diff --git a/docker-compose.yaml b/docker-compose.yaml index 57c6809..09eb779 100644 --- a/docker-compose.yaml +++ b/docker-compose.yaml @@ -55,7 +55,7 @@ services: - .env ports: - "${HTTP_OUTER_PORT}:${HTTP_INNER_PORT}" - - "${HTTPS_OUTER_PORT}:${HTTPS_INNER_PORT" + - "${HTTPS_OUTER_PORT}:${HTTPS_INNER_PORT}" depends_on: - api - db diff --git a/nginx/Dockerfile b/nginx/Dockerfile new file mode 100644 index 0000000..c7884ce --- /dev/null +++ b/nginx/Dockerfile @@ -0,0 +1,25 @@ +FROM nginx:latest + +# Устанавливаем Certbot и зависимости +RUN apt-get update && \ + apt-get install -y certbot python3-certbot-nginx cron && \ + apt-get clean && \ + rm -rf /var/lib/apt/lists/* + +# Удаляем дефолтный конфиг Nginx +RUN rm /etc/nginx/conf.d/default.conf + +# Копируем ваш Nginx-конфиг и скрипты +COPY yalarba.ru.conf /etc/nginx/conf.d/ +COPY startup.sh /usr/local/bin/ +COPY renew-certs.sh /usr/local/bin/ + +# Даем права на выполнение скриптов +RUN chmod +x /usr/local/bin/startup.sh /usr/local/bin/renew-certs.sh + +# Добавляем cron-задачу для обновления сертификатов +RUN echo "0 3 * * * /usr/local/bin/renew-certs.sh >> /var/log/cron.log 2>&1" > /etc/cron.d/certbot-renew +RUN chmod 0644 /etc/cron.d/certbot-renew + +# Запускаем cron и Nginx при старте +CMD ["/usr/local/bin/startup.sh"] diff --git a/nginx/nginx.conf b/nginx/nginx.conf new file mode 100644 index 0000000..0af598a --- /dev/null +++ b/nginx/nginx.conf @@ -0,0 +1,57 @@ +# HTTP — редирект на HTTPS +server { + listen 80; + listen [::]:80; + server_name yalarb.ru www.yalarb.ru; + + # Перенаправление всех HTTP-запросов на HTTPS + return 301 https://$server_name$request_uri; +} + +# HTTPS — основной сервер +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + server_name yalarba.ru www.yalarba.ru; + + # Пути к SSL-сертификату (например, от Let's Encrypt) + ssl_certificate /etc/letsencrypt/live/yalarba.ru/fullchain.pem; + ssl_certificate_key /etc/letsencrypt/live/yalarba.ru/privkey.pem; + + # Настройки SSL + ssl_protocols TLSv1.2 TLSv1.3; + ssl_prefer_server_ciphers on; + ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'; + ssl_session_timeout 1d; + ssl_session_cache shared:SSL:50m; + ssl_stapling on; + ssl_stapling_verify on; + + # Корневая директория сайта + root /var/www/yalarba.ru/html; + index index.html index.htm index.nginx-debian.html; + + # Дополнительные заголовки безопасности + add_header X-Frame-Options "SAMEORIGIN"; + add_header X-Content-Type-Options "nosniff"; + add_header X-XSS-Protection "1; mode=block"; + add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; + + # Обработка статических файлов + location / { + try_files $uri $uri/ =404; + } + + # Запрет доступа к скрытым файлам (например, .htaccess) + location ~ /\. { + deny all; + access_log off; + log_not_found off; + } + + # Настройки для PHP (если используется) + # location ~ \.php$ { + # include snippets/fastcgi-php.conf; + # fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; + # } +} diff --git a/nginx/renew-certs.sh b/nginx/renew-certs.sh new file mode 100644 index 0000000..aeedb58 --- /dev/null +++ b/nginx/renew-certs.sh @@ -0,0 +1,4 @@ +#!/bin/bash + +# Обновляем сертификаты +certbot renew --quiet --post-hook "nginx -s reload" diff --git a/nginx/startup.sh b/nginx/startup.sh new file mode 100644 index 0000000..7022c7d --- /dev/null +++ b/nginx/startup.sh @@ -0,0 +1,16 @@ +#!/bin/bash + +# Запускаем cron +service cron start + +# Получаем сертификаты (если их нет) +if [ ! -f "/etc/letsencrypt/live/your_domain.com/fullchain.pem" ]; then + certbot --nginx --non-interactive --agree-tos --email valitovgaziz@yandex.ru \ + -d yalarba.ru -d www.yalarba.ru +fi + +# Перезапускаем Nginx для применения изменений +nginx -s reload + +# Запускаем Nginx в foreground +nginx -g "daemon off;" diff --git a/spa/Dockerfile b/spa/Dockerfile index be5e572..871dcc9 100644 --- a/spa/Dockerfile +++ b/spa/Dockerfile @@ -5,7 +5,4 @@ FROM nginx:alpine COPY index.html /usr/share/nginx/html/ # (Опционально) Можно заменить конфиг Nginx -# COPY nginx/nginx.conf /etc/nginx/conf.d/default.conf - -# Порт, который будет слушать Nginx -EXPOSE 80 \ No newline at end of file +COPY nginx/nginx.conf /etc/nginx/conf.d/default.conf diff --git a/spa/nginx/nginx.conf b/spa/nginx/nginx.conf new file mode 100644 index 0000000..0af598a --- /dev/null +++ b/spa/nginx/nginx.conf @@ -0,0 +1,57 @@ +# HTTP — редирект на HTTPS +server { + listen 80; + listen [::]:80; + server_name yalarb.ru www.yalarb.ru; + + # Перенаправление всех HTTP-запросов на HTTPS + return 301 https://$server_name$request_uri; +} + +# HTTPS — основной сервер +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + server_name yalarba.ru www.yalarba.ru; + + # Пути к SSL-сертификату (например, от Let's Encrypt) + ssl_certificate /etc/letsencrypt/live/yalarba.ru/fullchain.pem; + ssl_certificate_key /etc/letsencrypt/live/yalarba.ru/privkey.pem; + + # Настройки SSL + ssl_protocols TLSv1.2 TLSv1.3; + ssl_prefer_server_ciphers on; + ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'; + ssl_session_timeout 1d; + ssl_session_cache shared:SSL:50m; + ssl_stapling on; + ssl_stapling_verify on; + + # Корневая директория сайта + root /var/www/yalarba.ru/html; + index index.html index.htm index.nginx-debian.html; + + # Дополнительные заголовки безопасности + add_header X-Frame-Options "SAMEORIGIN"; + add_header X-Content-Type-Options "nosniff"; + add_header X-XSS-Protection "1; mode=block"; + add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; + + # Обработка статических файлов + location / { + try_files $uri $uri/ =404; + } + + # Запрет доступа к скрытым файлам (например, .htaccess) + location ~ /\. { + deny all; + access_log off; + log_not_found off; + } + + # Настройки для PHP (если используется) + # location ~ \.php$ { + # include snippets/fastcgi-php.conf; + # fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; + # } +}