针对Nginx SSL协议进行安全加固

已于 2022-03-04 14:48:50 修改
阅读量7k 收藏 1
点赞数
分类专栏: linux nginx 文章标签: nginx ssl 安全
于 2022-03-04 14:46:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37729047/article/details/123275495
版权

由于自建nginx服务在安全审查时需要进行SSL协议进行加固

nginxSSL协议加固建议如下

Nginx SSL协议采用TLSv1.2:
1、打开`conf/nginx.conf`配置文件(or include file in the main configuration file);
2、配置
```
server { 
               ...
              ssl_protocols TLSv1.2;
               ...
                     }
```
备注:配置此项请确认nginx支持OpenSSL,运行`nginxv -V` 如果返回中包含`built with OpenSSL`则表示支持OpenSSL。如果不支持,请重新编译nginx

在加固时,发现这个nginx并没有开启SSL模块

./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) 
configure arguments: --prefix=/home/nginx

 故需要重新编译nginx

在nginx的解压包下运行 

./configure --prefix=/home/nginx  --with-http_ssl_module --with-openssl=/usr/local/ssl

make

--prefix:nginx的安装位置

--with-http_ssl_module:开启nginx的ssl模块

--with-openssl:openssl的的位置正常情况下不需要指定,openssl手动手动安装过的话有可能找不到需要指定。

但是在make后爆出了这样的错误

/bin/sh: line 2: ./config: No such file or directory
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'
make: *** [build] Error 2

 根据报错信息我们知道,出错是因为Nginx在编译时并不能在/usr/local/ssl/.openssl/ 这个目录找到对应的文件,其实我们打开/usr/local/ssl/这个目录可以发现这个目录下是没有.openssl目录的,因此我们修改Nginx编译时对openssl的路径选择就可以解决这个问题了
解决方案:
打开nginx源文件下的/usr/local/src/nginx-1.9.9/auto/lib/openssl/conf文件:
找到这么一段代码:
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
修改成以下代码:
CORE_INCS="$CORE_INCS $OPENSSL/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
 然后再进行Nginx的编译安装即可

注意 现在展示只能make 不要 make install

假如make install就会把之前安装的nginx给覆盖

在在make之后进入objs文件夹

把里面的nginx文件跟之前的nginx文件替换,再重启一下,ssl模块就搞好了。

./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) 
built with OpenSSL 1.1.1i  8 Dec 2020
TLS SNI support enabled
configure arguments: --prefix=/home/nginx --with-http_ssl_module --with-openssl=/usr/local/ssl

颜值爆表的怪蜀黍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx配置https ssl 安全协议
12-05
nginx配置https ssl 安全协议nginx配置https ssl 安全协议
信息技术_nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测
05-29
实现nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测部署
Nginx配置ssl证书(https证书)
u010797364的博客
10-19 1万+
Nginx配置SSL安全证书
Nginx配置SSL证书
最新发布
krb___的博客
03-25 1381
SSL(Secure Sockets Layer)是一种用于保护在Internet上进行数据传输的加密协议。它是一种为网络通信提供安全性的协议,最初由网景公司(Netscape)开发。SSL的目标是通过对数据进行加密和身份验证,确保敏感信息在用户与网站之间的传输中得到保护。SSL通过在通信的两端之间建立安全的连接来实现其目标。这个安全连接使得通过互联网传输的数据在被发送和接收时都是加密的,从而防止第三方拦截和窃取敏感信息。
在Linux中对Nginx进行安全加固
weixin_43268590的博客
02-01 737
在Linux中对Nginx进行安全加固
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
Nginx常用安全加固措施+限速模块
虫虫的博客
04-23 1652
Nginx常用安全加固措施+限速模块
nginx服务的安全解决方案
liuerpeng1904的博客
10-11 1911
备注:配置此项请确认nginx支持OpenSSL,运行nginxv -V 如果返回中包含built with OpenSSL则表示支持OpenSSL。如果不支持,请重新编译nginx
【网络安全Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 1278
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
手把手教学|Nginx 如何配置 HTTPS 服务器
m0_70556273的博客
09-27 1256
✍在这个例子中,http://www.godaddy.com 服务器 0 号证书的主题(" s ")是由颁发者(" i ")签名的,而它本身就是 1 号证书的主题,它又由它的颁发者("i")签名,而它的颁发者又是 2 号证书的主题("s"),它又由著名的颁发机构 ValiCert, Inc 签名。而它的证书存储在浏览器的内置证书库中。✍浏览器通常会存储它们收到的并由受信任的权威机构签署的中间证书,因此活跃使用的浏览器可能已经拥有所需的中间证书,并且可能不会抱怨在没有链接包的情况下发送的证书。
Nginx https 协议配置 ssl_protocols 的相关问题
热门推荐
浴血重生-学习空间
03-23 4万+
1. Nginx https相关配置 官方说明:详细看这里 本文主要针对以下两个主要配置从代码层次进行分析: 协议配置: Syntax: ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3]; Default: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Contex...
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
升级zlib-openssl-openssh-全站验证兼容centos6 centos78
08-23
里面也有日常运维的安全加固以及修改端口的配置 也有修改版本的操作,修改版本建议修改后在编译安装。 源码编译升级,升级后如果有涉及sslssh协议编译的软件有小概率会有故障,建议一起升级 例如nginx编译的时候用了...
canvas-lms-cloud:在从简单的本地虚拟机实例到水平扩展、容错、负载平衡的私有云的所有内容上自动配置、部署和托管开源 Canvas LMS
06-06
Nginx 用作 SSL 终结器、静态缓存、循环负载均衡器,支持 SPDY 协议 利用 Redis 提高系统性能 利用 Cassandra 提高系统性能 处理多个物理数据中心设置 使用循环负载平衡处理多个应用程序主机 处理关系数据库集群...
Nginx 安全加固参考建议 —— 筑梦之路
筑梦之路
12-01 2352
nginx作为一款流行的web服务器,很多时候作为网站访问入口暴露在公网环境上,为了保护我们的资产,安全加固必不可少。1. 禁用server_tokens指令,不暴露版本号。以上是nginx安全加固的一些建议,仅供参考。4. 设置access error日志。2. 禁用不需要的HTTP方法。8. 限制并发、访问速率和流量。5. 反向代理隐藏主机信息。7. header安全加固。3. 设置缓冲区大小限制。6. SSL安全加固
SCG WS nginx 安全加固
架构师的成长之路的博客
01-19 2093
SCG WS nginx - OWASP 概括 这提供了 NginX 安全配置强化指南。配置指南侧重于 NginX 本身。因此,Linux 操作系统配置加固不在此处介绍。 它包括以下主题: 2.1 缓冲区溢出保护 2.2 删除不必要的备份文件 2.3 删除版本号 2.4 缓解缓慢的 HTTP DoS 攻击 2.5 仅允许访问指定域 2.6 限制 IP 客户端访问 2.7 SSL/TLS 配置 2.8 SSL 模块 2.9 HTTP 安全标头 2.10限制 HTTP 方法 安全配置 缓冲区溢出保
Openssl 升级操作
weixin_30732825的博客
12-17 255
转自:http://www.cnblogs.com/lzcys8868/p/9235538.html 首先我觉得没事就用绿盟扫漏洞的公司,就是闲的蛋疼,傻逼!不少服务器使用nginx,如果openssl 是静态编译的,直接将openssl 编译到nginx里面去了,这就意味着,单纯升级openssl 是没有任何效果的,nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译...
基于openresty的https配置实践(openssl生成证书)
thinker
10-16 1145
HTTPS需要的证书,必须是认证机构颁发的,这里的配置实践,也是从技术路线上的一次操作,证书是基于openssl生成的。没有谁颁发,自建得之!开始实践!!!! 1. openssl的版本信息 [root@localhost conf]# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 2. openresty的版本信息 [root@localhost sbin]# ./nginx -V nginx version: openresty/1.1
openssl 升级操作 -2
weixin_33817333的博客
06-27 389
首先我觉得没事就用绿盟扫漏洞的公司,就是闲的蛋疼,傻逼!不少服务器使用nginx,如果openssl 是静态编译的,直接将openssl 编译到nginx里面去了,这就意味着,单纯升级openssl 是没有任何效果的,nginx不会加载外部的openssl动态链接库的,必须将nginx重新编译才可以根治。所以我说那些没事就扫漏洞的公司是傻逼。。。 一.判断nginx 是否是...
针对NginxSSL协议进行安全加固
04-01
使用最新版本的Nginx可以保证SSL协议安全性,因为新版本通常会修复已知的漏洞。 2. 选择安全的加密套件: 在Nginx的配置文件中,可以选择使用安全的加密套件,例如AES和RSA等。同时,可以禁用不安全的加密套件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值