Nginx安全防护

最新推荐文章于 2025-05-07 14:18:55 发布
最新推荐文章于 2025-05-07 14:18:55 发布
阅读量874 收藏 13
点赞数 8
文章标签: nginx 安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lemon__ing/article/details/147731678
版权

目录

Nginx安全防护

核心安全配置

1.编译安装 Nginx

(1)安装支持软件

(2)创建运行用户、组和日志目录

(3)编译安装 Nginx

(4)添加Nginx系统服务

2.隐藏版本号 

3.限制危险请求方法

4.请求限制(CC攻击防御)

(1)使用 Nginx的 limit req 模块限制请求速率

(2)压力测试验证

5.防盗链

‌防盗链原理‌

‌Nginx 防盗链配置‌

‌配置示例‌

1. ‌基础防盗链配置‌

2. ‌允许空 Referer(直接访问)‌

3. ‌高级配置(安全链)‌

‌注意事项‌

Nginx安全防护

核心安全配置

1.编译安装 Nginx

(1)安装支持软件

    Nginx 的配置及运行需要 pcre、zlib 等软件包的支持,因此应预先安装这些软件的开发包(devel),以便提供相应的库和头文件,确保 Nginx 的安装顺利完成。

[root@localhost “]# dnf install -y gcc make pcre-devel zlib-developenssl-devel perl-ExtUtils-MakeMaker git wget tar
(2)创建运行用户、组和日志目录
[root@localhost]# useradd -M-s /sbin/nologin nginx
[root@localhost# mkdir -p /var/log/nginx
[root@localhost]#chown -R nginx:nginx /var/log/nginx
(3)编译安装 Nginx
[root@localhost ]# tar zxf nginx-l.26.3. tar.gz
[root@localhost “]# cd nginx-1.26.3
[root@localhost nginx-l.26.3]#./configure--prefix=/usr/local/nginx
--pid-path=/var/run/nginx.pid
--user=nginx
--group=nginx
--with-http_ssl module
--with-http v2 module
--with-http realip module
--with-http_stub status module\
#状态统计模块
with-http_gzip static module
--with-pcre 
--with-stream
[root@localhost nginx-l.26.3]# make && make install

为主程序 nginx 创建链接文件

[root@localhost nginx-1.26.3]# 1n-s /usr/local/nginx/sbin/nginx/usr/local/sbin/
(4)添加Nginx系统服务
[root@localhost]# vim /lib/systemd/system/nginx.service
[Unit]
Description=The NGINX HTTP and reverse proxy server
After=network.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/sbin/nginx-t
ExecStart=/usr/local/sbin/nginx
ExecReload=/usr/local/sbin/nginx-s reload
ExecStop=/bin/ki11-S QUIT $MAINPID
TimeoutStopSec=5
KillMode=process
PrivateTmp=true
User=root
Group=root

[Install]
WantedBy=multi-user.target
[root@localhost ~]#systemctl daemon-reload
[root@localhost ~]#systemctl start nginx
[root@localhost ~]#systemctl enable nginx

2.隐藏版本号 

    在生产环境中,需要隐藏 Nginx 的版本号,以避免泄漏 Nginx 的版本,使攻击者不能针对特定版本进行攻击。在隐藏版本号之前,可以使用 Fiddler 工具抓取数据包,查看Nginx 版本,也可以在 0penEuler 中使用命令 curl -Ihttp://192.168.10.202/查看:

[root@localhost ~]# curl -l 192.168.10.202
HTTP/1.1 200 OK
Server:nginx/1.26.3//版本号
...    ...    //省略部分内容
#修改配置文件
[root@localhost ~]#vim /usr/local/nginx/conf/nginx.conf
http {
    include    mime.types;
    default_type    application/octet-stream;
    server_tokens off;    //隐藏版本号
...    ...    //省略部分内容
[root@localhost ~]#nginx -t
[root@localhost ~]#nginx -s reload
[root@localhost ~]#curl -I 192.168.10.202
HTTP/1.1 200 OK
Server:nginx    //版本号被隐藏
...    ...    //省略部分内容

3.限制危险请求方法

    不安全的请求方式,是潜在的安全风险,TRACE(易引发XST攻击)、PUT/DELETE(文件修改风险)、CONNECT(代理滥用),通过正则表达式匹配请求方法,非白名单方法返回 444(无响应关闭连接)

1.修改配置文件
[root@localhost ~]#vim /usr/local/nginx/conf/nginx.conf
server {
...    ...
if ($request_method !~"(GET HEAD|POST)$ )    {
    return 444;
    }
...    ...
}
2.验证测试请求 
测试 PUT/DELETE 请求
[root@localhost ~]#curl -XPUT -I 192.168.10.202
curl:(52)Empty reply from server
查看 access. log
192.168.10.202--[11/Mar/2025:18:30:46 +0800]"PUT / HTTP/1.1" 444 0 "-" "curl/8.4.0"

PS:注意测试 TRACE 和 CONNECT 方法时,状态码不是 444。原因如下:

  1. CONNECT 请求的目标不是代理服务器时,服务器必须返回400Bad Request,Nginx 核心层在请求解析阶段直接拦截,根本不进入后续的 location 处理流程
  2. 现代 Nginx默认禁用 TRACE 方法,在 ngx http core module 阶段直接返回 405 Not Allowed

4.请求限制(CC攻击防御)

    CC 攻击(Challenge Collapsar 攻击)是一种常见的网络攻击方式,通过大量合法或伪造的小流量请求来耗尽服务器资源,导致正常用户无法访问网站。要在 Nginx 中有效防止 CC 攻击,可以采用多种策略和方法。
    CC攻击,也称为连接数攻击或请求速率限制攻击,通过模拟大量用户访问来消耗服务器资源,从而使得正常用户无法正常访问网站。为了防止此类攻击,可以使用 Nginx 提供的模块来限制请求速率和并发连接数

(1)使用 Nginx的 limit req 模块限制请求速率
编辑配置文件
[root@localhost ~]#vim /usr/local/nginx/conf/nginx.conf
http {
    # 定义限制区(10MB 内存/每秒 10 请求)
    limit_req_zone $binary_remote_addr zone=req_limit:l0m rate-10r/s;

    # 其他全局配置...

    server {
        location / {
            root html;
            index index.html index.php;
            limit_reg_zone=req_limit burst=20 nodelay;
            }
...    ...
    }
}

关键参数说明:

  • limit_req_zone:定义共享内存区
  • $binary_remote_addr:是一个内置变量,用于表示客户端IP地址的二进制格式
  • zone=req_limit:10m 创建名为req_limit的共享内存区,大小10M,用来存储客户端IP
  •  rate=10r/s:限制并发数,每个IP每秒可以发起的请求次数
  • limit——req:实现速率限制
  • zone=req_limit:绑定到预定义的共享内存区
  • burst=20:类似于等候区,超出并发数的请求会等候区,等候区占满后,多余的请求会立刻返回503
  • nodelay:立即处理突发请求而不延迟,相当于立即处理等候区的请求,多余的请求会立刻返回503
(2)压力测试验证

安装 ab 测试工具
    ApacheBench(简称 ab)是 Apache HTTP 服务器自带的一个轻量级、易用的HTTP服务器性能测试工具。它主要用于评估服务器在并发访问下的性能表现,包括响应时间、吞吐量等关键指标。
 

[root@localhost ~]#dnf install httpd-tools -y

发起测试请求
共发起 300 个请求,每次发起 30 个请求
[root@localhost ~]#ab -n 300 -c 30 http://192.168.10.202/
查看 access.log 发现大量请求日志状态码 503
[root@localhost ~]#tail -300/usr/local/nginx/logs/access.log|grep -c 503
279

5.防盗链

防盗链(Hotlink Protection)是一种防止其他网站直接链接到你的服务器资源(如图片、视频、文件等)的技术。通过防盗链设置,可以避免他人盗用你的带宽和服务器资源,提升安全性和资源利用率。

防盗链原理

防盗链的核心是检查请求的 Referer 头(HTTP 请求头字段),判断请求来源是否合法:

  • Referer 头表示当前请求的来源页面 URL。
  • 如果请求来自非法域名(如其他网站),Nginx 可以拒绝访问或返回错误。
Nginx 防盗链配置

Nginx 通过 valid_referers 指令实现防盗链,语法如下:

valid_referers none | blocked | server_names | string ...;
  • none‌:允许没有 Referer 头的请求(如直接访问)。
  • blocked‌:允许 Referer 头被防火墙或代理删改的请求。
  • server_names‌:允许指定的域名或服务器名。
  • string‌:自定义允许的域名或正则表达式。
配置示例

以下是常见的防盗链配置场景:

1. ‌基础防盗链配置
location ~* \.(jpg|jpeg|png|gif|mp4)$ {
 valid_referers none blocked example.com *.example.net;
 if ($invalid_referer) {
         return 403;
         # 或重定向到警告图片
         # rewrite ^ /anti-hotlink.jpg;
 } 
}
  • 作用‌:保护图片和视频文件。
  • 逻辑‌:仅允许来自 example.com*.example.net 的请求,或没有 Referer 的请求(如浏览器直接访问)。
  • 阻止行为‌:非法请求返回 403 错误码。
2. ‌允许空 Referer(直接访问)
valid_referers none blocked example.com *.example.net;
  • none:允许直接输入 URL 或本地文件打开的资源请求。
  • blocked:允许 Referer 被防火墙修改的请求。
3. ‌高级配置(安全链)

通过生成加密链接防止盗链(需配合程序生成临时 URL):

location /protected/ {
 secure_link $arg_md5,$arg_expires;
 secure_link_md5 "$secure_link_expires$uri$remote_addr secret";

 if ($secure_link = "") {
         return 403;
 }
 if ($secure_link = "0") {
         return 410; # 链接过期
 } 
}
注意事项

  1. Referer 的局限性

    • Referer 可能被伪造(需结合其他方法如 Token 验证)。
    • 部分浏览器或隐私设置可能不发送 Referer。

  2. 静态资源与动态资源

    • 静态资源(如图片)通常通过 location 匹配文件扩展名。
    • 动态资源(如 API)可通过校验 Token 或签名。

  3. 日志记录
    可记录非法请求用于分析:

    log_format hotlink '$time_iso8601 $invalid_referer $http_referer'; 
access_log /var/log/nginx/hotlink.log hotlink;
  4. 案例

(1)修改 Windows 的C:\Windows\System32\drivers\etc\hosts 文件,设置域
名和 IP 映射关系

192.168.10.202 www. aaa.com
192.168.10.201 www.bbb.com

(2)修改两台Cent0s 的 hosts 文件,设置域名和 IP 映射关系

192.168.10.202 www.aaa.com
192.168.10.201 www.bbb.com

(3)把图片 1ogo.jpg 放到源主机(www.aaa.com)的工作目录下

[root@localhost ~]#ls /usr/local/nginx/html
index.html kgc.png

(4)编辑原网站首页文件

[root@localhost ~]#vim /usr/local/nginx/html/index.html
<html>
    <body>
        <hl>aaa It work!
                <img src="kgc.png”/〉 //网页中显示图片的代码
        </h1>
    </body>
</htm1>

(5)测试访问源网站 

(6)编辑盗链网站首页文件

[root@localhost ~]#vim /usr/local/nginx/html/index.html
<html>
    <body>
        <hl>bbb It work!
            <img src="http://www.aaa.com/kgc.png”/> //网页中显示图片
        </h1>
    </body>
</htm1>

(7)测试访问盗链网站(盗链成功)

(8)配置Nginx防盗链

[root@localhost #vim /usr/local/nginx/conf/nginx.conf
location *.(gifljpg jpeg pnglbmp|swf|flv mp4 webplico)$ {
    root html;
    valid referers aaa.com *.aaa.com;

    if($invalid referer) {
        return 403;
    }
[root@localhost ~]#nginx -t
[root@localhost ~]#nginx -s reload
  • ~*\.(jpg|gif|swf)$:这段正则表达式表示匹配不区分大小写,以.jpg或. gif 或.swf 结尾的文件;
  • Valid referers:设置信任的网站,可以正常使用图片;
  • 后面的网址或者域名:referer 中包含相关字符串的网址;
  • If 语句:如果链接的来源域名不在 valid referers 所列出的列表中,$invalid referer 为1,则执行后面的操作,即进行重写或返回 403 页面。

(9)测试访问盗链网站(盗链失败)

霖檬ing
关注
Nginx安全防护:DDoS攻击防御
java专栏
09-06 970
大家好呀!今天咱们要探讨的是如何使用 Nginx 来加强网站的安全防护,尤其是如何应对 DDoS 攻击。DDoS 攻击是一种常见的网络攻击手段,它通过向目标服务器发送大量流量,试图让服务器不堪重负而崩溃。为了保护我们的网站不受这种攻击的影响,我们需要采取一些措施。接下来,就跟着我一起学习如何使用 Nginx 来实现这些安全防护吧!DDoS(Distributed Denial of Service)攻击,也就是分布式拒绝服务攻击。
网站总是被攻击?Nginx安全防护配置指南 限制请求频率 限制连接数 带宽限制 最大上传大小
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
11-06 121
为了确保网站的安全,防止受到恶意攻击,使用Nginx进行访问控制和带宽管理是重要的防护手段。本文将详细介绍一些Nginx的防护配置措施,帮助大家有效防范常见的攻击行为。
Nginx 安全配置与防护策略
qq_42190530的博客
01-24 1796
Nginx 安全配置与防护策略
Nginx安全防护HTTPS部署实战
2301_76584825的博客
05-06 956
在当今互联网技术高速发展的背景下,web 服务的安全性与可靠性已成为企业及开发者不可忽视的核心课题。作为全球最受欢迎的高性能 Web 服务器和反向代理工具,Nginx凭借其轻量级、高并发处理能力和灵活的模块化设计,占据了全球近三分之一的 Web 服务器市场份额。然而,随着网络攻击手段的不断升级(如DDoS、SQL 注入、恶意爬虫等),以及全球范围内对数据隐私保护的法规要求(如GDPR、等保 2.0),掌握 Nginx安全防护策略与 HTTPS 部署能力,已成为运维工程师和开发者的必备技能。
探索ModSecurity-nginx连接器:强化你的Nginx安全防护
gitblog_00645的博客
08-13 1008
探索ModSecurity-nginx连接器:强化你的Nginx安全防护 ModSecurity-nginxModSecurity v3 Nginx Connector项目地址:https://gitcode.com/gh_mirrors/mod/ModSecurity-nginx 在当今的网络环境中,安全防护是每个网站和应用不可或缺的一部分。ModSecurity-nginx连接器,作为Ngi...
Nginx安全防护HTTPS部署
2401_88768957的博客
05-06 840
通过大量合法或伪造的小流量请求来耗尽服务器资源。在防止未经授权的用户盗用网站(静态)资源。
Nginx 安全防护HTTPS 部署
2501_91350469的博客
05-06 929
(1)TLS 握手阶段客户端发送支持的加密套件列表。服务器选择加密套件,返回证书(含公钥)。客户端验证证书,生成随机预主密钥(用服务器公钥加密)。双方计算生成对称密钥(用于后续数据加密)。(2)数据传输阶段:使用对称加密传输数据,哈希算法校验完整性。
Nginx 安全防护Https 部署实战
2301_80839375的博客
05-06 1338
HTTPS(HTTP Secure)是 HTTP 的安全版本,通过SSL/TLS 加密保护数据传输的机密性和完整性。HTTPS 通过加密和身份验证机制,解决了 HTTP 协议的安全问题,为用户提供了更安全的网络通信环境。在实际应用中,建议使用由权威 CA 颁发的证书来提高网站的安全性和可信度。同时,还可以通过配置 SSL/TLS 协议版本和加密算法等参数来进一步增强 HTTPS安全性。优势注意事项数据加密防窃听证书需定期更新(Let's Encrypt 证书有效期为 90 天)身份认证防钓鱼。
Nginx 安全防护HTTPS部署
2501_91344566的博客
05-06 820
如果所请求的页面带有图片或其他信息,那么第一个 HTTP 请求传送的是这个页面的文本,然后通过客户端的浏览器对这段文本进行解释执行。如果发现其中还有图片,那么客户端的浏览器会再次发送一条HTTP请求,当这个请求被处理后这个图片文件才会被传送到客户端,最后浏览器会将图片安放到页面的正确位置,就这样一个完整的页面要经过多次发送HTTP请求才能够被完整的显示。这样,没有任何资源的网站利用了其他网站的资源来展示给浏览者,提高了自己的访问量,而大部分浏览者又不会很容易地发现。验签通过则表明证书可信,其公钥也可信。
nginx安全防护基本教程【伸手党福利】
wwppp987的博客
03-31 6610
nginx.conf #user nobody; worker_processes 5; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { #===========================
NginxNginx安全防护策略.docx
08-28
NginxNginx安全防护策略.docx
nginx 安全防护有哪些措施?
05-13
以下是一些 Nginx 安全防护措施: 1.限制服务器访问:可以使用防火墙或者 iptables 限制服务器的访问,只允许必要的 IP 地址访问服务器。 2. 隐藏服务器信息:可以在 nginx.conf 文件中设置 server_tokens off 来...
端口安全讲解
rzy41880的博客
05-07 611
‌MAC地址绑定机制‌端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。‌安全MAC类型‌‌静态绑定‌:管理员手动配置允许的MAC地址列表;‌动态绑定‌:交换机自动学习首个接入设备的MAC地址并锁定;‌Sticky MAC‌:动态绑定基础上支持断电后保留绑定关系。类型定义特点安全动态MAC地址仅开启端口安全转换的MAC地址。设备重启后表项会丢失,需要重新学习。
7.2.安全防御
2301_79902294的博客
05-07 484
• 密码存储:BCrypt与Argon2算法实现(Spring Security) • 多因素认证(MFA):TOTP集成(Google Authenticator API) • 生物识别安全:活体检测与本地存储(Android Biometric API)• 数据库加密:透明数据加密(TDE)、字段级加密(Jasypt) • 文件存储安全:权限控制(Linux ACL)、客户端加密(WebCrypto API) • 备份与恢复策略:异地加密备份(AWS S3 + KMS)-- 身份证号 -->
中级注册安全工程师的《安全生产专业实务》科目如何选择专业?
最新发布
m0_60557936的博客
05-07 210
中级注册安全工程师的《安全生产专业实务》有 7 个专业方向,选择时可考虑以下几个方面:
网络安全的原理和基本知识点
mrzyun0811的博客
05-05 386
Python在网络安全防护中具有广泛的应用,通过利用丰富的库和模块,可以实现网络扫描、漏洞检测、渗透测试、恶意软件分析、防火墙规则管理、Web安全防护安全日志分析和加密通信等功能,帮助提升网络系统的安全性和抵御潜在威胁的能力。网络安全:保护网络系统和数据免受攻击、损坏或未经授权的访问,确保其机密性、完整性和可用性。使用Python解析和分析系统日志、网络流量日志,检测异常活动,及时发现潜在的安全威胁。使用nmap库进行端口扫描和主机发现,识别网络中的开放端口和服务,发现潜在漏洞。
数字化时代下,软件测试中的渗透测试是如何保障安全的?
aiyuntest的博客
05-04 443
数字化时代下,软件测试中的渗透测试是如何保障安全的?在如今数字化与信息化的时代,软件测试中存在渗透测试,其位置十分重要,它借助模拟恶意攻击的方式,去发现软件系统所存在的漏洞以及安全问题,这是保障软件安全的关键环节,接下来我会对它的各个方面进行详细介绍。对于软件开发企业而言,渗透测试能够提升软件的安全性,还能够增强软件的可靠性。
【React】Hooks 解锁外部状态安全订阅 useSyncExternalStore 应用与最佳实践
day day up
05-04 669
在 React 18 的并发渲染模式下,传统状态订阅方式(如 useEffect + useState)可能引发 UI 与状态不一致的撕裂问题。useSyncExternalStore 作为 React 团队推出的解决方案,通过同步读取状态快照与订阅分离机制,为外部状态源(如 Redux、Zustand、浏览器 API)提供了并发安全的订阅能力。
宁德时代区块链+数字孪生专利解析:去中心化身份认证重构产业安全底座
beige888的博客
05-06 633
宁德时代此次专利布局,不仅彰显其从电池制造商向能源科技平台转型的战略决心,更预示着数字孪生技术正从“单点仿真”迈向“安全互联”的新阶段。随着区块链与工业互联网的深度融合,一个更透明、更可信的数字孪生世界正在加速到来。这项技术将区块链与数字孪生深度耦合,直击工业互联网领域长期存在的身份认证痛点,为智能制造、能源物联网等场景提供全新安全范式。2025年5月6日,金融界披露宁德时代未来能源(上海)研究院与母公司宁德时代新能源科技股份有限公司联合申请的一项关键专利——宁德时代提出的解决方案通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值