Nginx的这些安全设置,你都知道吗?

最新推荐文章于 2024-05-28 17:17:08 发布
最新推荐文章于 2024-05-28 17:17:08 发布
阅读量650 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21007661/article/details/110518820
版权

Nginx 是最流行的 Web 服务器,可以只占用 2.5 MB 的内存,却可以轻松处理 1w 的 http 请求。

做为网站的入口,Nginx 的安全设置重要性不言而喻。

下面带你一起去认识一下这些安全配置吧!

nginx.conf是 Nginx 最主要的配置文件,大部分的安全配置都在这个文件上进行。

禁用不需要的 Nginx 模块

自动安装的 Nginx 会内置很多模块,并不是所有的模块都需要,对于非必须的模块可以禁用,如 autoindex module ,下面展示如何禁用

./configure --without-http_autoindex_module

make

make install

不展示 server tokens

默认情况下,Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号,这可能会导致信息泄露,未经授权的用户可能会了解你使用的nginx版本。 应该在 nginx.conf 通过设置 server_tokens off 来禁用

控制资源和限制

为了防止对 Nginx 进行潜在的 DOS 攻击,可以为所有客户端设置缓冲区大小限制,配置如下:

client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k,但建议将此值设置为低至1k:client_body_buffer_size 1k
client_header_buffer_size 为客户端请求标头指定标头缓冲区大小。 设置为 1k 足以应付大多数请求。
client_max_body_size 为客户端请求指定可接受的最大正文大小。 设置为 1k 应该足够了,但是如果通过 POST方法接收文件上传,则需要增加它。
large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2,每个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据, large_client_header_buffers 2 1k

禁用所有不需要的 HTTP 方法

禁用所有不需要的 HTTP 方法,下面设置意思是只允许 GET、HEAD、POST 方法,过滤掉 DELETE 和 TRACE 等方法。

location / {
limit_except GET HEAD POST { deny all; }
}

另一种方法是在 server 块 设置,不过这样是全局设置的,要注意评估影响

if ( r e q u e s t m e t h o d !   ( G E T ∣ H E A D ∣ P O S T ) request_method !~ ^(GET|HEAD|POST) requestmethod! (GETHEADPOST) ) {
return 444; }

监控访问日志和错误日志

持续监控和管理 Nginx 的错误日志,就能更好的了解对 web 服务器的请求,注意到任何遇到的错误,有助于发现任何攻击尝试,并确定您可以执行哪些操作来优化服务器性能。

可以使用日志管理工具(例如 logrotate )来旋转和压缩旧日志并释放磁盘空间。 同样,ngx_http_stub_status_module 模块提供对基本状态信息的访问。

合理配置响应头

为了进一步加强 Nginx web 的性能,可以添加几个不同的响应头,推荐

X-Frame-Options

可以使用 X-Frame-Options HTTP 响应头指示是否应允许浏览器在 或 中呈现页面。 这样可以防止点击劫持攻击。

配置文件中添加:

add_header X-Frame-Options “SAMEORIGIN”;

Strict-Transport-Security

HTTP Strict Transport Security,简称为 HSTS。它允许一个 HTTPS 网站,要求浏览器总是通过 HTTPS 来访问它,同时会拒绝来自 HTTP 的请求,操作如下:

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”;

CSP

Content Security Policy (CSP) 保护你的网站避免被使用如 XSS,SQL注入等手段进行攻击,操作如下:

add_header Content-Security-Policy “default-src ‘self’ http: https: data: blob: ‘unsafe-inline’” always;

配置 SSL 和 cipher suites

Nginx 默认允许使用不安全的旧 SSL 协议,ssl_protocols TLSv1 TLSv1.1 TLSv1.2,建议做如下修改:

ssl_protocols TLSv1.2 TLSv1.3;
此外要指定 cipher suites ,可以确保在 TLSv1 握手时,使用服务端的配置项,以增强安全性。

ssl_prefer_server_ciphers on

定期更新服务器

旧版的 Nginx 总会存在各种各样的漏洞,所以最好更新到最新版。

漏洞可以去各大 CVE 网站去查询,Nginx 最新版则去官网查看。

uttery
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx配置参数解释
NoFaceNoSkin的博客
11-09 6015
  目录 worker_processes work_cpu_affinity worker_rlimit_nofile events模块 1、use method; 2、worker_connections 3、multi_accept http模块 1、server_names_hash_bucket_size 2、client_header_buffer_size 3...
nginx 因POST请求体内容过大导致500,设置 client_max_body_size,client_body_buffer_size
Xpy 的博客
11-04 5215
设置 client_max_body_size 和 client_body_buffer_size。
nginx 安全配置
最新发布
fangxiang2008的博客
05-28 1357
nginx 安全配置
nginx.conf 配置详解
qq_23371195的博客
05-01 1168
本文详细讲解了对nginx.conf文件配置,对学习nginx服务器的新手来说是天大的福音!话不多说,请看过后自行评论有没有帮助
Nginx10】Nginx学习:HTTP核心模块(七)请求体及请求限流
硬核项目经理
07-20 567
Nginx学习:HTTP核心模块(七)请求体及请求限流对于一个请求来说,请求行、请求头、请求体共同构成了它的整体。不过如果仅仅是 GET 请求的话,其实一般会忽略掉请求体。但是,现在大部分的伪 RESTful 开发风格,基本上已经变成了全部都是 POST 的天下了。特别是小型公司,不管前后端分离还是小程序、APP,一套 POST 走天下。这也不怪我们懒,或者不规范,小公司毕竟是以成本,以效率来搏命...
nginx配置文件介绍
小帅的博客
10-24 797
nginx配置文件大致分为三大块: 全局快、events块、http块(又分为几个小块) 待续…
nginx centos 服务开机启动设置实例详解
09-30
- `PrivateTmp=true`设置表示为`nginx`服务分配一个独立的临时文件空间,以提高安全性。 保存并退出编辑器后,确保文件具有适当的权限: ```bash chmod 755 /lib/systemd/system/nginx.service ``` 接下来,我们...
Nginx用htpasswd对网站进行密码保护的设置方法
09-30
总结来说,使用Nginx和htpasswd进行密码保护网站是一个有效的安全措施,它涉及修改Nginx配置、创建htpasswd文件、设置文件权限以及重新加载Nginx服务。这个过程确保了只有知道特定用户名和密码的用户才能访问受保护...
linux下安装Nginx所需依赖包
04-18
在Linux系统中安装Nginx是一项基础且重要的任务,尤其对于运维人员来说,理解这个过程中的每一个步骤和涉及的依赖包至关重要。...理解这些步骤可以帮助我们更好地管理和维护Nginx服务器,提高系统的稳定性和安全性。
Nginx目录设置访问密码
08-08
这些步骤确保了只有知道正确凭证的用户才能访问该目录,从而提高了服务器的安全性。 标签 "源码 工具" 提示我们关注的是与代码和实用工具相关的操作。在本例中,`htpasswd.py`作为工具用于生成源代码(即`.htpasswd...
Windows下添加Nginx为服务
06-09
这里我们将详细介绍如何在Windows环境下将Nginx设置为服务,以及涉及的主要工具和步骤。 首先,我们要知道Nginx是一个高性能的HTTP和反向代理服务器,广泛应用于网站的负载均衡和静态内容服务。在Windows上安装...
nginx只允许get/post请求
热门推荐
蓝天之枫
09-04 3万+
# admin server start     server {         listen      ${admin.port} backlog=8192;         server_name ${domain};                  proxy_http_version  1.1;         proxy_set_header    Connection
nginx的client_header_buffer_size、large_client_header_buffers配置解析
zzhongcy的专栏
09-29 6008
Nginx
Nginx配置指令(三)
bigwood99的博客
12-22 1676
21.client_header_buffer_size client_header_buffer_size 大小 默认值:1k 功能:设置缓存头的大小,是缓存客户端发送个服务器的请求头部。一般情况1k大小是足够的。 用于http,server模块 22.client_header_timeout 语法:client_header_timeout 时间 默认值:60 功能:设置读取客户端请求标题的超时时间。 用于http,server模块 ...
Nginx09】Nginx学习:HTTP核心模块(六)请求头处理
硬核项目经理
07-17 2758
Nginx学习:HTTP核心模块(六)请求头处理对于一个 HTTP 应用来说,最重要的其实就是 HTTP 的两个核心功能,一个是请求,一个就是响应。而对于一个 Web 应用服务器来说,响应通常是静态文件或者是动态程序代码来完成,围绕响应的配置指令大部分以缓存优化为主。从这里也能看出,在 Nginx 这种应用服务中,请求相关的内容会更多一些,因为我们要面对的,要对接的,就是从外部不断发过来的请求。今...
stream模式不能接受blob文件_玩转文件下载
weixin_39562340的博客
12-10 676
今天阿宝哥给大家分享秋风大佬的大作:一文带你层层解锁文件下载的奥秘,对文件上传感兴趣的小伙伴可以阅读玩转前端文件上传这篇文章。本文会花费你较长的时间阅读,建议先收藏/点赞,然后查看你感兴趣的部分,平时也可以充当当做字典的效果来查询。 前言 一图览全文,可以先看看大纲适不适合自己,如果你喜欢则继续往下阅读。这一节呢,主要介绍一些前置知识,对一些基础知识的介绍,如果你觉得你是这个。⬇️⬇...
a client request body is buffered to a temporary file
weixin_41870677的博客
10-18 1万+
大清早的就遇到了问题: 2019/10/18 09:57:37 [warn] 22758#22758: *803592 a client request body is buffered to a temporary file /var/cache/nginx/client_temp/0000000107 接下来几篇我就来说说自己接触nginx的使用,以及心得。 首先,我们来解决上面的问题...
Nginx使用教程(四):提高Nginx网络吞吐量之buffers优化
weixin_34121304的博客
01-13 435
请求缓冲区在NGINX请求处理中起着重要作用。 在接收到请求时,NGINX将其写入这些缓冲区。 这些缓冲区中的数据可作为NGINX变量使用,例如$request_body。 如果缓冲区与请求大小相比较小,则数据将写入磁盘上的文件,因此将涉及I/O操作。 NGINX提供了可以改变请求缓冲区的各种指令。 client_body_buffer_size <br\>此指令设置用于请求主体的缓冲...
Nginx性能调优之buffer参数设置
遥望......
04-19 8803
打开Nginx的error.log日志文件,发现很多warn的警告错误,提示: ①2016/03/25 13:18:35 [warn] 1171#0: *10875 an upstream response is buffered to a temporary file /var/cache/nginx/fastcgi_temp/0/08/0000000080 while reading ups...
中间件扫描工具vulmap你知道吗?它是不是默认只扫描80端口
09-04
总之,vulmap是一款功能强大的中间件扫描工具,可以帮助用户发现和修复中间件漏洞,提升系统的安全性。用户可以根据需要配置vulmap的扫描目标和扫描端口,以满足实际需求。 ### 回答3: 是的,Vulmap是一款中间件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值