Nginx安全基线检查

Nginx后端服务指定的Header隐藏状态 | 服务配置

描述
隐藏Nginx后端服务X-Powered-By头
加固建议
隐藏Nginx后端服务指定Header的状态:
1、打开conf/nginx.conf配置文件;
2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;

操作时建议做好记录或备份

检查是否配置Nginx账号锁定策略。 | 身份鉴别

描述
1.执行系统命令passwd -S nginx来查看锁定状态
出现Password locked证明锁定成功
如:nginx LK … (Password locked.)或nginx L …
2.默认符合,修改后才有(默认已符合)
3.执行系统命令passwd -l nginx进行锁定
加固建议
配置Nginx账号登录锁定策略:
1、Nginx服务建议使用非root用户(如nginx,nobody)启动,并且确保启动用户的状态为锁定状态。

2、可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。

3.、命令 passwd -S <用户> 如passwd -S nginx可查看用户状态。

4、 修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody; 如果您是docker用户,可忽略该项(或添加白名单)

操作时建议做好记录或备份

检查Nginx进程启动账号。 | 服务配置

描述
Nginx进程启动账号状态,降低被攻击概率
加固建议
修改Nginx进程启动账号:
1、打开conf/nginx.conf配置文件;
2、查看配置文件的user配置项,确认是非root启动的;
3、如果是root启动,修改成nobody或者nginx账号; 备注:
4、修改完配置文件之后需要重新启动Nginx。

操作时建议做好记录或备份

Nginx的WEB访问日志记录状态 | 服务配置

描述
应为每个核心站点启用access_log指令。默认情况下启用。
加固建议
开启Nginx的WEB访问日志记录:
1、打开conf/nginx.conf配置文件;
2、在http下配置access_log项access_log logs/host.access.log main;
3、 并删除off项

操作时建议做好记录或备份

隐藏Nginx服务的Banner | 服务配置

描述
Nginx服务的Banner隐藏状态
加固建议
Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态:
1、打开conf/nginx.conf配置文件;
2、在server栏目下,配置server_tokens项 server_tokens off; 如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf

操作时建议做好记录或备份

确保NGINX配置文件权限为644 | 文件权限

描述
把控配置文件权限以抵御外来攻击
加固建议
修改Nginx配置文件权限: 执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)

操作时建议做好记录或备份

针对Nginx SSL协议进行安全加固 | 服务配置

描述
Nginx SSL协议的加密策略进行加固
加固建议
Nginx SSL协议采用TLSv1.2:
1、打开conf/nginx.cconf配置文件(或主配置文件中的inlude文件);
2、配置

server { 
               ...
              ssl_protocols TLSv1.2;
               ...
                     }

备注:配置此项请确认nginx支持OpenSSL,运行nginx -V 如果返回中包含built with OpenSSL则表示支持OpenSSL。 如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf

操作时建议做好记录或备份

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值