一、目的
本标准是信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司"Nginx反向代理"配置提供安全标准。
二、范围
本规范适用于我司所有Nginx反向代理。
三、内容
3.1 版本
使用专人统一维护的版本
3.2 启动帐号
使用非root帐号启动,例如:
user www www;
或者
user nginx nginx;
3.3 日志记录
日志记录级别设置为notice
error_log logs/error.log notice;
日志按日期切分,格式为
error.log.YYYY-MM-DD
3.4 限制HTTP Method
限制http method只允许为GET/HEAD/POST
http {
server {
... if ( $request_method !~ ^(GET|HEAD|POST)$ ) { return 403;
}
...
}
}
3.5 加载QWAF
每个VHOST都要求加载QWAF
http {
...
lua_package_path '/home/q/nginx/conf/?.lua;;';
...
server {
...
set $qunar_security_filter "l";
include security_filter.conf;
...
}
}
3.6 设置Server header
隐藏真实的server header,设置统一的
http {
...
more_set_headers "Server: QWS/1.0";
...
}
3.7 隐藏header
隐藏某些可能会造成信息泄露的header
more_clear_headers 'X-Hidden-*';
more_clear_headers 'X-Powered-By';
3.8 错误页面重定向
重定向404和5xx错误页面
error_page 404 /qunar_404.html;
error_page 500 501 502 503 504 /qunar_500.html;