nginx安全加固

最新推荐文章于 2024-02-20 17:28:22 发布
最新推荐文章于 2024-02-20 17:28:22 发布
阅读量128 收藏
点赞数
文章标签: 运维 ruby python
原文链接:https://yq.aliyun.com/articles/513239
版权

nginx模块 

http_substitutions_filter_module

modsecurity

Tengine支持了动态加载模块

增加modsecurity模块  

modsecurity倾向于过滤和阻止web危险

http://waringid.blog.51cto.com/65148/1629905

关闭服务器标记  http{server_tokens off} 隐藏nginx版本

自定义缓存

server

{

client_body_buffer_size  16K;

client_header_buffer_size  1k;

client_max_body_size  1m;

large_client_header_buffers  4  8k;

}

设置timeout设低来防御DOS攻击

http

{

client_body_timeout   10;

       client_header_timeout  30;

       keepalive_timeout     30  30;

       send_timeout          10;

}

限制访问的方法

server

{

if($request_method !~ ^(GET|HEAD|POST)$) {        

                     return404;

              }

}

实际中应该使用444

日志切割

kill-USR1 $(cat /var/run/nginx/nginx.pid)

模块 ngx_http_access_module 允许限制某些IP地址的客户端访问

location/ {

    deny  192.168.1.1;

    allow 192.168.1.0/24;

    allow 10.1.1.0/16;

    allow 2001:0db8::/32;

    deny  all;

}


在原来的编译参数的首行加入--add-module=/root/install/naxsi-core-0.51-1/naxsi_src

nbs.rules文件


增加IP限制功能

模块ngx_http_limit_conn_module和来ngx_http_limit_req_module


http {

limit_req_zone$binary_remote_addr zone=one:10m rate=10r/s;

limit_conn_zone$binary_remote_addr zone=two:10m;

     }

server{

limit_req zone=one burst=5;

limit_conn two 15;

}


增加WAF模块

增加fail2ban防止非法IP

ngx_http_stub_status_module  模块


Nginx模块GeoIP匹配处理IP所在国家、城市

if ( $geoip_country_code !~  ^(CN|US)$ ) {

        return 403;

}


自定义nginx版本号

http://purplegrape.blog.51cto.com/1330104/1291871


封杀各种user-agent

if ($http_user_agent ~* "java|python|perl|ruby|curl|bash|echo|uname|base64|decode|md5sum|select|concat|httprequest|httpclient|nmap|scan" ) {

    return 403;

}

if ($http_user_agent ~* "" ) {

    return 403;

}


封杀特定的url

location ~* \.(bak|save|sh|sql|mdb|svn|git|old)$ {

rewrite ^/(.*)$  $host  permanent;

}


location /(admin|phpadmin|status)  { deny all; }


封杀特定的http方法和行为

if ($request_method !~ ^(GET|POST|HEAD)$ ) {

    return 405;

}

 

if ($http_range ~ "\d{9,}") {

    return 444;

}


强制网站使用域名访问,可以逃过IP扫描

if ( $host !~* 'abc.com' ) {

    return 403;

}


url 参数过滤敏感字

if ($query_string ~* "union.*select.*\(") { 

    rewrite ^/(.*)$  $host  permanent;

 

if ($query_string ~* "concat.*\(") { 

    rewrite ^/(.*)$  $host  permanent;

}


强制要求referer

if ($http_referer = "" ) {

    return 403;


老外的配置

set $add 1;

           location /index.php {

                   limit_except GET POST {

                        deny all;

               }

               set $ban "";

               if ($http_referer = "" ) {set $ban $ban$add;}

               if ($request_method = POST ) {set $ban $ban$add;}

               if ($query_string = "action=login" ){set $ban $ban$add;}

               if ($ban = 111 ) {

                   access_log /var/log/[133]nginx/ban IP;

                   return 404;

               }

               proxy_pass http://127.0.0.1:8000; #here is a patch

           }


目录只读

mount --bind /data /var/www/html

mount -o remount,ro --bind /data /var/www/html

极大程度上可以防止提权篡改




本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1710068,如需转载请自行联系原作者

weixin_34417814
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx安全加固.pdf
07-30
nginx安全加固.pdf
nginx 安全加固心得
weixin_33910434的博客
05-15 404
nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。1、屏蔽IP假设我们的网站只是一个国内小站,有着公司业务,不是靠广告生存的那种,那么可以用geoi...
【网络安全】Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 1196
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化和创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
nginx的优化加固
weixin_33847182的博客
08-07 130
东拚西凑了一些有用的东东,可以贴在nginx配置文件中, 功能比较杂,防盗链、防注入等等        location = /robots.txt { access_log off; log_not_found off; }    location = /favicon.ico { access_log off; log_not_found off; }    location ~ /\...
nginx 安全加固
edgar_t的博客
09-21 368
你应该始终保持你的 Nginx 服务器和所有其他软件的更新,以获取最新的安全补丁。限制容器的资源使用:你可以使用 Docker 的资源限制功能来限制容器的 CPU、内存等资源使用,防止容器消耗过多的系统资源。最小化容器:尽量只包含运行应用程序所需的最小文件和依赖项。使用安全的 Docker 配置:例如,禁用容器的 root 权限,限制容器的网络访问等。更新和打补丁:定期更新容器的基础镜像和应用程序,以获取最新的安全更新和补丁。这只是一个基本的示例,你可能需要根据你的具体需求进行更多的定制和优化。
NGINX安全加固手册.docx
03-03
nginx安全加固手册
【中间件安全】Nginx 安全加固规范.pdf
03-15
【中间件安全】Nginx 安全加固规范
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
精品推荐-2024网络安全&数据安全加固类资料合集(36份).zip
最新发布
03-23
NginX安全基线 SQL-Server数据库安全基线 Tomcat安全基线 操作系统安全基线 四、工信部检查标准项 工信部标准-web应用系统检查表 工信部标准-中间件检查表 工信部标准-安全设备检查表 工信部标准-操作系统检查表 ...
Nginx安全加固
wbxshi的博客
07-03 849
编辑Nginx的配置文件,并在其中添加错误页面的定义。internal;} } #error_page指令用于定义错误页面的路径。location / errors用于定义错误页面的目录。internal指令用于防止直接访问错误页面目录,只能通过 Nginx 内部访问。
[nginx]安全加固
一名普通码农的菜地
08-12 2082
Nginx 禁止IP访问 只允许域名访问 转 今天要在Nginx上设置禁止通过IP访问服务器,只能通过域名访问,这样做是为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网,从网络上搜到以下解决方案: Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时候生效 最关键的一点是,在server的设置里面添加这一行: liste...
Nginx七项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4881
一、Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server; 操作时建议做好记录或备份 二、Nginx的WEB访问日志记录状态 | 服务配置 描述 应为每个
【中间件加固】Nginx安全加固规范
时乙的博客
11-05 1864
1. 适用情况 适用于使用Nginx进行部署的Web网站。 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; 3、 在执行过程中若有任何疑问或建议,应及时反馈。 4. 详细操作 4.1 日志配置 1、备份nginx.conf 配置文件。 修改配置,按如下设置日志记录文件、记录内容、记录格式
Nginx服务安全加固
qq_40907977的博客
03-18 1391
1、禁止频繁访问的ip访问nginx 生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站,此时我们需要通过安全措施保护我们的服务器 部署nginx [root@localhost tools]# yum install gcc gcc-c++ make automake autoconf libtool pcre* zlib openssl openssl-devel [root@localhost tools]# tar xf nginx-1.11.2.tar.gz [root@localh
Apache安全加固Nginx安全加固
wj193165zl的博客
07-29 824
Apache安全加固 版本信息隐藏:ServerTokens Prod ServerSignature Off 隐藏php版本:在php.ini文件中设置参数expose_php= off 防止列目录泄露敏感信息:Options Indexes FollowSymLinks改为 Options FollowSymLinks 指定目录禁止php解析 <Directory ...
nginx加固
qq_38331780的博客
11-18 581
1. 在Nginx中禁用server_tokens指令 该server_tokens指令告诉nginx的错误页面显示其当前版本。 这是不可取的,因为您不想与世界共享这些信息,以防止在您的Web服务器由特定版本中的已知漏洞造成的攻击。 要禁用server_tokens指令,设定在关闭服务器块内: server { listen 192.168.0.25:80; Server_tokens off; server_name howtoinglovesnginx.com www.how
S-安全基线-nginx加固
qq_21193587的博客
06-02 5225
文章目录高检查是否配置Nginx账号锁定策略。 | 身份鉴别高Nginx后端服务指定的Header隐藏状态 | 服务配置高Nginx的WEB访问日志记录状态 | 服务配置高确保已禁用自动索引模块 | 访问控制高确保已禁用自动索引模块 | 访问控制高检查Nginx进程启动账号。 | 服务配置高隐藏Nginx服务的Banner | 服务配置高确保NGINX配置文件权限为64
nginx安全加固配置
小李李
09-10 462
1. 禁止一个目录的访问 示例:禁止访问path目录 location ^~ /path { deny all; } 可以把path换成实际需要的目录,目录path后是否带有"/",带“/”会禁止访问该目录和该目录下所有文件。不 带"/"的情况就有些复杂了,只要目录开头匹配上那个关键字就会禁止;注意要放在fastcgi配置之前。 2. 禁止php文件的访问及执行 示例:去掉单个目录的PHP执...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值