针对Nginx SSL协议进行安全加固

已于 2022-03-04 14:48:50 修改
阅读量7.1k 收藏 1
点赞数
分类专栏: linux nginx 文章标签: nginx ssl 安全
于 2022-03-04 14:46:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37729047/article/details/123275495
版权

由于自建nginx服务在安全审查时需要进行SSL协议进行加固

nginxSSL协议加固建议如下

Nginx SSL协议采用TLSv1.2:
1、打开`conf/nginx.conf`配置文件(or include file in the main configuration file);
2、配置
```
server { 
               ...
              ssl_protocols TLSv1.2;
               ...
                     }
```
备注:配置此项请确认nginx支持OpenSSL,运行`nginxv -V` 如果返回中包含`built with OpenSSL`则表示支持OpenSSL。如果不支持,请重新编译nginx

在加固时,发现这个nginx并没有开启SSL模块

./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) 
configure arguments: --prefix=/home/nginx

 故需要重新编译nginx

在nginx的解压包下运行 

./configure --prefix=/home/nginx  --with-http_ssl_module --with-openssl=/usr/local/ssl

make

--prefix:nginx的安装位置

--with-http_ssl_module:开启nginx的ssl模块

--with-openssl:openssl的的位置正常情况下不需要指定,openssl手动手动安装过的话有可能找不到需要指定。

但是在make后爆出了这样的错误

/bin/sh: line 2: ./config: No such file or directory
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'
make: *** [build] Error 2

 根据报错信息我们知道,出错是因为Nginx在编译时并不能在/usr/local/ssl/.openssl/ 这个目录找到对应的文件,其实我们打开/usr/local/ssl/这个目录可以发现这个目录下是没有.openssl目录的,因此我们修改Nginx编译时对openssl的路径选择就可以解决这个问题了
解决方案:
打开nginx源文件下的/usr/local/src/nginx-1.9.9/auto/lib/openssl/conf文件:
找到这么一段代码:
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
修改成以下代码:
CORE_INCS="$CORE_INCS $OPENSSL/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
 然后再进行Nginx的编译安装即可

注意 现在展示只能make 不要 make install

假如make install就会把之前安装的nginx给覆盖

在在make之后进入objs文件夹

把里面的nginx文件跟之前的nginx文件替换,再重启一下,ssl模块就搞好了。

./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) 
built with OpenSSL 1.1.1i  8 Dec 2020
TLS SNI support enabled
configure arguments: --prefix=/home/nginx --with-http_ssl_module --with-openssl=/usr/local/ssl

颜值爆表的怪蜀黍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 常用配置、SSL安全加固
冷雨夜的专栏
03-21 74
Nginx 常用配置、SSL安全加固
nginx配置https ssl 安全协议
12-05
nginx配置https ssl 安全协议nginx配置https ssl 安全协议
nginx安全加固
qq_40907977的博客
06-24 5191
1. 在Nginx中禁用server_tokens指令 该server_tokens指令告诉nginx的错误页面显示其当前版本。 这是不可取的,因为您不想与世界共享这些信息,以防止在您的Web服务器由特定版本中的已知漏洞造成的攻击。 要禁用server_tokens指令,设定在关闭服务器块内: server { listen 192.168.0.88:80; Server_tokens off; server_name howtoinglovesnginx.com www.ngi
Nginx学习笔记(十)如何配置HTTPS协议?(公网)
最新发布
ACGkaka的博客
06-10 823
Nginx学习笔记(十)如何配置HTTPS协议?(公网)
Nginx下配置SSL安全协议
手可摘星河
05-11 68
生成证书: # cd /usr/local/nginx/conf # openssl genrsa -des3 -out server.key 1024 # openssl req -new -key server.key -out server.csr # cp server.key server.key.org # openssl rsa -in server.key.or...
【网络安全Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 1690
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
信息技术_nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测
05-29
实现nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测部署
018-web应用服务器安全加固.pptx
10-22
Nginx安全加固策略与Apache类似,包括合理设置用户权限、限制访问权限、优化日志配置、禁止目录浏览等,但具体的配置指令和方法会有差异,需根据Nginx的配置文件进行调整。 ### Tomcat安全加固 - 同样,Tomcat也...
Nginx实际运用》.pptx
05-07
08Nginx安全加固Nginx安全加固•限制IP访问•使用防火墙或Nginx内置的limit_conn和limit_req模块限制特定IP的访问频率。•禁止目录浏览•在Nginx配置中,设置autoindex off来防止目录列表显示。•HTTPS支持•...
nginx服务的安全解决方案
liuerpeng1904的博客
10-11 1980
备注:配置此项请确认nginx支持OpenSSL,运行nginxv -V 如果返回中包含built with OpenSSL则表示支持OpenSSL。如果不支持,请重新编译nginx
Nginx常用安全加固措施+限速模块
虫虫的博客
04-23 1928
Nginx常用安全加固措施+限速模块
Nginx 安全加固参考建议 —— 筑梦之路
筑梦之路
12-01 2441
nginx作为一款流行的web服务器,很多时候作为网站访问入口暴露在公网环境上,为了保护我们的资产,安全加固必不可少。1. 禁用server_tokens指令,不暴露版本号。以上是nginx安全加固的一些建议,仅供参考。4. 设置access error日志。2. 禁用不需要的HTTP方法。8. 限制并发、访问速率和流量。5. 反向代理隐藏主机信息。7. header安全加固。3. 设置缓冲区大小限制。6. SSL安全加固
六剑封喉:Nginx安全加固秘籍,打造坚不可摧的Web防线
java专栏
04-29 168
在网络世界中,Nginx作为流量的守门员,其安全性直接影响到整个系统的防护能力。《Nginx-安全加固/安全基线》旨在为你提供一套全面的安全升级指南,通过精巧的配置和最佳实践,确保你的Web服务坚如磐石,让黑客望而却步。遵循上述六步策略,你的Nginx将穿上坚不可摧的铠甲,无论是抵挡直接攻击,还是防御间接渗透,都能游刃有余。安全是一场持久战,持续关注并应用最新的安全实践,是守护网络疆域的关键。通过这六步加固之旅,让Nginx成为你数字领地的坚实屏障,让每一次访问都安全可靠。减少攻击面,只启用必需的功能。
在Linux中对Nginx进行安全加固
weixin_43268590的博客
02-01 825
在Linux中对Nginx进行安全加固
S-安全基线-nginx加固
qq_21193587的博客
06-02 5237
文章目录高检查是否配置Nginx账号锁定策略。 | 身份鉴别高Nginx后端服务指定的Header隐藏状态 | 服务配置高Nginx的WEB访问日志记录状态 | 服务配置高确保已禁用自动索引模块 | 访问控制高确保已禁用自动索引模块 | 访问控制高检查Nginx进程启动账号。 | 服务配置高隐藏Nginx服务的Banner | 服务配置高确保NGINX配置文件权限为64
案例:配置apache和nginxSSL加密传输协议
java580的博客
03-25 285
一、SSI解释 SSI是一种类似于ASP的基于服务器的网页制作技术。将内容发送到浏览器之前,可以使用“服务器端包含 (SSI)”指令将文本、图形或应用程序信息包含到网页中。例如,可以使用 SSI 包含时间/日期戳、版权声明或供客户填写并返回的表单。对于在多个文件中重复出现的文本或图形,使用包含文件是一种简便的方法。将内容存入一个包含文件中即可,而不必将内容输入所有文件。通过一个非常简单的语句即可...
Openssl 升级操作
weixin_30732825的博客
12-17 269
转自:http://www.cnblogs.com/lzcys8868/p/9235538.html 首先我觉得没事就用绿盟扫漏洞的公司,就是闲的蛋疼,傻逼!不少服务器使用nginx,如果openssl 是静态编译的,直接将openssl 编译到nginx里面去了,这就意味着,单纯升级openssl 是没有任何效果的,nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译...
针对NginxSSL协议进行安全加固
04-01
1. 更新Nginx版本: 使用最新版本的Nginx可以保证SSL协议安全性,因为新版本通常会修复已知的漏洞。 2. 选择安全的加密套件: 在Nginx的配置文件中,可以选择使用安全的加密套件,例如AES和RSA等。同时,可以禁用不安全的加密套件,例如DES和RC4等。 3. 启用HSTS: HTTP Strict Transport Security (HSTS) 可以强制客户端只使用HTTPS进行通信,从而提高安全性。在Nginx的配置文件中,可以启用HSTS: ``` add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; ``` 4. 禁止SSLv2和SSLv3: SSLv2和SSLv3已经被证明是不安全的,因此应该禁用它们。在Nginx的配置文件中,可以添加以下指令: ``` ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ``` 5. 启用OCSP Stapling: OCSP Stapling可以提高SSL证书的验证速度,并减少中间人攻击的可能性。在Nginx的配置文件中,可以启用OCSP Stapling: ``` ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/chain.pem; resolver 8.8.8.8; ``` 6. 使用证书链: 使用证书链可以增加SSL证书的可信度,从而提高安全性。在Nginx的配置文件中,可以使用证书链: ``` ssl_certificate /path/to/ssl.crt; ssl_certificate_key /path/to/ssl.key; ssl_trusted_certificate /path/to/chain.pem; ``` 7. 防止DoS攻击: 在Nginx的配置文件中,可以设置连接限制和缓冲区大小,从而防止DoS攻击: ``` limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; client_body_buffer_size 10K; client_header_buffer_size 1k; ``` 8. 启用TLS 1.3: TLS 1.3是最新的SSL/TLS协议,可以提供更高的安全性和更快的连接速度。在Nginx的配置文件中,可以启用TLS 1.3: ``` ssl_protocols TLSv1.3; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值