cgi-bin { auth_basic "Restricted"; auth_basic_user_file htusers; include cgi-bin.conf; } [...] }

Cgi-bin.confが誤ってserver-tagに含まれる可能性があるため（これにより、すべてのクライアントがすべての場所でスクリプトを実行できるようになるため）、これは安全ではない可能性があります。

WerkkreW · Accepted Answer

あなたの質問はすでに答えられていると思いますここが、私は問題が何であると思うかを説明しようと思います。

まず第一に、余談ですが、すべてのfastcgiパラメーターを、使いやすさのためにnginxがアクセスできる構成ファイル（たとえば、/ etc/nginx/conf.d/fastcgi_params）に入れることを検討する必要があります。

2番目に、authとphpセクションの場所ブロックの設定方法によっては、保護された場所でphpファイルを2回処理する方法をnginxに指示するか、auth_basicディレクティブがたとえば、先に貼り付けたものと同じロケーションブロック（前述の投稿から取得）：

server { listen 80; server_name my-awesome-php.site; root /path/to/root; # Normal files (blank location is OK, just means serve from root) location / { } # PHP for normal stuff location ~ \.php$ { include fastcgi.conf; fastcgi_pass 127.0.0.1:9000; } # The protected location location /protected { auth_basic "Give me codes."; auth_basic_user_file /path/to/.htpasswd; location ~ \.php$ { include fastcgi.conf; fastcgi_pass 127.0.0.1:9000; } } }

私のnginxの個人的なインストールでは、php-fpmを使用しており、phpスクリプトはcgi-binに限定されていないため、私の構成はまったく異なりますが、追加の洞察が得られる可能性があります。以下の例では、仮想ホスト全体がフォルダだけでなく基本認証の下にありますが、私はあなたが期待しているように、基本認証が機能しています。

fastcgi_params

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param QUERY_STRING $query_string; fastcgi_param REQUEST_METHOD $request_method; fastcgi_param CONTENT_TYPE $content_type; fastcgi_param CONTENT_LENGTH $content_length; fastcgi_param SCRIPT_NAME $fastcgi_script_name; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param DOCUMENT_ROOT $document_root; fastcgi_param SERVER_PROTOCOL $server_protocol; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx/$nginx_version; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_PORT $remote_port; fastcgi_param SERVER_ADDR $server_addr; fastcgi_param SERVER_PORT $server_port; fastcgi_param SERVER_NAME $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param REDIRECT_STATUS 200;

サーバー/ホストベースの認証の例（関連のないセクションは削除されました）

server { server_name dev.foo.com; error_log /app/www/dev.foo.com/logs/error.log error; root /app/www/dev.foo.com/htdocs; index index.php index.html; auth_basic "Secret Files"; auth_basic_user_file /app/www/dev.foo.com/conf/htpasswd; location ~ \.php$ { include /etc/nginx/fastcgi_params; fastcgi_index index.php; fastcgi_split_path_info ^(.+\.php)(.*)$; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_pass unix:/var/run/foo.com.sock; } location ~ /\.ht { deny all; } }

ロケーションベースの認証の例（関連のないセクションは削除されました）

server { server_name foo.com; error_log /app/www/foo.com/logs/error.log error; root /app/www/foo.com/htdocs; index index.php index.html; location /protected { auth_basic "Secret Files"; auth_basic_user_file /app/www/foo.com/conf/htpasswd; location ~ \.php$ { include /etc/nginx/fastcgi_params; fastcgi_index index.php; fastcgi_split_path_info ^(.+\.php)(.*)$; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_pass unix:/var/run/foo.com.sock; } } location ~ \.php$ { include /etc/nginx/fastcgi_params; fastcgi_index index.php; fastcgi_split_path_info ^(.+\.php)(.*)$; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_pass unix:/var/run/foo.com.sock; } location ~ /\.ht { deny all; } }