Nginx 安全与调优

已于 2024-03-05 12:04:45 修改
阅读量530 收藏 2
点赞数
分类专栏: Nginx 文章标签: nginx 安全 运维
于 2020-03-11 16:04:45 首次发布
原文链接:https://itgod.org/book/system_security/_book/Nginx/
版权

转载自:https://itgod.org/book/system_security/_book/Nginx/

安全策略

禁止IP直接访问,防止非法域名直接解析到IP上

# 禁止使用IP直接访问,返回403错误码
    server {
        listen       80 default;
        server_name _;
        return 403;
}
#server_name处定义允许访问的域名,将80端口的http请求转发到https
    server {
        listen       80;
        server_name  www.itgod.org itgod.org;
        rewrite ^(.*)$ https://$host$1 permanent;

在Http中配置autoindex off;关闭目录浏览

http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;
    include vhost/*.conf;
    #添加这行
    autoindex off;
  • 只允许referer为空或者referer为信任站点时才能拉取图片
  • 允许referer为空是为了允许浏览器直接访问图片路径
  • 伪造referer很容易,所以此方法只能防止一般的盗链
        location ~*\.(gif|jpg|png|swf|flv|bmp)$ {
            valid_referers none blocked *.itgod.org itgod.org;
            if ($invalid_referer) {
                return 403;
            }
        }

屏蔽Nginx版本号,减低被版本漏洞攻击风险,在HTTP下添加一行内容 server_tokens off;

http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;

恶意攻击通常会尝试通过URL执行一些命令,有必要禁用包含一些特殊字符串的链接访问,比如URL中包含.sh old bak sql等关键词,直接进行URL访问限制

        location ~*\.(sh|git|bak|sql|old)$ {
                return 403;
        }

性能优化

优化链接参数

优化前优化后参数说明
worker_processes 1;worker_processes auto;进程数
worker_connections 1024;worker_connections 65535;每个进程允许的最多链接

系统内核参数优化

vim /etc/sysctl.conf

net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1

​​​​​​vim /etc/security/limits.conf

配置Nginx进程数量

worker_processes  auto;

配置系统最大句柄数量

```
#当前会话生效
systemctl -w fs.file-max=2000000
#永久生效
echo 'fs.file-max=2000000' >> /etc/sysctl.conf
```

查看当前系统打开句柄最大数量(默认为内存的10%,单位KB)

`more /proc/sys/fs/file-max`

>查看当前已经打开句柄总数

`lsof|awk '{print $2}'|wc -l`


>根据打开文件句柄的数量降序排列,其中第二列为进程ID:

`lsof|awk '{print $2}'|sort|uniq -c|sort -nr|more`

以下不包含图片缓存等配置,可以根据自身业务需求再合理添加图片等缓存、日志格式化等

worker_processes  auto;
events {
    worker_connections  65535;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;
    sendfile        on;
    keepalive_timeout  65;
    server {
        listen       80 default;
    server_name _;
    return 403;
}
    server {
        listen       80;
        server_name  www.itgod.org itgod.org;
    rewrite ^(.*)$ https://$host$1 permanent;
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}


    server {
        listen       443 ssl default;
    server_name _;
        server_name  www.itgod.org itgod.org;
        error_page  404              /404.html;
        ssl_certificate      /etc/ssl/1_www.itgod.org_bundle.crt;
        ssl_certificate_key  /etc/ssl/2_www.itgod.org.key;
     ssl_session_cache    shared:SSL:1m;
      ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        location ~*\.(gif|jpg|png|swf|flv|bmp)$ {
        valid_referers none blocked *.itgod.org itgod.org;
        if ($invalid_referer) {
        return 403;}
        }
        location ~*\.(sh|git|bak|sql|old)$ {
        return 403;
        }
        location / {
            root   html;
            index  index.html index.htm;
        }
        location /first {
            alias   /home/gitbook/_book/;
            index  index.html index.htm;
        }
        location /two {
            alias   /home/gitbook2/_book/;
            index  index.html index.htm;
        }
    }
}

黑名单

在nginx.conf的http中加入黑名单配置文件:

include website/blockip.conf;

http {
  include       mime.types;
  default_type  application/octet-stream;
  #新增内容
  include website/blockip.conf;

然后在conf目录下,创建website/blockip.conf

mkdir /usr/local/nginx/conf/website
touch /usr/local/nginx/conf/website/blockip.conf

编辑blockip.conf文件,在blockip.conf中增加需要封禁的ip(将IP更改为需要禁用访问的IP),我的配置如下:

[root@nrffnginx-1 website]# pwd
/usr/local/nginx/conf/website
[root@nrffnginx-1 website]# cat blockip.conf
deny 42.96.128.0/17;
deny 42.120.0.0/16;
deny 42.121.0.0/16;
deny 42.156.128.0/17;
deny 110.75.0.0/16;
deny 110.76.0.0/19;
deny 110.76.32.0/20;
deny 110.76.48.0/20;
deny 110.173.192.0/20;
deny 110.173.208.0/20;
....此处省略

最后reload nginx即可生效:

/usr/local/nginx/sbin/nginx -s reload

反向代理

在HTTP下创建代理池

#新增名为portal_service_poo的代理池,后端有3台服务器的8080端口提供服务
upstream portal_service_pool {
                server 10.215.1.1:8080;
                server 10.215.1.2:8080;
                server 10.215.1.3:8080;
                keepalive 8192;
    }
新增名为aaa_service_poo的代理池,后端有3台服务器的8081端口提供服务
upstream aaa_service_pool {
                server 10.215.1.1:8081;
                server 10.215.1.2:8081;
                server 10.215.1.3:8081;
                keepalive 8192;
    }

在server监听下添加代理转发配置

    server {
        listen 8080;

        charset utf-8;     }
#指定访问IP URL时转发到portal池处理
        location / {
            proxy_pass http://portal_service_pool;
        }
#指定访问IP:/aaa URL时转发到aaa池处理
        location /aaa{
           proxy_pass http://aaa_service_pool;
        }
    }

上述配置讲解

假设Nginx本机地址为192.168.1.1,当用户访问192.168.1.1时,请求转发给了portal_service_pool池里的服务器:8080端口处理,

规则匹配

= 严格匹配。如果这个查询匹配,那么将停止搜索并立即处理此请求。
~ 为区分大小写匹配(可用正则表达式)
!~为区分大小写不匹配
~* 为不区分大小写匹配(可用正则表达式)
!~*为不区分大小写不匹配
^~ 如果把这个前缀用于一个常规字符串,那么告诉nginx 如果路径匹配那么不测试正则表达式。



location = / {
# 只匹配 / 查询。
}
location / {
# 匹配任何查询,因为所有请求都已 / 开头。但是正则表达式规则和长的块规则将被优先和查询匹配。
}
location ^~ /p_w_picpaths/ {
# 匹配任何已 /p_w_picpaths/ 开头的任何查询并且停止搜索。任何正则表达式将不会被测试。
}
location ~*.(gif|jpg|jpeg)$ {
# 匹配任何已 gif、jpg 或 jpeg 结尾的请求。
}
location ~*.(gif|jpg|swf)$ {
valid_referers none blocked start.igrow.cn sta.igrow.cn;
if ($invalid_referer) {
#防盗链
rewrite ^/ http://$host/logo.png;
}
}

Full Stack Developme
关注
专栏目录
Nginx与服务器安全:加固措施
java专栏
09-04 1820
大家好,我是你们的小助手,今天咱们要探讨的主题是如何给 Nginx 服务器进行安全加固。这可是一项非常重要的任务,因为一旦服务器被黑客攻破,后果不堪设想。所以,咱们得从头到脚,全方位地给服务器打上补丁,让它变得坚不可摧!首先,我们得搞清楚什么是服务器安全。简单来说,服务器安全就是采取各种技术和策略来保护服务器不受攻击、入侵和其他安全威胁。对于 Nginx 服务器来说,安全加固尤为重要,因为它通常位于网络的前端,是黑客们首要攻击的目标。怎么样,是不是觉得 Nginx 服务器安全加固其实也没有那么难呢?
Nginx安全优化与性能调优
javalingyu的博客
04-28 4982
目录 Nginx基本安全优化隐藏Nginx软件版本号信息更改源码隐藏Nginx软件名及版本号修改Nginx服务的默认用户 修改参数优化Nginx服务性能优化Nginx服务的worker进程数1.优化NGINX进程对应的配置2.优化Nginx进程个数的策略3.查看Web服务器CPU硬件资源信息4.修改服务器Nginx配置绑定不同的Nginx进程到不同的CPU上Nginx事件处理模型优化调整Nginx单进程允许的客户端最大连接数配置Nginx worker进程最大打开文件数开启高效文件传输模式1.设置参数:
nginx安全配置
lx16870的专栏
06-12 1125
最近几天发了一些nginx的东西,今天就讲讲一些大家关注比较少的点吧,即关于一些nginx安全方面的配置。这个点大家可能会经常忽略的。nginx安全配置方面主要有这几个常见的点: 1.开启nginx的访问限制 nginx提供两个关键字对访问进行限制。 allow即允许访问的ip,deny就是禁止访问的ip,通过这些配置我们就能拦截住某些ip的控制,若是在平时中发现有ip一直在频繁的乱抓取我们的页面的话,就可以使用这个配置。主要配置就是:allow ip;...
一系列nginx安全配置
weixin_33699914的博客
01-06 152
一、模块 1.查看所有模块: [root@proxy nginx-1.12.2]# ./configure --help 2.选择适合的模块:pcre:开启正则表达式支持http_autoindex_module:自动索引模块ssi_module:SSI 脚本http_ssl_module:ssl 支持 http 模块 http_v2_module:h...
nginx 安全优化(一)
cangqiong_xiamen的博客
06-10 852
1.Nginx软件版本信息隐藏 1.1 调整参数隐藏Nginx软件版本信息 例如: crul -I 10.0.0.7 结果: HTTP/1.2 200 OK Server:nginx/1.6.3 #<==这里很清晰的爆露了Web版本号(1.6.3)以及软件名称ngin...
nginx 安全配置
最新发布
fangxiang2008的博客
05-28 1803
nginx 安全配置
nginx安全配置
YHJ
06-09 1109
安全是一个重要的问题,必须引起注意。 1.nginx介绍 nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginxnginx涉及到两个账户,一个是nginx的运行账户,一个是php-fpm的运行账户。如果访问的是一个静态文件,则只需要nginx的运行账户对文件具有读取权限;而如果访问的是一个php文件,则首.
nginx性能与调优
10-09
**Nginx性能与调优** Nginx是一款高性能、轻量级的Web服务器和反向代理服务器,广泛应用于互联网领域,尤其在处理高并发连接和静态内容分发上表现出色。本文将深入探讨Nginx的性能特点、优化策略以及配置方法。 ##...
Nginx访问控制与参数调优的方法
09-29
Nginx是一款高性能的HTTP和反向...通过这些配置,我们可以对Nginx服务器进行精细的访问控制和性能优化,以确保服务的安全性和高效性。在实际应用中,还需要根据服务器的硬件资源、业务需求以及安全策略进行灵活调整。
LNMP Nginx服务器调优实践
04-24
对于动态内容的处理,Nginx提供了fastcgi_pass指令将请求转发给后端的FastCGI服务器,以及uwsgi_pass和scgi_pass指令用于与uwsgi和SCGI协议的服务器通信。在这些转发指令中,可以设置缓冲区的大小,以减少对后端的...
Nginx 在高并发下如调优?看完这篇就够了!
Xucf1
03-08 2414
文章目录一、你用 Nginx 做过哪些关于配置(优化)?①隐藏版本号②修改用户与组③配置网页缓存时间④日志切割⑤设置连接超时(会话保持)⑥更改进程数⑦配置网页压缩⑧配置防盗链⑨FPM 参数优化二、小结 复习一下: 在各种网站服务器软件中,除了 Apache HTTP Server 外,还有一款轻量级的 HTTP 服务器软件——Nginx 轻量级体现在低系统资源消耗方面,所占用内存较小 在连接高并发的情况下,Nginx 是 Apache 服务很不错的替代品,其应对 HTTP 并发连接的高性能处理能力
Linux服务器下nginx安全配置详解
01-11
Nginx是一个轻量级,高性能的Web服务器/反向代理和电子邮件 代理(IMAP/POP3),它可以运行在UNIX,GNU/Linux,BSD变种,MAC OS X,Solaris和Microsoft Windows上。根据Netcraft的调查数据显示,互联网上6%的域名都使用了Nginx Web服务器。Nginx是解决C10K问题的服务器之一,与传统服务器不一样,Nginx不依赖于线程处理请求,相反,它使用了一个更具扩展性的事件驱 动(异步)架构。Nginx在很多高流量网站上得到了应用,如WordPress,Hulu,Github和SourceForge。 1、一些常识 linux下,
Nginx安全配置指南技术手册.pdf(应用技术指南).txt
07-17
Nginx安全配置指南技术手册.pdf(应用技术指南)
Nginx 安全配置
w13511069150的博客
03-18 3379
一、Nginx服务的Banner隐藏状态 配置内容: server_tokens off; 更多的设置可参照:https://blog.csdn.net/huangbaokang/article/details/88235386 二、隐藏Nginx后端服务X-Powered-By头 2.1、打开conf/nginx.conf配置文件; 2.2、在http下配置prox.....................
nginx安全配置
weixin_45267059的博客
01-11 4221
前言:看官网官网!!!!! 一、控制并发连接数 1.在默认发布目录新建一个目录并保存一张图片 传送文件到server1 打开浏览器就能看到图片 2 测试 查看日至情况 cat /usr/local/nginx/logs/access.log http状态码 在真机上执行 #ab -c10 -n10 http://172.25.254.1/download/vim.png 在server1 查看日至 3 修改配置文件 控制并发数为1...
Nginx基本安全优化
小颜团子
09-18 1652
1.1 调整隐藏Nginx软件版本号信息 一般来说,软件的漏洞和版本有关,因此,我们应该隐藏或消除web服务对访问用户显示显示各类敏感信息(例如web软件名称及版本号等信息),这样恶意的用户就很难猜到他攻击的服务器所用的是否有特定漏洞的软件,或者是否有对应漏洞的某一些特定版本,从而加强web服务安全性。 **想要了解使用软件的版本号,linux下最简单的方法就是执行curl命令
运维系列Nginx安全配置
CancerKing的博客
12-31 372
运维系列Nginx安全配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值