Nginx防御与加固

最新推荐文章于 2024-06-03 15:39:14 发布
最新推荐文章于 2024-06-03 15:39:14 发布
阅读量579 收藏 1
点赞数
分类专栏: 中间件漏洞 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/117076486
版权

Nginx防御与加固


1、日志配置

默认是开启日志的,我们可以在nginx.conf中配置日志格式log_format,存放路径。

cat /etc/nginx/nginx.conf

image-20210520103707639


2、禁止目录浏览

在/etc/nginx/nginx.conf中加上

autoindex off

保存,重启即可。


3、限制目录执行权限

在/etc/nginx/nginx.conf中:

# 去掉单个目录的php执行权限
location ~/attachements/.*\.(php|php5)?$ {
	deny all;
}

# 去掉多个目录的php执行权限
location ~/(attachments|upload)/.*\.(php|php5)?$ {
	deny all;
}

1、以上的配置文件代码需要放到location ~.php{…}上面,如果放到下面是无效的。

2、attachments需要写相对路径,不能写绝对路径。


4、错误页面重定向

cat /etc/nginx/conf.d/default.conf

也可能在其他配置文件,可以利用grep -rn “server_name” ./进行搜索。

image-20210520105905524

#将错误页面重定向到404.html页面
error_page 400 401 402 403 404 405 408 410 412 413 414 415 500 501 502 503 504 506 /404.html;
location = /404.html {
	#放错误页面的目录路径
	root /var/www/html
}

5、Nginx其他防御方法

  • 隐藏版本信息,修改nginx.conf

    server_tokens off

  • 限制HTTP请求方法,修改nginx.conf

    if($request_method !~^(GET|HEAD|POST)$) {
	return 444;
}

  • 限制IP访问,修改nginx.conf

    location /admin {
	deny 192.168.1.1;  #拒绝IP
	allow 192.168.1.0/24;  #允许IP
    allow 10.1.1.0/16;  #允许IP
    deny all;   #拒绝其他所有IP
}

  • 降权运行,修改nginx.conf

    user www-data

6、日志分析

360星图,awk

0ak1ey
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置Nginx实现简单防御cc攻击
09-30
本文主要介绍lua+Nginx下如何快速有效得防御CC攻击。至于如何安装Nginx就不详细介绍了,闲话少说,大家请看示例
linux网站安全狗合集
12-24
配置过程中,管理员需要根据实际情况调整安全策略,如设置访问规则、报警阈值、日志级别等,确保既能有效防御,又不会对正常业务造成干扰。 7. **日志管理和审计**: 安全狗会记录服务器的活动,提供日志分析功能...
nginx止DDOS攻击配置
yshir
10-28 631
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。 ngx_http_...
nginx实现网页缓存篡改
最新发布
2401_84466223的博客
06-03 1263
使用网站篡改对指定的敏感页面设置缓存,缓存后即使源站页面内容被恶意篡改,WAF也会向访问者返回预先缓存好的页面内容,确保用户看到正确的页面。启用 网页篡改、敏感信息泄露开关,才能使用该功能。填写精确的要护的路径,可以护该路径下的text、html和图片等内容。缓存用户配置的url的页面,到openresty。每次处理用户请求,从nginx缓存获取页面。
nginx 防御与优化
好幸运
08-26 270
一、防御 http://www.360doc.com/content/15/1104/16/28748685_510720615.shtml HTTP请求头防御:https://www.nginx.com/blog/nginx-protect-cve-2015-1635/?_ga=1.14368116.2137319792.1439284699#proxy_set_header 1.1、限制请求速度 http { limit_req_zone $binary_remote_addr..
Nginx防御DDOS攻击
三弦的回忆
11-08 2070
防御DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就 是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是 Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御
谈谈nginx防御DDOS攻击
Memory1011的博客
03-12 247
转自:http://www.pinlue.com/article/2019/12/2516/199857737228.html
Java安全防御学习笔记V1.0.docx
06-10
首先,Web服务器加固防御的第一道线。Apache和Nginx是最常用的两种Web服务器。对于Apache,强化配置可能涉及限制HTTP方法、禁用不必要的模块、设置强密码策略和定期更新补丁。Nginx加固则需要关注访问控制、...
2023山东省赛题目.docx
07-09
比赛分为三个主要模块,A模块关注基础设施设置与安全加固,B模块涉及安全事件响应和数据取证,C和D模块则是CTF夺旗赛,分别测试攻击和防御能力。总时长为360分钟,总分值为1000分。 A模块是竞赛的基础部分,主要...
S2 AWD排位赛-13.zip
12-07
7. **防御策略**:了解如何通过安全编码、输入验证、内容安全策略(CSP)等来加固Web应用。 总之,这个压缩包提供的挑战旨在测试和提升参赛者的Web安全攻能力,涵盖了从基础的HTML理解到高级的漏洞利用和防御策略...
Nginx防御DDOS攻击的配置方法教程
09-30
Nginx是一款轻量级的Web服务器,由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引Rambler使用。 下面这篇文章主要给大家介绍了关于Nginx防御DDOS攻击的配置方法,需要的朋友可以参考下。
动态网页程序的篡改系统
04-11
一种新的动态网页程序的篡改系统 采用MD5 和SHA-1 作为水印提取算法 动态网页技术越来越多地应用于互联网,确保动态网页脚本的安全性的需求与日俱增,该文实现了一种新的基于脆弱 性数字水印技术的动态网页应用程序篡改系统,阐明了能够应用在动态网页篡改系统中的脆弱性数字水印提取算法应 该具有的特性,评估了系统运行的效率,证明了该系统嵌入水印和检测水印的过程的高效性,还对比证明了该系统相对于入 侵检测系统有着更广泛的保护范围。
Nginx简单防御CC攻击的两种方法
热门推荐
cnbird's blog
01-11 1万+
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以
Nginx通过修改连接简单防御CC攻击的方法
mituan1234567的专栏
07-01 591
http://down.chinaz.com/server/201111/1381_1.htm CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)
flask + nginx CSRFProtect
qq_39353327的博客
10-12 184
flask + nginx CSRFProtect CSRF(Cross-site request forgery):跨站请求伪造 flask csrf保护机制: 开启CSRF保护: app.config['SECRET_KEY'] = 'your secrets' csrf = CSRFProtect(app) CSRF 令牌: <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/> 全局禁用CSRF保护: a
Nginx(4):nginx目录保护与IP访问
qq_40836555的博客
04-30 349
nginx访问目录保护 1、在需要保护的虚拟主机server标签内建立location标签并添加一下代码 location /nginx_status{ stub_status on; access_log off; auth_basic "Welcome to nginx_status"; ...
实施经验-利用nginx保障web服务安全
和木的专栏
07-28 419
文章目录1.前言2. 常见安全问题3.最终方案3.1. 如果是多个域名,采用下列方法3.2. 利用Referer盗链参考 1.前言 记得刚来项目组时,每隔一段时间就报几个安全漏洞,然后就和团队小伙伴花一两天时间处理下,一会儿改java代码一会儿改前端, 前前后后也用去了很多时间。复盘整理下思路,发现走了不少弯路,大多数的安全漏洞都可以由nginx拦截,极少会涉及到后端业务代码调整。 安全问题属于系统架构级问题,要用系统架构的思维去解决 ,通过nginx配置,可以减少对后端业务开发的要求,而且现场实施人员,
你必须要知道的Nginx代理机制
weixin_47203783的博客
10-15 435
1.分类 1.反向代理(服务器端代理) 2.正向代理(客服端代理) 2反向代理 2.1概念 反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载,提高访问效率 2.2反向代理特点 代...
Nginx服务器安全加固指南
"该PDF主要介绍了如何对Nginx进行安全加固,包括系统加固、中间件加固、数据库加固以及针对不同操作系统的加固措施。重点讲解了Nginx的基础知识、架构,以及具体的Nginx服务器安全加固策略。" Nginx是一款高性能的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值