注:最近部门领导要求梳理一份常用工具的安全加固参考手册,基于此需求,针对工作中经常遇到的被漏扫发现的问题,进行了梳理,参考了官网内容及网上各位大神的内容,不足之处,还望指正,版本环境为nginx1.18稳定版,若有参数不能正常使用,请参考nginx官网。
安全加固参考
Nginx部署规范
常用编译参考
--with-pcre=/asop/soft/pcre-8.43
--with-zlib=/asop/soft/zlib-1.2.11
--with-openssl=/asop/soft/openssl-1.0.1j
--with-http_geoip_module
可选:
#启用https支持支持
--with-http_ssl_module
#启用http状态信息查看
--with-http_stub_status_module
Nginx优化及加固参考
版本信息隐藏
1、隐藏版本信息
配置参考:
vi conf/nginx.conf
#在http段中加入如下信息
server_tokens off;
2、隐藏http响应头中的server信息
配置参考:
#隐藏server信息需要修改源码重新编译
1、src/core/nginx.h
#define nginx_version 000000
#define NGINX_VERSION "0.00"
#define NGINX_VER "GW/" NGINX_VERSION
2、src/http/ngx_http_header_filter_module.c
static char ngx_http_server_string[] = "Server: GW" CRLF;
开启CPU亲和
#开启CPU亲和是为了将nginx的进程绑定到对应的CPU核心上,使各核心的使用率基本均衡,避免多个核心同时运行着多个进程。