Nginx - TLS/SSL安全优化HTTPS评级A+指南

已于 2022-07-15 22:11:44 修改
阅读量1.6k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全
于 2022-06-08 15:21:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44304657/article/details/125184366
版权

概述

本文分享一些个人将https评级从c提升至A+的思路与一些基础优化和漏洞修复,并记录其中遇到的问题

1.HTTPS安全加固指南

1.1 升级openssl版本

openssl版本过低可以会对后续一些安全配置不兼容,原本版本是1.1.0升级到1.1.1就可以了,这里选择1.1.1n

源码包下载路径:/source/old/1.1.1/index.html

1.1.1操作步骤

# 将源码包上传至服务器/data/soft目录

tar -zxvf openssl-1.1.1n.tar.gz

cd openssl-1.1.1n

# 配置安装

./config --prefix=/usr/local/openssl

make && make install

# 找出原本openssl安装目录,并备份替换

mv  /usr/bin/openssl  /usr/bin/openssl.old

mv /usr/include/openssl /usr/include/openssl.old

mv  /usr/lib64/libssl.so  /usr/lib64/libssl.so.old

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

ln -s /usr/local/openssl/include/openssl /usr/include/openssl

ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so

ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so

echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

# 查看openssl已经是新版本了

openssl version

OpenSSL 1.1.1n  15 Mar 2022

1.2 解决Diffie-Hellman 公共密钥过弱

这里需要使用openssl生成2048位公钥,解决公钥过弱的问题

1.2.1操作步骤

# 移动到crt证书和key的存放位置,生成dhparam.pem

cd /usr/local/nginx/conf

openssl dhparam -out dhparams.pem 2048

chmod -R 755 dhparam.pem

# 编辑nginx.conf配置文件

vim nginx.conf

# 在https的server块添加

ssl_dhparam /usr/local/nginx/conf/dhparam.pem;

1.3 解决Diffie-Hellman 公共密钥过弱 / 关闭TLSv1.0、TLSv1.1、SSLv3和SSL POODLE[贵宾犬]漏洞的解决办法

SSLv3安全性太低,SSL POODLE[贵宾犬]漏洞也是基于SSLv3实现的所以将其关掉,关掉TLSv1.0和TLSv1.1是为了提高安全性,可以使用TLSv1.2和TLSv1.3

1.3.1操作步骤

# 编辑nginx.conf配置文件

vim nginx.conf

# 在https的server块中更改下列两项配置

ssl_protocols TLSv1.2;

ssl_ciphers  ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

# ssl_protocols取消对TLSv1.0、TLSv1.1的支持时还需要将相对应的配置给删除

 具体配置参数可以访问:https://ssl-config.mozilla.org/按照具体的版本信息进行配置

1.4 HSTS严格传输安全协议

1.4.1操作步骤

# 在nginx.conf配置文件server块中开启HSTS协议

server {

        add_header Strict-Transport-Security "max-age=36000000; includeSubdomains; preload";

注解:在客户端请求服务端时,服务端会在请求头中附带Strict-Transport-Security,它的作用是在下次浏览器访问该网址的HTTP时自动转换成HTTPS,该目的是为了防止中间人攻击。
max-age:是指Strict-Transport-Security的有效时间,按秒数计算,需要设置在至少6个月以上。
preload:预加载,这个涉及浏览器的预加载名单,有兴趣可以自行百度。

2.Nginx优化以及基础漏洞修复

2.1 Nginx只允许域名访问

2.1.1操作步骤

# 禁止通过IP访问

    server {
        listen 80 default_server;
        server_name _;
        return 404;
    }

2.2  HTTP头Hostname 攻击

2.2.1操作步骤

    server {
        listen 80;
        server_name _; 

        if ($http_Host !~* ^IP或者域名$){
                return 403;
        }
    }

2.3 隐藏版本号

2.3.1操作步骤

http {
    server_tokens off;

}

文章会慢慢更新

Rancher入门到精通-2.0 ingress-nginx 异常 /etc/ingress-controller/ssl/default-fake-certificate.pem permissi
隔壁老瓦的专栏
10-21 2898
Error generating self-signed certificate: could not create temp pem file /etc/ingress-controller/ssl/default-fake-certificate.pem: open /etc/ingress-controller/ssl/default-fake-certificate.pem57502229...
Nginx -- -- 配置SSL证书
m0_54594153的博客
09-02 2304
此选项创建一个新的证书请求和一个新的私钥。该参数采用以下几种形式之一。2048 是代表位数 位数越多越安全 常见的有 2048、4096。然后用源码中刚刚编译好的nginx把安装目录中的nginx替换。重启,测试访问http://www.kya.com。-x509 签发x509格式证书命令。-days 3650 时间=10 年。不要make install。req 表示证书输出的请求。-new表示新的请求。
NginxSSL配置优化安全等级为A级
BLUEHEART
11-18 5434
文章目录演示配置环境具体配置文件生成 `dhparam.pem`配置如下配置完后请重启Nginx!写在最后 最近把博客弄得差不多了,接下来的事情就是对博客进行安全加固以及完善各种小功能,今天就在服务器上安装SSL证书。什么是SSL证书呢? SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 本站blueheart66.cn用了下面的...
openssl命令之DH参数生成
N阶二进制的博客
11-02 1270
OpenSSL中,DH(Diffie-Hellman)参数是一组用于密钥交换的参数,通常包括素数(p)和生成元(g)。Diffie-Hellman密钥交换算法允许两个通信方在不共享密钥的情况下,通过不安全的通信信道协商出一个共享密钥。DH参数在这个过程中起到关键作用,确保生成的共享密钥对通信双方都是私密的。使用OpenSSL的gendh命令可以生成DH参数。在这个命令中,指定了输出文件的名称为2048指定了DH参数的位长度为2048位。你可以根据需要选择不同的位长度。生成的文件包含了生成的DH参数。
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
keyboard专栏
07-22 586
要在 Nginx 配置中禁用不安全SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。这样,您的 Nginx 服务器将只允许更安全TLSv1.2 和 TLSv1.3 协议,并且禁用不安全TLSv1 和 TLSv1.1。
openssl命令之DH参数生成_openssl dh公钥,2024年最新又到一年金三银四
2301_82242296的博客
04-13 1145
OpenSSL中,DH(Diffie-Hellman)参数是一组用于密钥交换的参数,通常包括素数(p)和生成元(g)。Diffie-Hellman密钥交换算法允许两个通信方在不共享密钥的情况下,通过不安全的通信信道协商出一个共享密钥。DH参数在这个过程中起到关键作用,确保生成的共享密钥对通信双方都是私密的。使用OpenSSL的gendh命令可以生成DH参数。在这个命令中,指定了输出文件的名称为2048指定了DH参数的位长度为2048位。你可以根据需要选择不同的位长度。生成的文件包含了生成的DH参数。
Nginx——配置ssl证书
专注写bug
03-29 599
文章目录证书路径配置nginx.config配置单一的config注意事项 证书路径 在centos服务上创建新的文件夹,保存ssl证书文件: mkdir /root/sslssl证书文件上传至服务器中,保存至指定的文件夹内: 配置nginx.config 由于服务器上项目较多,采取的是分离配置文件的方式实现监听。 nginx.config: [root@VM-0-13-centos conf]# cat nginx.conf # For more information on configurat
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
热门推荐
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公
nginx-1.16.1-TLS1.3-http2
01-05
`nginx-1.16.1-TLS1.3-http2` 是一个特别构建的 Nginx 版本,集成了最新的 TLS 1.3 安全协议和 HTTP/2 协议,旨在为用户提供更高效、更安全HTTPS 访问体验。 **Nginx:高性能Web服务器与反向代理** Nginx 是一...
high-performance-nginx-tls-tuning:高性能Nginx TLS调优
04-06
然后我们用优化Nginx服务器的实例来分享如何调整Nginx TLS / SSL设置,为首次搜索的用户提速30%左右。我们会详细讨论每一步我们做了一些什么优化优化的动机和效果。希望可以对其他遇到类似问题的同学提供帮助。 ...
fastdfs-nginx-module的安装与部署
流楚丶格念的博客
08-08 5123
FastDFS的Nginx模块1 简介2 Nginx上部署FastDFS2.1 模块包的安装报错处理2.2 fastdfs-nginx-module 的配置2.2.1 fastdfs-nginx-module配置文件2.2.2 建立软连接2.2.3 配置nginx报错处理2.3 测试环境 1 简介 一个好的分布式文件系统最好提供Nginx的模块,因为对于互联网应用来说,像文件这种 静态资源,一般是通过HTTP的下载,此时通过容易扩展的Nginx来访问FastDFS,能够让 文件的上传和下载变得特别简单。 N
nginx漏洞修复:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
weixin_43135696的博客
07-20 3075
#需编辑 nginx.conf 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} ssl_dhparam /usr/local/nginx/conf/dhparams.pem; ...
开源项目 Dao-2048 使用教程
最新发布
gitblog_00618的博客
09-03 346
开源项目 Dao-2048 使用教程 dao-20482048 is a number puzzle game.项目地址:https://gitcode.com/gh_mirrors/da/dao-2048 1. 项目的目录结构及介绍 dao-2048/ ├── README.md ├── app/ │ ├── __init__.py │ ├── main.py │ ├── stat...
OpenSSL命令之算法类大全
iteye_5722的博客
12-21 3558
一 DH算法(Gendh/Dhparam/Dh) 1 gendh   功能:用于生成DH参数。  用法:openssl gendh [-out file ] [-rand ] [-engine e ]   选项: -out file 输出结果到file指定的文件,如果不指定,结果显示在屏幕屏幕上 -2 将2作为生成值,此为默认值 -5 将5作为生成值 -rand 指定随机数文...
Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
筑梦之路
05-24 3024
1.扫描 nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.baidu.com sslscan www.baidu.com 2.nginx ssl配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:.
Nginx漏洞扫描及修复
qq_41512902的博客
07-01 2448
Nginx漏洞扫描及修复
Host头攻击-使用安全的Web服务器配置
wfdfg的博客
05-27 1423
如果Tomcat的内置功能不足以满足你的需求,你可以编写自定义的过滤器来处理HTTP请求,并在其中验证Host头字段。这涉及到编写Java代码,并将其打包为WAR文件部署到Tomcat中。@Override// 初始化方法,可以在这里读取配置参数等@Override// 这里可以添加自定义的验证逻辑// 例如,检查hostHeader是否符合预期的格式或值// 如果Host头字段无效,可以返回错误响应或重定向到其他页面return;
nginx host头攻击漏洞
zzf9347的博客
09-18 1581
有些网站的代码配置为,通过请求的host头拼接路径来形成访问的url,这时候攻击者会发送一个异常的host头,如果服务端没有进行host头识别判断的话,同意了这个请求,攻击者就会通过这个异常的host头拼接路径来制造陷阱,非法劫持网站中的一些信息,以及上传病毒代码或文件,甚至是取得整个网站或者服务器的控制权限,这就是host头攻击。客户端在发起请求时,会发送一个host头给服务器,服务器会根据客户端发送的host识别要请求的页面或者转发的后端服务器,以此返回请求的内容。
openvpn的server端配置文件注释解析
victorwongms90的博客
04-25 5020
默认情况下,日志消息将写入syslog(在Windows系统中,如果以服务方式运行,日志消息将写入OpenVPN安装目录的log文件夹中)# 如果是以太网桥接模式,并且提前创建了一个名为"tap0"的与以太网接口进行桥接的虚拟接口,则你可以使用"dev tap0"# 最后,必须指定子网的一个IP范围(例如从10.8.0.50开始,到10.8.0.100结束),以便于分配给连接的客户端。# (1)运行多个OpenVPN守护进程,每个进程对应一个群组,并为每个进程(群组)启用适当的防火墙规则。
启动nginx命令: docker run --name nginx -p 80:80 -p 443:443 \ -v /usr/local/nginx/html:/usr/share/nginx/html \ -v /usr/local/nginx/conf/nginx.conf:/etc/nginx/nginx.conf/ \ -v /usr/local/nginx/conf.d:/etc/nginx/conf.d/ \ -v /usr/local/nginx/logs:/var/log/nginx \ -v /usr/local/nginx/ssl:/etc/nginx/ssl \ --privileged=true -d --restart=always nginx 报错 nginx: [emerg] cannot load certificate "/etc/nginx/ssl/www.huodongchi.com.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/etc/nginx/ssl/www.huodongchi.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
07-25
这个报错是因为无法加载证书文件 "/etc/nginx/ssl/www.huodongchi.com.pem",原因是该文件不存在或者路径不正确。请确保在容器内的路径 "/etc/nginx/ssl" 下存在名为 "www.huodongchi.com.pem" 的证书文件,并且路径正确。你可以进入容器内部检查路径和文件是否正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值