服务安全-nginx优化

最新推荐文章于 2022-06-10 18:06:41 发布
最新推荐文章于 2022-06-10 18:06:41 发布
阅读量122 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sda1_hacker/article/details/102961602
版权

之前nginx服务提到过一些对nginx的优化。
这里针对nginx的以下内容进行优化:
1、取消自动索引,防止暴露网页文件
2、隐藏版本信息,显示版本信息攻击者会根据版本找对应的漏洞
3、限制并发数量,可以减少DOS攻击
4、拒绝非法请求,可以减少DOS攻击
5、防止buffer溢出

----------

1、取消自动索引

tar -xvf nginx-1.17.3.tar.gz
cd nginx-1.17.3
./configure --without-http_autoindex_module --without-http_ssi_module	#without代表不安装模块
make && make install

# 想要开启自动索引需要在配置文件中配置
vim /usr/local/nginx/conf/nginx.conf
server {
	autoindex on;	#需要有-http_autoindex_module这个模块
}

2、隐藏版本信息

curl -I http://192.168.80.136	#可以看到nginx版本信息

方法1:
vim /usr/local/nginx/conf/nginx.conf
http{
 server_tokens off;	#隐藏版本号
 ...
}

方法2:
vim +48 src/http/ngx_http_header_filter_module.c	#nginx源码目录中的src
# 修改之前
static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;

# 修改之后
static u_char ngx_http_server_string[] = "Server: apache" CRLF;
static u_char ngx_http_server_full_string[] = "Server: apache" CRLF;
static u_char ngx_http_server_build_string[] = "Server: apache" CRLF;

# 之后源码编译安装

3、限制并发数量:

# 使用ngx_http_limit_req_module模块,默认安装
vim /usr/local/nginx/conf/nginx.conf
http{
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

# limit_req_zone表示定义了一个内存区域,存放client访问nginx的请求
# zone=one:10m表示区域的名字是one,大小是10m
# rate=1r/s表示对于同一个ip的请求,1秒只处理1个

   server {
        listen 80;
        server_name localhost;
        limit_req zone=one burst=5;
        # 表示在one这个内存区域中,同一个ip的请求最多存放5个
        # 加上正在处理的,一共是6个
        # 如果一台计算机访问了100次,那么只有6次得到了处理
            }
}

# 使用ab进行测试
yum -y install httpd-tools
ab -c 100 -n 100  http://192.168.80.136:80/

4、拒绝非法请求

curl -i -X HEAD  http://192.168.80.136	#发送HEAD请求,正常

vim /usr/local/nginx/conf/nginx.conf
http{
   server {
             listen 80;
              if ($request_method !~ ^(GET|POST)$ ) {
              # 只允许处理get和post请求,正则,!代表取反
                     return 404;
                     # 除了get和post以外的其他请求返回404状态码
               }    
        }
}

curl -i -X HEAD http://192.168.80.136	#发送HEAD请求,会报错
curl -i -X GET http://192.168.80.136	#发送GET请求,正常

5、防止buffer溢出

vim /usr/local/nginx/conf/nginx.conf
http{
client_body_buffer_size  1K;	#最小值
client_header_buffer_size 1k;	#最小值
client_max_body_size 16k;		#最大值
large_client_header_buffers 4 4k;	#最大值
...
}

# 重启nginx成功则表示配置成功。

写总结的第六十三天!!!

飞翔的猪12138
关注
fastdfs-nginx-module-1.24
02-07
通过合理的配置和优化,可以为业务提供高效、稳定、安全的文件服务。 总结来说,FastDFS-nginx-module 1.24 是一个强大且成熟的解决方案,它将 FastDFS 的分布式文件存储能力和 Nginx 的高性能服务相结合,为开发者...
Nginx服务器中设置禁止访问文件或目录的方法
weixin_34032621的博客
04-07 535
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx服务安全之道
Mr.Wang的博客
09-27 261
加固常见服务安全 1.优化Nginx服务安全配置 方法: 1.Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。 步骤一:优化Nginx服务安全配置 1) 删除不需要的模块 Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用–with参数可以开启某些模块,使用–without可以禁用某些模块...
nginx安全加固,设置缓冲区,防止溢出
weixin_69899223的博客
06-10 1817
nginx安全加固,设置缓冲区,防止溢出
Nginx优化策略:删除不要模块,修改版本信息,限制并发,拒绝非法请求,防止buffer溢出
ck784101777的博客
02-04 2605
目录 1. 删除不需要的模块 2. 修改版本信息,并隐藏具体的版本号 3.限制并发量 4. 拒绝非法的请求 5. 防止buffer溢出 1. 删除不需要的模块 Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用--with参数可以开启某些模块,使用--without可以禁用某些模块。最小化安装永远都是对...
nginx服务器防sql注入与溢出
remotesupport的专栏
09-24 4027
代码不可能是全完美的,动态网页在实用中难免会遇到sql注入的攻击。而通过nginx的配置过滤,可以很好的避免被攻击的可能。SQL注入攻击一般问号后面的请求参数,在nginx里用$query_string表示 。 一、特殊字符过滤 例如URL /plus/list.php?tid=19&mid=22' ,后面带的单引号为非法的注入常用字符。而想避免这类攻击,可以通过下面的判断进行过滤。
ingress-nginx-controller(含镜像和代码).rar
10-28
七、安全优化 - TLS 支持:ingress-nginx-controller 支持自动或手动的 TLS 证书管理,可以实现 HTTPS 访问。 - 负载均衡:控制器可以配置为使用不同的负载均衡策略,如轮询、最少连接等。 - 避免 DNS 泄露:通过...
redis2-nginx-module-0.15
07-18
**Redis2-NGINX-Module 0.15 知识详解** Redis2-NGINX-Module 是一个用于 NGINX Web 服务器的扩展模块,...在实际项目中,根据业务需求,合理配置和优化 Redis2-NGINX-Module,能够显著提升 Web 服务的性能和可靠性。
ingress-nginx-4.0.17
02-18
这个版本提供了稳定性和性能优化,使得对Kubernetes服务的外部访问变得更为便捷和可靠。本文将深入探讨ingress-nginx、Helm以及它们在Kubernetes环境中的应用。 首先,让我们了解一下ingress。在Kubernetes中,...
fastdfs-nginx-module-1.22.zip
02-09
同时,该模块还支持防盗链、限速、缓存等高级功能,为Web服务提供了更多安全保障。 总结起来,FastDFS-Nginx-Module 1.22是构建高效Web服务器的重要组件,它将FastDFS的分布式存储能力和Nginx的高性能Web服务结合,...
Nginx 相关优化
microboy008的博客
09-11 169
1.并发量 1)nginx参数 # vim /usr/local/nginx/conf/nginx.conf .. .. worker_processes 2; //与CPU核心数量一致,起多少进程 events { worker_connections 65535; //每个worker最大并发连接数 use epoll; } 2)优化...
nginx buffer的工作机制
xuqiaobo的博客
06-28 1888
1,当被代理服务器向nginx proxy发送数据时,proxy buffer会判断本次响应的数据量的大小。2,如果buffer足够,那么本次响应数据直接写入buffer。3,如果buffer装不下本次响应的数据,那么nginx服务器会将部分接收到的数据临时存放在磁盘的临时文件中,磁盘上的临时文件路径可以通过proxy_temp_path指定,临时文件的大小有proxy_max_temp_file...
nginx buffer优化
qbq996的博客
09-01 2980
Nginx 的 buffer 机制 请求缓冲区在NGINX请求处理中起着重要作用。 在接收到请求时,NGINX将其写入这些缓冲区。 这些缓冲区中的数据可作为NGINX变量使用,例如$request_body。 如果缓冲区与请求大小相比较小,则数据将写入磁盘上的文件,因此将涉及I/O操作。 NGINX提供了可以改变请求缓冲区的各种指令。 对于来自 FastCGI Server 的 Respon...
nginx proxy_buffer_size 解决后端服务传输数据过多,其实是header过大的问题
热门推荐
Dream_Flying_BJ的博客
03-17 4万+
nginx proxy_buffer_size 解决后端服务传输数据过多,其实是header过大的问题这三个参数已设置就搞定了额proxy_buffer_size 64k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k;本着精益求精的精神我翻了官网 官网解释总体来说我还是没懂。我把报错信息放出来,以后用得着。 开发说nginx502了,
使您的软件运行起来: 防止缓冲区溢出
不羁的风的专栏--逆水行舟 不进则退
03-14 1770
   使您的软件运行起来: 防止缓冲区溢出通过防御性编程保护代码       级别: 初级Gary McGrawReliable Software TechnologiesJohn ViegaReliable Software Technologies2000 年 3 月 01 日在 上一篇专栏文章中,描述了高水平的缓冲区溢出攻击,以及讨论了为
Nginx性能调优之buffer参数设置
遥望......
04-19 8873
打开Nginx的error.log日志文件,发现很多warn的警告错误,提示: ①2016/03/25 13:18:35 [warn] 1171#0: *10875 an upstream response is buffered to a temporary file /var/cache/nginx/fastcgi_temp/0/08/0000000080 while reading ups...
如何避免内存泄漏、溢出的几种常用方法
xiongyouqiang的博客
09-20 5634
尽早释放无用对象的引用。 好的办法是使用临时变量的时候,让引用变量在退出活动域后自动设置为null,暗示垃圾收集器来收集该对象,防止发生内存泄露。 程序进行字符串处理时,尽量避免使用String,而应使用StringBuffer。 因为每一个String对象都会独立占用内存一块区域,如: String str = "aaa"; String str2 = "bbb"; ...
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
最新发布
11-04
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
Nginx安全与性能优化实践
"Nginx安全优化与性能优化是提高网站安全性和用户访问速度的关键。本文主要探讨了1.2.1 隐藏Nginx版本信息、1.2.2 修改Nginx版本信息、1.2.3 更改worker进程的用户以及1.2.4 设置上传文件大小的限制等方法,以提升...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值