在 AWS ElasticBeanstalk 中阻止 Apache 中的无效 HTTP_HOST 标头

Question

我有几个运行 Django/Apache 的网站部署在 AWS ElasticBeanstalk 中。

我唯一的问题是我每天收到数百封关于这个主题的电子邮件：

[Django] ERROR (EXTERNAL IP): Invalid HTTP_HOST header: WHATEVER. You may need to add WHATEVER to ALLOWED_HOSTS.

那是因为我已经在我的 Django 配置中正确配置了 ALLOWED_HOSTS 变量，但我需要 Apache 阻止所有无效的 HTTP_HOST 标头，这样它们甚至不会到达 Django 并每天处理掉这数百封电子邮件。

我知道，这里和那里有很多关于如何在 Apache 中执行此操作的示例，但我还没有找到一个在 AWS ElasticBeanstalk 中部署时如何执行此操作的示例。

如果您不熟悉 AWS ElasticBeanstalk，请记住，该系统会自动创建一个 /etc/httpd/conf.d/wsgi.conf 文件，其中包含一些由 Amazon 进行的配置，并且 Amazon 可以（并且将）将来在我们的控制之外修改它们。

因此，当我们想向 Apache 添加一些配置时，例如提供重定向，首选方式是在我们的项目中提供一个 YAML 文件，该文件定义一个新的独立 Apache 配置文件，除了 @亚马逊自动创建的 987654326@ 文件，如下所示：

files:
    "/etc/httpd/conf.d/ssl_rewrite.conf":
        mode: "000644"
        owner: root
        group: root
        content: |
            RewriteEngine On
            <If "-n '%{HTTP:X-Forwarded-Proto}' && %{HTTP:X-Forwarded-Proto} != 'https'">
            RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
            </If>

这样做，一旦我们部署了我们的代码，一个/etc/httpd/conf.d/ssl_rewrite.conf文件也将被Apache创建和使用（我们没有编辑原始的wsgi.conf文件，我们只是在一个新文件中提供了更多的配置）。

这里有对这种模式的惊人解释：https://stackoverflow.com/a/38751648/1062587。

这些 YAML 配置文件可以创建 Apache 配置文件或将某些内容附加到现有文件中，但不能进行替换或修改。

但是，关于我的问题，原始的wsgi.conf 文件已经提供了这样的部分：

<VirtualHost *:80>
  [...]
  <Directory /opt/python/current/app/>
    Require all granted
  </Directory>
  [...]
</VirtualHost>

由于我想阻止所有无效的主机请求，我假设我需要将其更改为类似的内容（根据此答案：https://stackoverflow.com/a/43322857/1062587）：

<VirtualHost *:80>
  [...]
  <Directory /opt/python/current/app/>
    Require expr "%{HTTP_HOST} in {'whatever.com', 'www.whatever.com'}"
    Options
  </Directory>
  [...]
</VirtualHost>

我的问题是：YAML 文件无法进行编辑。我只能为他们提供新的配置。

所以，我不知道我是否可以在独立的 Apache 配置文件中提供一些配置来覆盖现有的 <VirtualHost> -> <Directory> 部分，所以我可以像 ElasticBeanstalk 理解的那样在 YAML 文件中定义所需的代码。

否则，我将不得不提供一个脚本来即时进行替换。我知道该怎么做，但我觉得它很难看。我只是问是否有更优雅的解决方案。

Answer 1

Apache 在决定基于名称的路由时会查看 Host HTTP 请求标头：https://httpd.apache.org/docs/2.4/vhosts/name-based.html

只有一个默认的虚拟主机服务于静态 404 页面，并且只有在指定了正确的Host HTTP 请求标头时才允许路由到 Django。

在 Django 中也有记录：https://docs.djangoproject.com/en/3.1/howto/deployment/checklist/#allowed-hosts

Answer 2

由于我没有找到任何使用 YAML 文件的更好方法，我正在使用 Python 脚本以我能想到的最不可知的方式修改原始 Apache wsgi.conf 文件（不管亚马逊将来是否修改它)。

我在这里分享它以防任何人发现它有用。使用这种方法，您不必在代码中的任何位置硬编码主机白名单。

1. 首先在.ebextensions/deploy.config中添加新命令

container_commands:
    01__apache_block_invalid_hosts:
        command: python .ebextensions/apache_block_invalid_hosts.py

请注意，如果您不打算随时更改 DJANGO_ALLOWED_HOSTS 环境变量（稍后解释）并且您了解其含义，则可以考虑添加 leader_only: true。

1. 在.ebextensions/apache_block_invalid_hosts.py中创建python脚本

from enum import Enum, auto
import os


NEW_AUTH_DIRECTIVE = """
  Require expr "%{{HTTP_HOST}} in {{{hosts}}}"
  Options
"""

class Step(Enum):
    BEFORE_AUTH = auto()
    INSIDE_AUTH = auto()
    AFTER_AUTH = auto()

step = Step.BEFORE_AUTH
with open('/etc/httpd/conf.d/wsgi.conf', 'r') as file_in, open('../wsgi.conf', 'w') as file_out:
    for line in file_in.readlines():
        if step == Step.BEFORE_AUTH:
            file_out.write(line)
            if "<Directory /opt/python/current/app/>" in line:
                hosts = ", ".join([f"'{i}'" for i in os.environ['DJANGO_ALLOWED_HOSTS'].split('__')])
                file_out.write(NEW_AUTH_DIRECTIVE.format(hosts=hosts))
                step = Step.INSIDE_AUTH
        elif step == Step.INSIDE_AUTH:
            if "</Directory>" in line:
                file_out.write(line)
                step = Step.AFTER_AUTH
        elif step == Step.AFTER_AUTH:
            file_out.write(line)

请注意，编辑文件的输出路径是../wsgi.conf，而不是/etc/httpd/conf.d/wsgi.conf。相信我，它有效。

1. 使用 AWS EB 配置网站中的所有白名单主机定义环境变量：

DJANGO_ALLOWED_HOSTS         whatever.com__www.whatever.com__whatever.us-east-1.elasticbeanstalk.com

请注意，我故意使用__ 分隔符，而不是逗号。这是因为我有时使用eb clone 直接从命令行创建/克隆环境，同时提供环境变量值的更改。如果这样做，则不能在值中包含逗号，并且无法转义它们。

4. 使用 Django 设置文件中的相同环境变量（我使用 django-environ 库从系统中读取环境变量）：

import environ
env = environ.Env()
env.read_env()
ALLOWED_HOSTS = env('DJANGO_ALLOWED_HOSTS', default='*').split('__')