2. 程式人生 > >【中介軟體安全】Nginx 安全加固規範

【中介軟體安全】Nginx 安全加固規範

阿新 發佈:2018-12-16

1. 適用情況

適用於使用Nginx進行部署的Web網站。

2. 技能要求

熟悉Nginx配置,能夠Nginx進行部署,並能針對站點使用Nginx進行安全加固。

3. 前置條件

1、 根據站點開放埠,程序ID,確認站點採用Nginx進行部署;

2、 找到Nginx安裝目錄,針對具體站點對配置檔案進行修改;

3、 在執行過程中若有任何疑問或建議,應及時反饋。

4. 詳細操作

4.1 日誌配置

  1、備份nginx.conf 配置檔案。

    修改配置,按如下設定日誌記錄檔案、記錄內容、記錄格式,新增標籤為main的log_format格式

(http標籤內,在所有的server標籤內可以呼叫):
log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
   '$status $body_bytes_sent "$http_referer" '
   '"$http_user_agent" "$http_x_forwarded_for"';

  2、在server標籤內,定義日誌路徑

access_log logs/host.access.log main

  3、儲存,然後後重啟nginx服務。

4.2 禁止目錄瀏覽

  備份nginx.conf配置檔案。

  編輯配置檔案,HTTP模組新增如下一行內容:

autoindex off;

  儲存,然後後重啟nginx服務。

4.3 限制目錄執行許可權

  備份nginx.conf配置檔案。

  編輯配置檔案,在server標籤內新增如下內容:

#示例:去掉單個目錄的PHP執行許可權
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}

#示例:去掉多個目錄的PHP執行許可權
location 
 
~
/(attachments|upload)/.*\.(php|php5)?$ {
deny all;
}

  儲存,然後後重啟nginx服務。

  需要注意兩點:

    1、以上的配置檔案程式碼需要放到 location ~ .php{...}上面,如果放到下面是無效的;

    2、attachments需要寫相對路徑,不能寫絕對路徑。

4.4 錯誤頁面重定向

  備份nginx.conf配置檔案。

  修改配置,在http{}段加入如下內容

http {
...
fastcgi_intercept_errors on;
error_page 401 /401.html;
error_page 402 /402.html;
error_page 403 /403.html;
error_page 404 /404.html;
error_page 405 /405.html;
error_page 500 /500.html;
...
}
修改內容:
ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
其中401.html、402.html、403.html、404.html、405.html、500.html 為要指定的錯誤提示頁面。

  儲存,重啟 nginx 服務生效

4.5 最佳經驗實踐

4.5.1 隱藏版本資訊

  備份nginx.conf配置檔案。

  編輯配置檔案,新增http模組中如下一行內容:

server_tokens off;

  儲存,然後後重啟nginx服務。

4.5.2 限制HTTP請求方法

  備份nginx.conf配置檔案。

  編輯配置檔案,新增如下內容:

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}

  儲存,然後後重啟nginx服務。

  備註:只允許常用的GET和POST方法,頂多再加一個HEAD方法

4.5.3 限制IP訪問

  備份nginx.conf配置檔案。

  編輯配置檔案,在server標籤內新增如下內容:

location / {
deny 192.168.1.1; #拒絕IP
allow 192.168.1.0/24; #允許IP
allow 10.1.1.0/16; #允許IP
deny all; #拒絕其他所有IP
}

  儲存,然後後重啟nginx服務。

4.5.4 限制併發和速度

  備份nginx.conf配置檔案。

  編輯配置檔案,在server標籤內新增如下內容:

limit_zone one $binary_remote_addr 10m;
server
{
     listen   80;
     server_name down.test.com;
     index index.html index.htm index.php;
     root  /usr/local/www;
     #Zone limit;
     location / {
         limit_conn one 1;
         limit_rate 20k;
     }
………
}

  儲存,然後後重啟nginx服務。

4.5.5 控制超時時間

  備份nginx.conf配置檔案。

  編輯配置檔案,具體設定如下:

client_body_timeout 10;  #設定客戶端請求主體讀取超時時間
client_header_timeout 10;  #設定客戶端請求頭讀取超時時間
keepalive_timeout 5 5;  #第一個引數指定客戶端連線保持活動的超時時間,第二個引數是可選的,它指定了訊息頭保持活動的有效時間
send_timeout10;  #指定響應客戶端的超時時間

  儲存,然後後重啟nginx服務。

4.6 風險操作項

4.6.1 Nginx降權

  備份nginx.conf配置檔案。

  編輯配置檔案,新增如下一行內容:

 user nobody;

  儲存,然後後重啟nginx服務。

4.6.2 防盜鏈

  備份nginx.conf配置檔案。

  編輯配置檔案,在server標籤內新增如下內容:

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {
    valid_referers none blocked server_names *.nsfocus.com http://localhost baidu.com;
    if ($invalid_referer) {
        rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img];
        # return 403;
    }
}

  儲存,然後後重啟nginx服務。

4.6.3 補丁更新

  1、軟體資訊

檢視軟體版本 nginx -v 
測試配置檔案 nginx –t

  2、補丁安裝

    手動安裝補丁或安裝最新版本軟體

最後

歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。 

 

 

相關推薦

中介軟體安全Nginx 安全加固規範

1. 適用情況 適用於使用Nginx進行部署的Web網站。 2. 技能要求 熟悉Nginx配置,能夠Nginx進行部署,並能針對站點使用Nginx進行安全加固。 3. 前置條件 1、 根據站點開放埠,程序ID,確認站點採用Nginx進行部署

中介軟體安全Apache 安全加固規範

1. 適用情況 適用於使用Apahce進行部署的Web網站。 2. 技能要求 熟悉Apache配置檔案,能夠利用Apache進行建站,並能針對站點使用Apache進行安全加固。 3. 前置條件 1、 根據站點開放埠,程序ID,確認站點採用Apache進行部署; 2、 找到Apache配置檔案 4

中介軟體安全Tomcat 安全加固規範

1. 適用情況 適用於使用Tomcat進行部署的Web網站。 2. 技能要求 熟悉Tomcat配置操作,能夠利用Tomcat進行建站,並能針對站點使用Tomcat進行安全加固。 3. 前置條件 1、根據站點開放埠,程序ID,程序名稱,確認站點採用Tomcat進行部署; 2、找到Tomcat路徑:

中介軟體安全Weblogic 安全加固規範

1. 適用情況 適用於使用Weblogic進行部署的Web網站。 2. 技能要求 熟悉Weblogic安裝部署,熟悉Weblogic常見漏洞利用方式,並能針對站點使用Weblogic進行安全加固。 3. 前置條件 1、根據站點開放埠,程序ID,確認站點採用Weblogic進行部署;2、找到Weblo

中介軟體安全IIS7.0 安全加固規範

1. 適用情況 適用於使用IIS7進行部署的Web網站。 2. 技能要求 熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。 3. 前置條件 1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署;

中介軟體安全IIS6安全加固規範

1. 適用情況 適用於使用IIS6進行部署的Web網站。 2. 技能要求 熟悉IIS配置操作,能夠利用IIS進行建站,並能針對站點使用IIS進行安全加固。 3. 前置條件 1、 根據站點開放埠、程序ID、確認站點採用IIS進行部署; 2、 啟用IIS 方法一:按Win鍵+R開啟Windows執行

中介軟體安全WebSphere安全加固規範

         1. 適用情況 適用於使用WebSphere進行部署的Web網站。 2. 技能要求 熟悉WebSphere安裝部署,熟悉WebSphere常見漏洞利用方式,並能針對站點使用WebSphere進行安全加固。

中介軟體安全Jboss安全加固規範

【中介軟體安全】Jboss安全加固規範 1. 適用情況 適用於使用Jboss進行部署的Web網站。 適用版本:5.x版本的Jboss伺服器 2. 技能要求 熟悉Jboss安裝配置,能夠Jboss進行部署,並能針

建站知識360安全檢測出輕微 X-Frame-Options頭未設定,iis、apache、nginx使用X-Frame-Options防止網頁被Frame的解決方法

當然也是因為被360檢測到了示"X-Frame-Options頭未設定",根據360的提示與百度了一些網上的一些資料整理了下,完美解決問題。 首先看下360給出的方案,但麼有針對伺服器的具體設定,不是每個人對伺服器都很懂啊。 描述: 目標伺服器沒有返回一個X-Frame-Options頭。

實例演示Android安全須知

Android;移動安全;四維創智軟件免費像是一種潮流,收費軟件生存空間變小,只能變向獲利。 於是..... app加入信息搜集,用戶行為收集,植入廣告,留後門。 為了利益,修改帶資金的app,竊取用戶資金。 app加入挖礦功能,挖黑金。 利用第三方sdk接口收集用戶信息。 app中插入廣告鏈接。 app中植

十年測試烏雲安全白帽子聊聊介面測試

為什麼現在這麼流行介面測試了? 做功能測試的都有體會,無聊,天天重複點點點,用例就那些花樣,感覺自己就是試用的人,只是會設計一些常人不會去操作的“用例”,但往往很多的用例還不能實現,或者無法執行。 但是這些用例是真的不能實現麼?答案是NO!事實上,所謂的不能實現、無法執行,都只是技術不

華為雲分散式資料庫中介軟體 DDMsidecar負載均衡配置

目錄 福利發放 產品介紹 配置方法 福利發放 目前華為雲分散式資料庫中介軟體DDM有試用體驗活動,申請華為雲賬號後可以單擊如下圖片一鍵體驗: 產品介紹 華為雲分散式資料庫中介軟體(Distributed Database Middleware,簡稱DDM),

中介軟體TOMCAT8支援HTTPS協議

預設情況下,Tomcat是不支援HTTPS協議的,當然該功能TOMCAT是有的  HTTPS協議的配置方法如下,參考網上文件完成,但是網上部分文件有錯誤或者版本不匹配的問題,改過程我是在TOMCAT8上做的,其他版本請自行試驗。 引用:http://blog.csdn.ne

網路安全網路安全攻防 -- 黑客攻擊簡要流程

呆了, 百度不夠強大, 好多工具百度竟然百度不出來;1. 踩點 (Footprinting)踩點目的 : 主動獲取資訊情報, 確定目標域名系統, 網路地址範圍, 名字空間, 關鍵系統如閘道器 郵件伺服器

中介軟體MQ Rabbitmq 和spring整合

例一、Xml配置檔案 定義連線、定義了佇列或交換機、可以設定Key、定義了消費者及路徑 <beans xmlns="http://www.springframework.org/schema/

Bugly乾貨分享“HTTPS”安全在哪裡?

背景 最近基於興趣學學習了下 HTTPS 相關的知識,在此記錄下學習心得。 在上網獲取資訊的過程中,我們接觸最多的資訊加密傳輸方式也莫過於 HTTPS 了。每當訪問一個站點,瀏覽器的位址列中出現綠色圖示時,意味著該站點支援 HTTPS 資訊傳輸方式。我們知道

樂優商城Nginx安裝配置 -反向代理實現埠轉換

 一、bind() to 0.0.0.0:80 failed   原因:         是由於Windows10系統預設把80埠給佔用了,而nginx的埠也是80,所以說報錯。 2018/10/27 05:40:15 [e

防坑指南nginx重啟後出現[error] open() “/usr/local/var/run/nginx/nginx.pid” failed

重新啟動nginx後,出現報錯,原因就是下沒有nginx資料夾或沒有nginx.pid檔案,為什麼會沒有呢? 原因就是每次重新啟動,系統都會自動刪除檔案,所以解決方式就是更改pid檔案儲存的位置, 開啟nginx.conf配置檔案,把紅色部分開啟,重啟伺服器或者重新載入配置檔案,這樣ngin

運維筆記nginx反向代理

http{ }模組 http負載 stream{ }模組 ssh轉發 stream { upstream sshtest1 { server 192.168.1.100:22; server 192.168.1.200:22; } server {

python專案部署Nginx+uWSGI+Django部署

前言 Django開發實際線上部署的最優架構:Nginx+uWSGI+Django。 採用動/靜分離高效的WEB設計。 WEB發展史回顧 wsgi概念 WSGI,全稱 Web Server Gateway Interface, 或者