當(dāng)前位置：首頁 > 运维知识 > Nginx >内容正文

Nginx

优化Nginx服务的安全配置

發(fā)布時間：2025/3/21 Nginx 66 豆豆

生活随笔收集整理的這篇文章主要介紹了优化Nginx服务的安全配置小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

1.屏蔽版本號信息

2. 限制并發(fā)量

3.拒絕非法的請求

4. 防止buffer溢出

1.屏蔽版本號信息

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{server_tokens off;???????????#在http下面手動添加這么一行（屏蔽版本信息）… … } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload[root@proxy ~]# curl -I http://192.168.4.5 #查看服務(wù)器響應(yīng)的頭部信息(加I只看頭部信息)

2. 限制并發(fā)量

DDOS攻擊者會發(fā)送大量的并發(fā)連接，占用服務(wù)器資源（包括連接數(shù)、帶寬等），這樣會導(dǎo)致正常用戶處于等待或無法訪問服務(wù)器的狀態(tài)

Nginx提供了一個ngx_http_limit_req_module模塊，可以有效降低DDOS攻擊的風(fēng)險，操作方法如下：(拒絕服務(wù)攻擊)

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf … … http{ … … limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;#開啟限制,誰訪問就記住,每秒只能發(fā)一個請求）server { listen 80;server_name localhost;limit_req zone=one burst=5;} }[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload 客戶端使用ab測試軟件測試效果： [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/

#limit_req_zone語法格式如下：

#limit_req_zone key zone=name:size rate=rate;

#上面案例中是將客戶端IP信息存儲名稱為one的共享內(nèi)存，內(nèi)存空間為10M

#1M可以存儲8千個IP信息，10M可以存儲8萬個主機連接的狀態(tài)，容量可以根據(jù)需要任意調(diào)整

#每秒中僅接受1個請求，多余的放入漏斗

#漏斗超過5個則報錯

3.拒絕非法的請求

網(wǎng)站使用的是HTTP協(xié)議，該協(xié)議中定義了很多方法，可以讓用戶連接服務(wù)器，獲得需要的資源。但實際應(yīng)用中一般僅需要get和post

????????具體HTTP請求方法的含義

?未修改服務(wù)器配置前，客戶端使用不同請求方法測試

root@client ~]# curl -i -X GET http://192.168.4.5????????????#正常 [root@client ~]# curl -i -X HEAD http://192.168.4.5????????????#正常

#curl命令選項說明：

????????#-I只顯示頭部

????????#-i選項：訪問服務(wù)器頁面時，顯示HTTP的頭部信息于下在內(nèi)容

????????#-X選項：指定請求服務(wù)器的方法

通過如下設(shè)置可以讓Nginx拒絕非法的請求方法

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{server {listen 80; #這里，!符號表示對正則取反，~符號是正則匹配符號 #如果用戶使用非GET或POST方法訪問網(wǎng)站，則retrun返回錯誤信息if ($request_method !~ ^(GET|POST)$ ) {return 444;}????} } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload 修改服務(wù)器配置后，客戶端使用不同請求方法測試： [root@client ~]# curl -i -X GET http://192.168.4.5????????????#正常 [root@client ~]# curl -i -X HEAD http://192.168.4.5????????????#報錯

4. 防止buffer溢出

當(dāng)客戶端連接服務(wù)器時，服務(wù)器會啟用各種緩存，用來存放連接的狀態(tài)信息。如果攻擊者發(fā)送大量的連接請求，而服務(wù)器不對緩存做限制的話，內(nèi)存數(shù)據(jù)就有可能溢出（空間不足）

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf http{ client_body_buffer_size 1k; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k;… … } [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

總結(jié)

以上是生活随笔為你收集整理的优化Nginx服务的安全配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

nginx