Linux之提高Nginx的安全性:受限server_tokens /user_agents/buffer_size/连接数/请求方法/外链/不用模块 使用日志/TLS/HTTPS/升级
生活随笔
收集整理的這篇文章主要介紹了
Linux之提高Nginx的安全性:受限server_tokens /user_agents/buffer_size/连接数/请求方法/外链/不用模块 使用日志/TLS/HTTPS/升级
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
1.保持Nginx的及時升級
目前Nginx的穩定版本為1.14.0,最好升級到最新版本,看官方的release note你會發現他們修復了很多bug,任何一款產品的生產環境都不想在這樣的bug風險下運行的。另外,雖然安裝包安裝比通過源代碼編譯安裝更容易,但后一個選項有兩個優點:
1)它允許您將額外的模塊添加到Nginx中(如more_header,mod_security);
2)它總是提供比安裝包更新的版本,在Nginx網站上可看release note。
2.去掉不用的Nginx模塊
在編譯安裝時,執行./configure方法時加上以下配置指令,可以顯式的刪除不用的模塊:
./configure --without-module1 --without-module2 --without-module3
例如:
./configure --without-http_dav_module --withouthttp_spdy_module
注意事項:配置指令是由模塊提供的。確保你禁用的模塊不包含你需要使用的指令!在決定禁用模塊之前,應該檢查Nginx文檔中每個模塊可用的指令列表。
3.在Nginx配置中禁用server_tokens項
server_tokens在打開的情況下會使404頁面顯示Nginx的當前版本號。這樣做顯然不安全,因為黑客會利用此信息嘗試相應Nginx版本的漏洞。 只需要在nginx.conf中http模塊設置server_tokens off即可,例如: server {listen 192.168.0.25:80;Server_tokens off;server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;access_log /var/www/logs/tecmintlovesnginx.access.log;error_log /var/www/logs/tecmintlovesnginx.error.log error;root /var/www/tecmintlovesnginx.com/public_html;index index.html index.htm; } 重啟Nginx后生效:4.禁止非法的HTTP User Agents?
User Agent是HTTP協議中對瀏覽器的一種標識,禁止非法的User Agent可以阻止爬蟲和掃描器的一些請求,防 止這些請求大量消耗Nginx服務器資源。 為了更好的維護,最好創建一個文件,包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下內容: map $http_user_agent $blockedagent {default 0;~*malicious 1;~*bot 1;~*backdoor 1;~*crawler 1;~*bandit 1; } 然后將如下語句放入配置文件的server模塊內: include /etc/nginx/blockuseragents.rules; 并加入if語句設置阻止后進入的頁面:5.禁掉不需要的 HTTP 方法
例如一些web站點和應用,可以只支持GET、POST和HEAD方法。 在配置文件中的server模塊加入如下方法可以阻止一些欺騙攻擊 if ($request_method !~ ^(GET|HEAD|POST)$) {return 444; }6.設置緩沖區容量上限
這樣的設置可以阻止緩沖區溢出攻擊(同樣是Server模塊) client_body_buffer_size 1k; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; 設置后,不管多少HTTP請求都不會使服務器系統的緩沖區溢出了。7.限制最大連接數
在http模塊內,server模塊外設置limit_conn_zone,可以設置連接的IP 在http,server或location模塊設置limit_conn,可以設置IP的最大連接數 例如: limit_conn_zone $binary_remote_addr zone=addr:5m; limit_conn addr 1;8.設置日志監控?
9.阻止圖片外鏈自你的服務器?
假設你有一個img目錄用來存儲圖片,你自己的IP是192.168.0.25,加入如下配置可以防止外鏈 location /img/ {valid_referers none blocked 192.168.0.25;if ($invalid_referer) {return 403;} }10.禁止 SSL 并且只打開 TLS
只要可以的話,盡量避免使用SSL,要用TLS替代,以下設置可以放在Server模塊內: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;11.做證書加密(HTTPS)?
首先生成密鑰和整數,用以下哪種都可以: # openssl genrsa -aes256 -out tecmintlovesnginx.key 1024 # openssl req -new -key tecmintlovesnginx.key -out tecmintlovesnginx.csr # cp tecmintlovesnginx.key tecmintlovesnginx.key.org # openssl rsa -in tecmintlovesnginx.key.org -out tecmintlovesnginx.key # openssl x509 -req -days 365 -in tecmintlovesnginx.csr -signkey tecmintlovesnginx.key -out tecmintlovesnginx.crt 然后配置Server模塊 server { listen 192.168.0.25:443 ssl;server_tokens off;server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;root /var/www/tecmintlovesnginx.com/public_html;ssl_certificate /etc/nginx/sites-enabled/certs/tecmintlovesnginx.crt;ssl_certificate_key /etc/nginx/sites-enabled/certs/tecmintlovesnginx.key;ssl_protocols TLSv1 TLSv1.1 TLSv1.2; }12.重定向HTTP請求到HTTPS
總結
以上是生活随笔為你收集整理的Linux之提高Nginx的安全性:受限server_tokens /user_agents/buffer_size/连接数/请求方法/外链/不用模块 使用日志/TLS/HTTPS/升级的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 猪肉价格为什么会降低?
- 下一篇: Linux配置Nginx与PHP-FPM