Nginx安全基线配置参考

于 2021-04-26 09:00:16 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 系统运维 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46573967/article/details/116142673
版权
本文介绍了Nginx的安全基线配置,包括日志审计、限制IP访问、控制超时时间、下载限制并发和速度,以及其他提升服务器安全性的措施。如开启错误日志和访问日志记录,限制特定IP访问,调整超时时间,限制下载速度,卸载不必要的模块,自定义错误信息,并确保定期更新补丁以修补漏洞。
摘要由CSDN通过智能技术生成

一 日志审计

编辑 nginx.conf 配置文件:

  • 将 error_log 前的 “#” 去掉,记录错误日志
  • 将 access_log 前的 “#” 去掉,记录访问日志

 

二 服务

1 限制IP访问

对网站或敏感目录的访问 IP 进行限制

参考配置操作:

(1) 修改配置文件(配置文件位置可能存放于其他地方)

# vi /usr/local/nginx/conf/nginx.conf

 

具体设置如下:

location / {
deny 192.168.1.1;  #拒绝IP
allow 192.168.1.0/24;  #允许IP
allow 10.1.1.0/16;  #允许IP
deny all;  #拒绝其他所有IP

 

(2) 重新启动nginx服务

 

2 控制超时时间

控制超时时间,提高服务器性能,降低客户端的等待时间

 参考配置操作:

(1) 修改配置文件

# vi /usr/local/nginx/conf/nginx.conf

 

具体设置如下:

client_body_timeout 10;  #设置客户端请求主体读取超时时间
client_header_timeout 10;  #设置客户端请求头读取超时时间
keepalive_timeout 55;  #第一个参数指定客户端连接保持活动的超时时
最低0.47元/天 解锁文章
中国信创服务社区
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
中国信创服务社区兼容适配指南
01-15 8289
前言:进入信创服务社区后想要进行适配的用户可以根据以下内容进行适配操作,本文贯穿适配的全流程,从适配申请到证书申领的每个环节都有详细介绍和截图。一、适配介绍进行产品适配前进入“适配中心”查看适配介绍,包括适配兼容认证产品范围及分类、适配兼容认证流程、适配服务、适配认证。适配兼容认证产品范围及分类适配兼容认证流程适配服务和适配认证二、企业信息企业用户进行适配申请前需先录入企业信息,个人用户进行适配申请前需先完成实名认证,然后录入企业信息。个人用户需先进...
博客
麒麟V10SP1简单入侵痕迹分析
04-26 1847
一 SSH登录情况分析1 wtmp 日志使用 last 命令能够查看 SSH 近期登录成功情况,配合部分参数还能获得更详细的信息,例如登录的时间、IP地址等,通过对这些数据的分析能够知晓是否有异常登录行为:# last# last -x -F详细参数命令:2 查看在线用户情况(1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。(2)who am ...
博客
银河麒麟高级服务器操作系统V10上基于Docker、x11vnc-desktop打造基于容器的在线IDEA arm64开发环境方案
04-12 3157
前言在线IDE目前表现比较好的有云效,其功能主要还是以Web方式提供在线vscode集成开发环境,启动编辑环境初步推断为内部启动一个专用语言的虚拟机或者容器,clone源码。优点是客户端只需要一个浏览器,缺点是需要熟悉vscode开发环境,对习惯IDEA的开发者不太友好,且部分快捷键由于浏览器问题不能正常使用。本文探索另外一个在线IDE方案,采用docker容器技术提供底层计算、存储环境,通过x11vnc-desktop在字符界面服务器容器内开启一个图形界面,通过vnc协议对外提供服务。用户通过浏览
博客
在麒麟V10终端连接Windows远程桌面的方法
04-09 6537
近期有厂商在适配过程中提出了这样的需求,在麒麟V10桌面终端连接他们的 Windows 服务端的远程桌面进行操作。通过了解,在 Linux 下可以通过rdesktop软件连接 Windows 远程桌面服务,下面是麒麟桌面端安装和运行方法:1、首先在终端安装 rdesktop 软件sudo apt updatesudo apt install rdesktop2、通过以下命令连接Windows远程桌面,在麒麟终端命令行输入:rdesktop -g 1440x900 -P -z -x l
博客
在麒麟V10服务端安装VNC并通过麒麟终端连接实现远程图形化桌面管理操作
04-07 6659
1、将 VNC 软件 tigervnc-server-1.10.1-2.p01.ky10.aarch64.rpm 上传至服务器(通过SSH或SFTP都可以)2、安装VNC服务:sudo rpm -ivh tigervnc-server-1.10.1-2.p01.ky10.aarch64.rpm3、复制一个配置文件到系统服务目录下sudo cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@..
博客
银河麒麟桌面操作系统V10 FT2000 CPU 上源码编译Qt5.6.1
03-24 2782
前言本文介绍银河麒麟桌面操作系统V10上基于源码静态编译Qt5.6.1。完成Qt静态便以后,创建一个helloworld程序使用qmake静态编译它,并测试程序运行效果一、下载源码wget https://download.qt.io/new_archive/qt/5.6/5.6.1/single/qt-everywhere-opensource-src-5.6.1.tar.gz源码文件信息File informationFilename: qt-everywhere-openso
博客
在PK体系下的CentOS上编译安装 MySQL 5.7
03-04 1337
本文主要介绍如何在 PK 体系下的 CentOS 上编译安装 MySQL 5.7,本文使用的操作系统环境为:CentOS 版本:# cat /etc/redhat-releaseCentOS Linux release 7.6.1810 (AltArch)Linux 内核版本:# uname -r4.14.0-115.el7a.0.1.aarch64首先对系统进行更新:# yum update, 更新过程中需要校验 GPG key,确认无误则输入"y"继续。更新完成.
博客
Nginx日志配置经验分享
03-03 2913
Nginx 日志Nginx 日志分为两种,一种是错误日志(error log),记录 Nginx 运行过程中遇到的异常,一种是访问日志(access log),记录的是 WEB 服务被用户访问时留下的一些信息。例如哪些文件被访问过、Nginx 如何响应、用户使用的 IP 地址等等。1 开启访问日志要开启访问日志,在 nginx.conf 文件中的 http 或 server 字段添加以下参数:access_log log_file log_format;其中 log_file 为日志要保存.
博客
麒麟V10更换OpenJDK为Oracle JDK
03-02 5260
1 简介JDK(Java Development Kit)是 Java 平台编程中使用的软件开发环境。它包含一个完整的 Java 运行时环境,即所谓的私有运行时。该名称来自于它包含的工具多于独立的 JRE 以及开发 Java 应用程序所需的其他组件。常见的有 OpenJDK 和 Oracle JDKOracleJDK 根据 Oracle 二进制代码许可协议获得许可,而 OpenJDK 具有 GNU 通用公共许可证(GNU GPL)版本2。使用 Oracle 平台时会产生一些许可影响。如 Orac
博客
麒麟操作系统配置sftp用户及nginx
02-26 4073
需求:1、用户能够通过 sftp 协议上传 html 文件至 nginx 目录,用户不能 ssh 到服务器2、用户能够通过 nginx 访问 html 文件sftp 配置1、创建用户组groupadd sftp//创建名为 sftp 的用户组2、创建用户到用户组useradd -d /home/sftp -m -g sftp -s /bin/false sftp-d /home/sftp -m 设置用户家目录,由于不能登录,这个目录其实没什么用,因此也可以去掉家...
博客
PHP应用环境如何加固?给你支几招
02-26 546
1 操作系统修改SSH对外开放端口,减少口令爆破攻击风险,默认为222 Nginx隐藏 Banner 信息:编辑nginx.conf, 在http段中添加server_tokens off; 禁止上传目录执行 PHP 脚本:假设上传目录为”/uploads”,配置示例如下:(注:“location ~* ^/upload/.*\.php”必须写在前面!对于location的正则表达式,nginx是按照先后顺序来匹配的;~* 为不区分大小写) server {….location.
博客
SSL 证书怎么选型?看这篇就够了!
02-24 621
SSL是安全套接层协议(Secure Socket Layer)的缩写。它能够为明文的TCP/IP协议(例如HTTP)提供以下安全服务:认证收发方的身份,确认数据是由正确的发送方发送; 对收发过程中的数据进行加密,确保不被第三方(中间人)窃听; 对收发过程中的数据进行完整性校验,确保数据未受到非预期的篡改。1. SSL工作原理SSL同时使用了对称加密和非对称加密技术,以HTTPS为例,其大致工作原理及流程如下:1. 用户浏览器发起连接请求。2. 服务器发送其非对称公钥(服务器拥有非对称
博客
麒麟操作系统新硬盘创建 LVM 硬盘管理
02-23 6027
云主机主硬盘空间不够,于是新购了一块硬盘挂上去,但是通过df命令查看,挂载空间还是没有什么变化?别急,这是因为新硬盘还没有经过一系列初始化操作,甚至连分区都没有。传统的硬盘挂载步骤大概是:在物理磁盘上创建分区-->格式化分区-->挂载分区到某个目录。但这样的方式有一个缺陷,那就是分区大小从创建之初就已经确定,后面如果空间不够的话,只能新添硬盘并重新挂载到新的目录,上层的应用也需要改相应的配置。所以不如使用LVM硬盘管理模式。本文编写时使用的系统为麒麟V4服务器操作系统,目前麒麟V10服务
博客
麒麟V10系统如何使用root权限
02-22 9532
很多时候我们分配到一台云服务器时,拿到的并不是root账号,登录后,命令提示符是 $ 而不是 #,这就说明我们当前的会话是普通用户权限,无法进行一些特权操作。这时,如果需要进行root权限的操作的话,分为两种情况:一种是当前账号本身不具备root权限,那么需要找云主机系统管理员或服务提供商咨询获取 另一种是当前账号已经具备root权限,只是出于安全考虑当前运行在普通权限下,这种情况可以自行提升到root权限进行操作:1 以root权限执行命令以root权限执行命令时,只需在命令前加上 sud
博客
信息系统安全建议
02-05 1280
1.系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2.禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;3.有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅...
博客
ARM(aarch64)CentOS阿里源更新报签名校验错误
02-04 1074
最近遇到 ARM 版 CentOS 配置阿里源更新报错:The GPG keys listed for the "CentOS-7 - Base" repository are already installed but they are not correct for this package.Check that the correct key URLs are configured for this repository.GPG 在 Linux 上的应用主要是实现官方发布的包的签名机制。
博客
electron在Windows、Linux和KYLIN操作系统下的不同表现
02-03 1113
一、electron简介Electron 是一个由 Github 开发、用 HTML,CSS 和 JavaScript 来构建跨平台桌面应用程序的框架, 然后这些应用程序可以打包在macOS、Windows和Linux上直接运行,或者通过Mac App Store或微软商店分发。Electron 的核心理念是:保持 Electron 的体积小和可持续性开发。 如:为了保持 Electron 的小巧 (文件体积) 和可持续性开发 (以防依赖库和 API 的泛滥) , Electron 限制了所使用的核心
博客
在麒麟服务器上部署FastDFS
02-02 1774
FastDFS 是一个开源的高性能分布式文件系统(DFS)。 它的主要功能包括:文件存储,文件同步和文件访问,以及高容量和负载平衡。FastDFS 系统有三个角色:跟踪服务器(Tracker Server)、存储服务器(Storage Server)和客户端(Client)。Tracker Server: 跟踪服务器,主要做调度工作,起到均衡的作用;负责管理所有的storage server和group,每个 storage 在启动后会连接 Tracker,告知自己所属 group 等信息,并保持周
博客
在麒麟V10服务器上部署Prometheus
02-01 979
1 准备工作Prometheus 是一套开源的系统监控报警框架。它启发于 Google 的 borgmon 监控系统,由工作在 SoundCloud 的 google 前员工在 2012 年创建,作为社区开源项目进行开发,并于 2015 年正式发布。2016 年,Prometheus 正式加入 Cloud Native Computing Foundation,成为受欢迎度仅次于 Kubernetes 的项目。Prometheus 源代码托管在 GitHub 上,同时有编译好的能够适用于麒麟操作系统
博客
如何进行有效的信息系统集成项目管理
01-28 1797
摘要:本文首先从对项目管理的理解开始,从具体的问题分析着手,说明项目管理在信息系统集成项目建设中的重要性;接着介绍了项目管理九大知识域、五个过程组及其相互关系,介绍了几个有效的分析方法;最后介绍了项目管理在实际工作中的应用。关键词:项目管理信息系统一、项目管理概述项目管理是指“在项目活动中,运用专门的知识、技能、工具和方法,使项目能够实现或超过项目干系人的需求和期望”。我们可以从以下几点进一步加强对项目管理的理解:1、项目管理是协调整个项目过程,以满足参与者及其他利益相关者(项目干系人)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值