【Nginx 进阶】7、安全配置

已于 2024-06-02 01:28:16 修改
阅读量1.2k 收藏 14
点赞数 6
分类专栏: Nginx系列 后端及其他教学 文章标签: nginx 后端 架构 安全 tomcat mysql
于 2024-06-01 01:50:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52938153/article/details/139251650
版权

【Nginx 进阶】安全配置

【Nginx进阶】系列文章目录

【Nginx 进阶】1、Nginx 高级配置
【Nginx 进阶】2、模块化设计
【Nginx 进阶】3、负载均衡策略
【Nginx 进阶】4、SSL/TLS 配置
【Nginx 进阶】5、Nginx 性能优化
【Nginx 进阶】6、Nginx 与第三方服务集成
【Nginx 进阶】7、安全配置(本文)
【Nginx 进阶】8、Nginx 高可用性
【Nginx 进阶】9、监控和调试

在现代网络环境中,保障 Web 服务器的安全性至关重要。Nginx 作为一个高性能的 Web 服务器和反向代理服务器,通过合理的安全配置,可以有效地防止各种网络攻击,保护服务器和用户数据的安全。在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。

1. SSL/TLS 安全

SSL/TLS 通过加密保护数据传输的机密性、完整性和真实性。合理的 SSL/TLS 配置可以防止中间人攻击和数据篡改。

1.1 禁用不安全的协议和加密套件

禁用 SSLv3 和弱加密套件,强制使用安全的 TLS 协议和加密套件:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
}

1.2 启用 HSTS

HTTP 严格传输安全 (HSTS) 可以强制客户端使用 HTTPS 连接,防止协议降级攻击:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

1.3 启用 OCSP Stapling

OCSP Stapling 可以减少 SSL 握手时间,提高性能:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
}

1.4 使用强密码

生成并配置 Diffie-Hellman 参数文件:

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

在 Nginx 配置中使用:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
}

2. 访问控制

通过访问控制,可以限制哪些客户端可以访问服务器,从而提高安全性。

2.1 基于 IP 地址的访问控制

使用 allowdeny 指令,限制 IP 地址的访问:

server {
    listen 80;
    server_name example.com;

    location / {
        allow 192.168.1.0/24;
        deny all;
    }
}

2.2 基于用户代理的访问控制

限制特定用户代理的访问,可以防止一些常见的恶意机器人:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($http_user_agent ~* "BadBot") {
            return 403;
        }
    }
}

2.3 基于 HTTP 方法的访问控制

限制某些 HTTP 方法的使用,例如禁止 PUT 和 DELETE 方法:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($request_method !~ ^(GET|POST|HEAD)$) {
            return 405;
        }
    }
}

3. HTTP 安全头

HTTP 安全头可以防止多种 Web 安全问题,例如跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF)、点击劫持等。

3.1 配置常见的 HTTP 安全头

在 Nginx 配置文件中添加以下指令:

server {
    listen 80;
    server_name example.com;

    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header Referrer-Policy "no-referrer-when-downgrade";
    add_header Content-Security-Policy "default-src 'self'";
}

4. 防止 DDoS 攻击

分布式拒绝服务 (DDoS) 攻击可以通过大量请求耗尽服务器资源,从而导致服务不可用。Nginx 提供了一些配置来缓解 DDoS 攻击。

4.1 限制请求速率

使用 limit_req 模块限制每个客户端的请求速率:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_req zone=one burst=5 nodelay;
        }
    }
}

4.2 限制并发连接数

使用 limit_conn 模块限制每个客户端的并发连接数:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_conn addr 10;
        }
    }
}

5. 日志审计

通过日志审计,可以记录和分析服务器的访问和操作,帮助检测和防止安全事件。

5.1 配置详细日志

配置详细的访问日志和错误日志:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;
}

5.2 使用外部日志分析工具

使用如 ELK(Elasticsearch、Logstash、Kibana)等工具分析和可视化日志:

# 安装 Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch

# 安装 Logstash
sudo apt install logstash

# 安装 Kibana
sudo apt install kibana

6. 完整示例

下面是一个综合了多种安全配置的完整示例:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/nginx/ssl/nginx.crt;
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
        ssl_prefer_server_ciphers on;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;

        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options "SAMEORIGIN";
        add_header X-XSS-Protection "1; mode=block";
        add_header Referrer-Policy "no-referrer-when-downgrade";
        add_header Content-Security-Policy "default-src 'self'";

        location / {
            limit_req zone=one burst=5 nodelay;
            limit_conn addr 10;
            allow 192.168.1.0/24;
            deny all;
            if ($request_method !~ ^(GET|POST|HEAD)$) {
                return 405;
            }
        }
    }
}

7. 总结

在本章中,我们详细介绍了 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。通过这些配置,你可以有效地提高 Nginx 服务器的安全性,防止各种网络攻击,保护服务器和用户数据的安全。在接下来的教程中,我们将探讨 Nginx 的高可用性,敬请期待!

Nginx进阶篇/Nginx服务器基础配置实例/Nginx服务操作的问题/Nginx静态资源部署
07-11 209
经过刚才的分析,"tcp_nopush"和”tcp_nodelay“看起来是"互斥的",那么为什么要将这两个值都打开,这个大家需要知道的是在linux2.5.9以后的版本中两者是可以兼容的,三个指令都开启的好处是,sendfile可以开启高效的文件传输模式,tcp_nopush开启可以确保在发送到客户端之前数据包已经充分“填满”, 这大大减少了网络开销,并加快了文件发送的速度。经过上述内容的优化,我们再次思考一个问题,假如在满足上述优化的前提下,我们传送一个1M的数据和一个10M的数据那个效率高?
如何用nginx配置https加密访问?
陕西省数字认证中心
06-22 383
准备工作,服务器、域名(已备案),目的:为域名申请DV SSL证书。一、 获取服务器证书1.1获取证书在您完成申请snca服务器证书的流程后,登录系统将会下载一个压缩文件,解压该压缩文件,使用压缩文件里面的NginxServer文件1.2私钥文件请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,请找到此文件,后面配置要用到此文件;二、 安装服务器证书 1. 配置ssl证书打开nginx安装目录下conf目录中的nginx.conf文件,找到被注释掉的server 配置,把服务器证书you
安装Nginx启用加密模块配置基于加密网站的虚拟主机
彭淦淦的博客
04-02 792
4.1 问题 沿用练习三,配置基于加密网站的虚拟主机,实现以下目标: 域名为www.c.com 该站点通过https访问 通过私钥、证书对该站点所有数据加密 4.2 方案 源码安装Nginx时必须使用–with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。 加密算法一般分为对称算法、非对称算法、信息摘要。 对称...
三、nginx https加密配置
黑日里不灭的light
11-27 1264
解释:配置相对比较简单需要几个参数即可,在配置ssl证书之前,要确保你的。
Nginx 配置 SSL(HTTPS)详解
最新发布
m0_74824044的博客
03-07 1317
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
nginx添加密码套件 ChatGPT
Old_Monster_的博客
03-31 1223
3. 您可以进一步配置您的SSL证书和密钥,以便加密通信。现在,您已经在nginx中启用了加密算法套件,并使用SSL证书和密钥保护了通信。这将启用TLS协议的版本1.2和1.3,并使用具有适当加密强度的加密套件。部分,确认您的nginx版本已构建使用所需的OpenSSL库版本。4. 最后,重新加载nginx配置文件以应用更改。是您的SSL证书文件的路径,是您的SSL密钥文件的路径。
Nginx SSL/TLS 配置
Flying_Fish_roe的博客
12-18 1554
SSL(Secure Sockets Layer)和 TLS(Transport Layer Security)都是加密协议,主要用于保护网络通信的安全。SSL 是最早的版本,而 TLS 是其后续版本。尽管 TLS 更为安全和高效,但由于历史原因,人们通常习惯性地称其为 SSL。SSL/TLS 协议通过对称加密和非对称加密相结合的方式,在客户端和服务器之间建立一个安全的加密通道,防止数据在传输过程中被窃取或篡改。
Nginx配置ssl证书,加密成https过程细节(the ssl directive is deprecated-cannot load certificate)
路虽远行则将至,事虽难做则必成。
09-17 1349
日常开发中我们在公网访问项目时,一般都是安全连接,https://开头(极少数http://)当我们自己配置的域名服务器,通过Nginx转发之后确实http,这是因为我们没有配置证书浏览器会察觉我们的传输没有规范加密,所以认定我们的连接不安全,但并不影响使用其实当域名是我们自己时候,是有相对应免费的ssl证书申请,只是我们自己没有申请。
nginx进阶vip -第5课笔记1
08-08
【标题】:“nginx进阶vip -第5课笔记1”主要讲解了nginx的高级应用,包括HTTPS配置、keepalived实现nginx高可用以及MVVM开发模式中的后端与微服务概念。 【描述】中提到的内容概述如下: 1. **后端nginx**:描述...
架构设计:负载均衡层设计方案(3)——Nginx进阶1
08-08
Nginx 负载均衡层设计方案:Nginx 进阶】 在架构设计中,负载均衡层扮演着至关重要的角色,它负责分散网络流量,确保服务的高可用性和性能。Nginx 作为一款高性能的反向代理服务器,常常被用作负载均衡器。在本篇...
Nginx配置进阶
数通畅联
04-25 2157
Nginx是一款轻量级的Web服务器、反向代理服务器,由于它的内存占用少,启动快,高并发能力强,在互联网项目中广泛应用。本文针对Nginx配置进阶进行系统讲述。
进阶安全配置Nginx HTTPS转HTTP的安全头部策略实施
[进阶安全配置Nginx HTTPS转HTTP的安全头部策略实施](https://cdn.invicti.com/app/uploads/2022/05/24124856/x_frame_options_http_header_browsers_supported.png) 参考资源链接:[Nginx https配置错误:https...
nginx配置https加密
清瞳清的博客
07-03 1082
服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。nginx 的https 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx要使用参数ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的nginx需要指定编译参数–with-http_ssl_module开启。将生成的这4个文件移动到刚才创建的nginx目录下。移动完文件后,要到对应的目录下进行操作。
nginx安装https加密套件
Checker_Code的博客
03-08 3867
https 默认采用 SHA-1 算法,非常脆弱。我们可以使用迪菲-赫尔曼密钥交换。 我们在 /conf/ssl 目录下生成 dhparam.pem 文件 openssl dhparam -out dhparam.pem 2048 下面的指令 ssl_protocols 和 ssl_ciphers 是用来限制连接只包含 SSL/TLS 的加強版本和算法。 # 优先采取服务器算法 ssl_pref...
等保2.0测评之Nginx 中间件
qq_23435961的博客
02-22 2026
nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器,一般主要功能会有两种,一种作为一个HTTP服务器进行网站的发布处理,另外一种nginx可以作为反向代理进行负载均衡的实现。所以这里填主要功能的时候就要分清。查看Nginx版本:如果系统有配置nginx命令的环境变量,直接 nginx -v 即可查看版本信息若无,我们去nginx主目录下运行cmd,输入nginx -v查看版本。
nginx配置ssl证书
dennis的博客
01-06 2160
nginx配置ssl证书
Linux+Nginx+SSL(Https) 去Server响应头后 网页显示源码
l1179237106的博客
11-11 1807
解决办法1:去官网下载对应版本的nginx压缩包到服务器上,解压后修改ngx_http_header_filter_module.c文件。解决办法1:使用TLS v1.1 和 v1.2 ,目前他们已知的安全问题,只有 v1.2 提供了现代的加密算法。修改完成后重新编译安装nginx,这个步骤自己查一下,本人是把必要的原配置备份好后直接重新安装上传配置的方便。方法的话,一定要去掉,不然就会引起访问https时,网页无法正常显示,直接显示源码。解决方法2:SSL 和 TLS 部署最佳实践:使用安全密码套件。
NGINX修复弱口令漏洞
algebra007的博客
06-03 2208
前两天的工作内容小记。 这两天收到很多弱口令漏洞,因为我们的http转https很多时候都是通过深信服AD来配置的,所以很多修复工作是网络管理员在做。但是个别几个https是通过NGINX代理来做的,因此我这个系统管理员也需要在NGINX上进行漏洞封堵。 收到的弱口令漏洞列表如下: 47 TLS_RSA_WITH_AES_128_CBC_SHA TLS 1.2 53 TLS_RSA_WITH_AES_256_CBC_SHA TLS 1.2 60 TLS_RSA_WITH_AES_128_CBC_SHA2
基于OpenSSL的SSL TLS加密套件全解析_openssl使用进行tls测试
2401_84254364的博客
04-11 818
openssl接口配置加密套件。得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**(img-VNPDUBIb-1712792181103)]ssl_ciphers ALL:!#Nginx配置加密套件
Nginx配置完全指南:从基础到进阶
在LNMP架构下,针对PHP的安全配置,包括限制PHP-FPM的权限、开启OPcache以提升性能等,可以有效增强服务器的安全性和效率。 理解并熟练运用这些Nginx配置知识点,能够帮助你构建高效、安全的Web服务环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值