Nginx安全配置标准(for proxy)

最新推荐文章于 2024-05-28 17:17:08 发布
最新推荐文章于 2024-05-28 17:17:08 发布
阅读量95 收藏
点赞数
文章标签: 运维 python lua
原文链接:https://my.oschina.net/u/1455908/blog/397400
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、目的

本标准是信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司"Nginx反向代理"配置提供安全标准。

二、范围

本规范适用于我司所有Nginx反向代理。

三、内容

3.1 版本

使用专人统一维护的版本

3.2 启动帐号

使用非root帐号启动,例如:

user www www;
或者
user nginx nginx;

3.3 日志记录

日志记录级别设置为notice

error_log logs/error.log notice;

日志按日期切分,格式为

error.log.YYYY-MM-DD

3.4 限制HTTP Method

限制http method只允许为GET/HEAD/POST

http {
	server {
		...		if ( $request_method !~ ^(GET|HEAD|POST)$ ) {			return 403;
                }
		...
	}
}

3.5 加载QWAF

每个VHOST都要求加载QWAF

http {
	...
	lua_package_path '/home/q/nginx/conf/?.lua;;';
	...
	server {
	    ...
            set $qunar_security_filter "l";
            include security_filter.conf;
	    ...
	}
}

3.6 设置Server header

隐藏真实的server header,设置统一的

http {
	...
	more_set_headers    "Server: QWS/1.0";
	...
}

3.7 隐藏header

隐藏某些可能会造成信息泄露的header

more_clear_headers 'X-Hidden-*';
more_clear_headers 'X-Powered-By';

3.8 错误页面重定向

重定向404和5xx错误页面

error_page 404 /qunar_404.html;
error_page 500 501 502 503 504 /qunar_500.html;


转载于:https://my.oschina.net/u/1455908/blog/397400

weixin_33895475
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx安全基线配置参考
湖南长城科技的博客
04-26 1388
一 日志审计 编辑 nginx.conf 配置文件: 将 error_log 前的 “#” 去掉,记录错误日志 将 access_log 前的 “#” 去掉,记录访问日志 二 服务 1 限制IP访问 对网站或敏感目录的访问 IP 进行限制 参考配置操作: (1) 修改配置文件(配置文件位置可能存放于其他地方) # vi /usr/local/nginx/conf/nginx.conf 具体设置如下: location / { deny 192.168.1.1; #拒绝I..
安全基线】-Nginx安全配置规范
weixin_30949361的博客
06-04 704
1. 背景 苦恼于互联网上现有的基线资源不具备实时性,适用的版本比较老旧,甚至已逐步被企业淘汰。博主本着学习实验的心态,写下这篇博客,希望能给那些同我有着相同困扰的安全基线初学者铺块砖。恭候各位路过的大佬的指正! 2. 环境准备 操作系统:CentOS 7 1. 添加CentOS 7 EPEL仓库 sudo yum install epel-release 2. 安装Ngi...
Nginx安全配置基线
Mr.Wang的博客
10-24 2834
1.1 目的本文档规定了NIGNX服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行NIGNX的安全合规性检查和配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员。本配置标准适用的范围包括: NIGNX服务器。1.3 适用版本NIGNX服务器。
nginx 安全配置
最新发布
fangxiang2008的博客
05-28 1432
nginx 安全配置
S-安全基线-nginx加固
qq_21193587的博客
06-02 5238
文章目录高检查是否配置Nginx账号锁定策略。 | 身份鉴别高Nginx后端服务指定的Header隐藏状态 | 服务配置Nginx的WEB访问日志记录状态 | 服务配置高确保已禁用自动索引模块 | 访问控制高确保已禁用自动索引模块 | 访问控制高检查Nginx进程启动账号。 | 服务配置高隐藏Nginx服务的Banner | 服务配置高确保NGINX配置文件权限为64
Nginx - 安全基线配置与操作指南
小工匠
05-19 1535
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置
Nginx 安全配置
w13511069150的博客
03-18 3273
一、Nginx服务的Banner隐藏状态 配置内容: server_tokens off; 更多的设置可参照:https://blog.csdn.net/huangbaokang/article/details/88235386 二、隐藏Nginx后端服务X-Powered-By头 2.1、打开conf/nginx.conf配置文件; 2.2、在http下配置prox.....................
nginx泛域名解析配置教程
09-30
以下是Nginx配置文件中的关键部分: ```nginx upstream io_nodes { server 127.0.0.1:8081; } ``` 这段代码定义了一个名为`io_nodes`的上游服务器组,所有发往这个组的请求都会被转发到本地的8081端口,这里是Node...
nginx config reverse proxy for windows.pdf
10-04
3. 安全性高:Nginx 配置反向代理可以保护内部服务器的安全,防止攻击和未经授权的访问。 使用 Nginx 配置反向代理可以实现 WebSocket + SSL 访问,提高网络安全性和负载均衡能力,是一种非常有用的网络架构模式。
nginx日志配置指令详解
09-30
Nginx中,日志配置是管理和分析...日志配置Nginx服务器管理的重要组成部分,正确配置可以帮助优化性能监控、安全审计和问题排查。根据实际需求,灵活运用上述指令和变量,可以创建满足特定需求的日志记录系统。
Nginx配置详解.docx
08-20
**Nginx配置详解** Nginx是一款由Igor Sysoev为俄罗斯rambler.ru站点设计的高性能HTTP和反向代理服务器,自2004年发布以来,它已发展成为一个功能丰富的网络服务器,广泛应用于全球众多网站。Nginx以其稳定性、高...
nginx配置相关介绍
09-30
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; } }...
配置Nginx安全性设置
qq_44539748的博客
07-09 1271
在本教学文章中,我们将学习如何使用Nginx配置安全性设置,以增强服务器的安全性,防止恶意请求、DDoS攻击等。安全配置是保护服务器和应用程序的重要环节,通过合理的安全性设置,可以降低风险并提高系统的可靠性。通过按照上述步骤配置Nginx,并了解如何防止恶意请求、防护DDoS攻击和控制访问,您可以提高服务器的安全性,并减少潜在的风险。在上述配置中,我们使用if指令检查请求的来源,如果检测到恶意请求(通过预先定义的$bad_client变量),则返回403禁止访问的响应。步骤1:防止恶意请求。
QWS Server
bytxl的专栏
04-28 2875
QT Embeded应用没有来严格的区分server和client进程,如果一个QT进程的启动参数中有-qws,那么这个进程就具有server管理功能,被称为QWS server,当然这个进程同样可以和其它的QT进程一样可以创建并显示widget,只有兼做server的功能而已。不带-qws这个参数就是QWS Client。因此任何一个基于QT的application都可以做QWS Server。
seata 1.1.0 入门,简介
q690080900的博客
03-18 3775
1.SeaTa简介 SeaTa 是阿里开源的可供商用的分布式事务框架 前身Fescar , java程序 1.1亮点 应用层基于SQL解析实现了自动补偿,从而最大程度的降低业务侵入性; 将分布式事务中TC(事务协调者)独立部署,负责事务的注册、回滚; 通过全局锁实现了写隔离与读隔离 多种事务模式 : AT、TCC、SAGA 事务模式 1.2 SeaTa相关概念 TC...
QT学习笔记(二):QWSServer class
WinLin
02-02 8537
1. QWSServer Class 为 Qt for Embeded Linux 封装了一个服务进程 . 当你运行一个基于嵌入式平台的Qt程序时,它只能作为一个server或者连接到一个已经存在的server 来运行。 server和client进程有不同的职责: client进程执行应用程序特定的操作; server进程负责管理一个或多个client进程,同时负责指针操作,字符输入和
Nginx安全控制
牵着蜗牛_去散步
11-17 818
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
Nginx安全配置手册
2401_83947255的博客
04-12 657
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
nginx配置proxy
06-02
Nginx配置 proxy,可以使用 `location` 指令来匹配需要代理的 URL,然后使用 `proxy_pass` 指令将请求转发到后端服务器。 例如,将所有请求代理到 http://backend-server: ``` location / { proxy_pass ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值