Nginx安全加固

最新推荐文章于 2024-08-03 23:12:25 发布
最新推荐文章于 2024-08-03 23:12:25 发布
阅读量1k 收藏 5
点赞数
分类专栏: Nginx 文章标签: nginx 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wbxshi/article/details/131431324
版权

Nginx安全加固

1、隐藏nginx版本信息

修改nginx服务信息头内容,隐藏nginx版本信息。防止攻击者通过搜集服务器信息进行定向攻击。在nginx配置文件中添加以下指令:

http {
    server_tokens off;
}

2、设置客户端请求读取超时时间(可选)

可以通过配置文件里的proxy_connect_timeout和proxy_read_timeout参数来设置客户端请求读取超时时间。

  • proxy_connect_timeout用于设置与代理服务器建立连接的超时时间。默认为60秒。
  • proxy_read_timeout用于设置代理服务器读取客户端请求的超时时间。默认为60秒。
http {
    proxy_connect_timeout 10s;
    proxy_read_timeout 30s;
}
# proxy_connect_timeout设置为10秒, proxy_read_timeout设置为30秒。当客户端请求在这些时间段内没有得到响应时,将会超时。

3、设置客户端连接保持活动的超时时间(可选)

在Nginx配置文件中配置以下内容:

http {
    client_body_timeout 10s;
    client_header_timeout 10s;
}
#client_body_timeout:该参数设置客户端向Nginx发送请求正文的超时时间。如果在该时间内客户端没有发送数据,Nginx将关闭连接。
client_header_timeout:该参数设置客户端向Nginx发送请求头的超时时间。如果在该时间内客户端没有发送请求头,Nginx将关闭连接。

4、限制客户端下载的并发连接数(可选)

(1)编辑nginx的配置文件,一般为/etc/nginx/nginx.conf
(2)在http模块中添加以下配置:

http {
    limit_conn_zone $binary_remote_addr zone=perip:10m;
}
#limit_conn_zone用于定义并发连接数的限制区域,$binary_remote_addr表示使用客户端的IP地址作为限制的依据,zone表示限制区域的名称,10m表示限制区域的大小为10兆。

(3)在server或location模块中添加以下配置:

server {
    limit_conn perip 10;
}
#limit_conn用于设置并发连接数的阈值,perip表示限制区域的名称,10表示允许的最大并发连接数。

5、限制客户端的下载速度(可选)

可以使用nginx的limit_rate模块限制客户端的下载速度。该模块可以按照特定的速率限制每个客户端的下载速度。在配置文件中添加以下代码:

location /download {
    limit_rate 100k; # 限制客户端下载速度为100k/s
}

当客户端请求/download时,nginx会将下载速度限制在100k/s。可以根据需要调整limit_rate的值。

6、配置日志功能

在nginx配置文件中,可以通过指定access_log和error_log来开启日志功能。在server段中,可以设置如下:

server {
    listen 80;
    server_name example.com;
    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;
    ...
}

其中,access_log指定了访问日志的输出文件路径,error_log指定了错误日志的输出文件路径。

7、自定义错误信息(可选)

编辑Nginx的配置文件,并在其中添加错误页面的定义。以下是一个示例配置文件,其中定义了403、404和500错误页面:

server {
    listen 80;
    server_name example.com;

    error_page 403 /errors/403.html;
    error_page 404 /errors/404.html;
    error_page 500 /errors/500.html;
	---
    location /errors {
        internal;
        alias /path/to/error/pages;
    }
}
#error_page指令用于定义错误页面的路径。location /errors用于定义错误页面的目录。internal指令用于防止直接访问错误页面目录,只能通过Nginx内部访问。

8、限制HTTP请求方法(可选)

编辑配置文件,添加如下内容:

if ($request_method !~ ^(GET|POST)$ ) {
return 444;
}
# $request_method能获取到请求时所使用的method,应该配置只使用GET/POST方法访问,其他的method返回444

9、限制IP访问(可选)

编辑nginx.conf配置文件,在server标签内添加如下内容:

location / {
deny 192.168.1.1; #拒绝IP
allow 192.168.1.0/24; #允许IP
allow 10.1.1.0/16; #允许IP
deny all; #拒绝其他所有IP
}

10、其它配置

#user  nobody;   #使用的用户
worker_processes  1; #指定工作衍生进程数(一般等于CPU的总核数或总核数的两倍)
...

指定pid存放的路径
#pid        logs/nginx.pid;

events {
    #允许的连接数
    worker_connections  1024;
}

http {

...
    #gzip  on;  #开启gzip压缩
...

}

 server {
 
...
   client_max_body_size 10m;  #设置客户端能够上传的文件大小,10MB
...

        }
忘 忧
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NGINX安全加固手册.docx
03-03
nginx安全加固手册
nginx常用安全加固措施
guofeng_hao的博客
12-03 3448
安全加固 1、禁止目录浏览/隐藏版本信息 编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启: autoindex off; #禁止目录浏览 server_tokens off; #隐藏版本信息 2、限制http请求方法 if ($request_method !~ ^(GET|HEAD|POST)$ ) { return444; } 3、限制IP访问 location / { deny 192.168.1.1; #拒绝IP allow 192.
2024年网络安全最新网站及服务器安全加固常用手段_网站安全加固(2),网络安全程序员的春天
2401_84302655的博客
05-07 511
以下是一些常见的 Windows 服务器安全设置,以及操作示例。首先,确保操作系统和所有应用程序都是最新的,以防止已知漏洞被利用。防火墙可以阻止未经授权的访问和攻击,因此应始终在 Windows 服务器上启用。不必要的服务和端口可能会导致安全漏洞,因此应该尽可能禁用它们。强密码可以降低被破解的风险。默认帐户(例如“Administrator”)容易受到攻击,因此应该禁用或重命名。安全软件可以帮助检测和防止恶意软件和攻击。
【网络安全Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 1938
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
nginx 安全加固
edgar_t的博客
09-21 419
你应该始终保持你的 Nginx 服务器和所有其他软件的更新,以获取最新的安全补丁。限制容器的资源使用:你可以使用 Docker 的资源限制功能来限制容器的 CPU、内存等资源使用,防止容器消耗过多的系统资源。最小化容器:尽量只包含运行应用程序所需的最小文件和依赖项。使用安全的 Docker 配置:例如,禁用容器的 root 权限,限制容器的网络访问等。更新和打补丁:定期更新容器的基础镜像和应用程序,以获取最新的安全更新和补丁。这只是一个基本的示例,你可能需要根据你的具体需求进行更多的定制和优化。
nginx安全加固
qq_40907977的博客
06-24 5251
1. 在Nginx中禁用server_tokens指令 该server_tokens指令告诉nginx的错误页面显示其当前版本。 这是不可取的,因为您不想与世界共享这些信息,以防止在您的Web服务器由特定版本中的已知漏洞造成的攻击。 要禁用server_tokens指令,设定在关闭服务器块内: server { listen 192.168.0.88:80; Server_tokens off; server_name howtoinglovesnginx.com www.ngi
六剑封喉:Nginx安全加固秘籍,打造坚不可摧的Web防线
java专栏
04-29 190
在网络世界中,Nginx作为流量的守门员,其安全性直接影响到整个系统的防护能力。《Nginx-安全加固/安全基线》旨在为你提供一套全面的安全升级指南,通过精巧的配置和最佳实践,确保你的Web服务坚如磐石,让黑客望而却步。遵循上述六步策略,你的Nginx将穿上坚不可摧的铠甲,无论是抵挡直接攻击,还是防御间接渗透,都能游刃有余。安全是一场持久战,持续关注并应用最新的安全实践,是守护网络疆域的关键。通过这六步加固之旅,让Nginx成为你数字领地的坚实屏障,让每一次访问都安全可靠。减少攻击面,只启用必需的功能。
【中间件安全Nginx 安全加固规范
12-14 5289
1. 适用情况 适用于使用Nginx进行部署的Web网站。 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; 3、 在执行过程中若有任何疑问或建议,应及时反馈。 4. 详细操作 4....
nginx安全加固配置
小李李
09-10 473
1. 禁止一个目录的访问 示例:禁止访问path目录 location ^~ /path { deny all; } 可以把path换成实际需要的目录,目录path后是否带有"/",带“/”会禁止访问该目录和该目录下所有文件。不 带"/"的情况就有些复杂了,只要目录开头匹配上那个关键字就会禁止;注意要放在fastcgi配置之前。 2. 禁止php文件的访问及执行 示例:去掉单个目录的PHP执...
Nginx常用安全加固措施+限速模块
虫虫的博客
04-23 2052
Nginx常用安全加固措施+限速模块
nginx安全加固.pdf
07-30
nginx安全加固.pdf
【中间件安全Nginx 安全加固规范.pdf
03-15
【中间件安全Nginx 安全加固规范
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
阿里云标准-Nginx安全基线检查
05-10
#### 七、SSL协议安全加固 **知识点7:** 加固Nginx的SSL协议配置,提高数据传输的安全性。 **实现方法:** 1. **编辑配置文件:** 打开`conf/nginx.conf`配置文件。 2. **配置`ssl_protocols`:** 设置`ssl_...
赛蓝企业管理系统 AuthToken/Index 身份认证绕过漏洞复现
0xSec
08-03 196
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞,未授权的远程攻击者可以利用此接口构造token绕过身份认证,使用超级管理员账户登录系统后台,造成信息泄露或者恶意破坏,使系统处于极不安全的状态。
内网安全:多种横向移动方式
最新发布
8888的博客
08-03 553
DCOM:DCOM(分布式组件对象模型)是微软的一系列概念和程序接口。它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求,使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件获取DCOM列表:实验前提:1.关闭防火墙2.必须有管理员权限。
【系统架构设计师】二十四、安全架构设计理论与实践①
帅次的博客
08-03 555
在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。目前,网络与信息安全风险类别可以分为人为蓄意破坏(被动型攻击,主动型攻击)、灾害性攻击、系统故障、人员无意识行为
SpringSecurity+Mysql数据库实现用户安全登录认证
不积跬步,无以至千里;不积小流,无以成江河。
08-03 1250
Spring Security 是一个提供身份认证、授权和防范常见攻击的安全权限框架。无论是对命令式,还是响应式web应用程序都完美支持,现在主要用作保护基于 Spring 框架的应用程序的事实标准。相对于shiro来说,SpringSecurity功能更加强大并且更加复杂 1.SpringBoot整合security pom中加入依赖 <!--security--> <dependency> <groupId>org.spri...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值