nginx 加固配置

最新推荐文章于 2024-04-08 13:34:51 发布
最新推荐文章于 2024-04-08 13:34:51 发布
阅读量814 收藏 1
点赞数
分类专栏: 中间件 文章标签: 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxx0028/article/details/104992589
版权

目录

适用情况

适用于使用Nginx进行部署的Web网站。

技能要求

熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。

前置条件

1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署;
2、 找到Nginx安装目录,针对具体站点对配置文件进行修改;
3、 在执行过程中若有任何疑问或建议,应及时反馈。
详细操作

以下为详细操作:

日志配置

备份nginx.conf 配置文件。

修改配置,按如下设置日志记录文件、记录内容、记录格式,添加标签为main的log_format格式

 1.(http标签内,在所有的server标签内可以调用):
 2.log_format main ' $ remote_addr - remote_user [remote 
    user[time_local] " $ request" ' 
 3.'$ status $ body_bytes_sent "“$ http_referer"' 
 4."$ http_user_agent" "$http_x_forwarded_for"';

在这里插入图片描述

在server标签内,定义日志路径

access_log logs/host.access.log main

保存,然后后重启nginx服务。

禁止目录浏览

备份nginx.conf配置文件。
编辑配置文件,HTTP模块添加如下一行内容:

autoindex off;

保存,然后后重启nginx服务。

限制目录执行权限

备份nginx.conf配置文件。
编辑配置文件,在server标签内添加如下内容:

#示例:去掉单个目录的PHP执行权限
location ~ /attachments/…(php|php5)?$ {
deny all;
}
i#示例:去掉多个目录的PHP执行权限
location ~
/(attachments|upload)/…(php|php5)?$ {
deny all;
}

在这里插入图片描述

保存,然后后重启nginx服务。
需要注意两点:

1、以上的配置文件代码需要放到 location ~ .php{…}上面,如果放到下面是无效的;
2、attachments需要写相对路径,不能写绝对路径。

错误页面重定向

备份nginx.conf配置文件。
修改配置,在http{}段加入如下内容

http {

fastcgi_intercept_errors on;
error_page 401 /401.html;
error_page 402 /402.html;
error_page 403 /403.html;
error_page 404 /404.html;
error_page 405 /405.html;
error_page 500 /500.html;

}
修改内容:
ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
其中401.html、402.html、403.html、404.html、405.html、500.html 为要指定的错误提示页面。

在这里插入图片描述

保存,重启 nginx 服务生效

最佳经验实践

隐藏版本信息a

备份nginx.conf配置文件。
编辑配置文件,添加http模块中如下一行内容:

server_tokens off;

保存,然后后重启nginx服务。

限制HTTP请求方法

备份nginx.conf配置文件。
编辑配置文件,添加如下内容:

if (request_method! ~(GET∣HEAD∣POST)$ ) {
return 444;
}

保存,然后后重启nginx服务。

在这里插入图片描述
备注:只允许常用的GET和POST方法,顶多再加一个HEAD方法

限制IP访问

备份nginx.conf配置文件。
编辑配置文件,在server标签内添加如下内容:

location / {
deny 192.168.1.1; #拒绝IP
allow 192.168.1.0/24; #允许IP
allow 10.1.1.0/16; #允许IP
deny all; #拒绝其他所有IP
}

保存,然后后重启nginx服务。

限制并发和速度

备份nginx.conf配置文件。
编辑配置文件,在server标签内添加如下内容:

limit_zone one $binary_remote_addr 10m;
server
{
listen 80;
server_name down.test.com;
index index.html index.htm index.php;
root /usr/local/www;
#Zone limit;
location / {
limit_conn one 1;
limit_rate 20k;
}
………
}

在这里插入图片描述

保存,然后后重启nginx服务。

控制超时时间

备份nginx.conf配置文件。
编辑配置文件,具体设置如下:
  • client_body_timeout 10; #设置客户端请求主体读取超时时间
  • client_header_timeout 10; #设置客户端请求头读取超时时间
  • keepalive_timeout 5 5; #第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,它指定了消息头保持活动的有效时间
  • send_timeout10; #指定响应客户端的超时时间
保存,然后后重启nginx服务。

风险操作项

Nginx降权

备份nginx.conf配置文件。
编辑配置文件,添加如下一行内容:

user nobody;

保存,然后后重启nginx服务。

防盗链

备份nginx.conf配置文件。
编辑配置文件,在server标签内添加如下内容:

location ~* ^.+.(gif|jpg|png|swf|flv|rar|zip)$ {
valid_referers none blocked server_names *.nsfocus.com http://localhost baidu.com;
if ($invalid_referer) {
rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img];
#return 403;
}
}

在这里插入图片描述

保存,然后后重启nginx服务。

补丁更新

软件信息

查看软件版本 nginx -v
测试配置文件 nginx –t

补丁安装

手动安装补丁或安装最新版本软件

xxx0028
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx安全加固
wbxshi的博客
07-03 966
编辑Nginx配置文件,并在其中添加错误页面的定义。internal;} } #error_page指令用于定义错误页面的路径。location / errors用于定义错误页面的目录。internal指令用于防止直接访问错误页面目录,只能通过 Nginx 内部访问。
Nginx七项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4933
一、Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server; 操作时建议做好记录或备份 二、Nginx的WEB访问日志记录状态 | 服务配置 描述 应为每个
拒绝网络攻击--nginx和linux的安全加固
m0_52508197的博客
09-30 3193
拒绝网络攻击--nginx和linux的安全加固
Nginx加固安全策略,简单实用
中年程序员一枚的博客
01-29 680
配置Nginx账号登录锁定策略: Nginx服务建议使用非root用户(如nginx,nobody)启动,并且确保启动用户的状态为锁定状态。可执行passwd -l 如passwd -l nginx 来锁定Nginx服务的启动用户。修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody;Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态: 1、打开conf/nginx.conf配置文件;如:nginx LK …
nginx常用安全加固措施
guofeng_hao的博客
12-03 3410
安全加固 1、禁止目录浏览/隐藏版本信息 编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启: autoindex off; #禁止目录浏览 server_tokens off; #隐藏版本信息 2、限制http请求方法 if ($request_method !~ ^(GET|HEAD|POST)$ ) { return444; } 3、限制IP访问 location / { deny 192.168.1.1; #拒绝IP allow 192.
NGINX安全加固手册.docx
03-03
NGINX安全加固手册 NGINX是当前最流行的Web服务器软件之一,但是一旦配置不当,可能会导致安全漏洞。因此,NGINX安全加固是非常重要的。本文档旨在提供一份详细的NGINX安全加固手册,帮助用户更好地保护自己的Web...
nginx负载均衡配置
04-05
此外,还可以通过Nginx的访问控制模块限制特定IP的访问,或者使用防火墙规则进一步加固安全。 在实际环境中,配置文件可能会更复杂,涉及更多的服务器、更精细的路由规则以及更全面的安全策略。但以上步骤提供了一...
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
nginx已封自启动安装包
01-31
- **安全配置**:对Nginx进行必要的安全加固,如使用HTTPS、限制不必要的HTTP方法、禁止目录浏览等。 最后,记得在安装和配置过程中遵循最佳实践,确保Nginx服务器的安全和稳定。对于初学者,可以参考官方文档或...
Nginx实际运用》.pptx
05-07
08Nginx安全加固Nginx安全加固•限制IP访问•使用防火墙或Nginx内置的limit_conn和limit_req模块限制特定IP的访问频率。•禁止目录浏览•在Nginx配置中,设置autoindex off来防止目录列表显示。•HTTPS支持•...
nginx安全加固.pdf
07-30
nginx安全加固.pdf
nginx安全加固
qq_40907977的博客
06-24 5198
1. 在Nginx中禁用server_tokens指令 该server_tokens指令告诉nginx的错误页面显示其当前版本。 这是不可取的,因为您不想与世界共享这些信息,以防止在您的Web服务器由特定版本中的已知漏洞造成的攻击。 要禁用server_tokens指令,设定在关闭服务器块内: server { listen 192.168.0.88:80; Server_tokens off; server_name howtoinglovesnginx.com www.ngi
详解nginx服务器中的安全配置--安全加固
WinJay
07-21 232
详解nginx服务器中的安全配置 本篇文章主要介绍了nginx服务器中的安全配置,较为详细的分析了nginx服务器中的安全配置与相关操作注意事项,需要的朋友可以参考下。 本篇文章详细的讲诉了nginx服务器中的安全配置,具体如下: 一、关闭SELinux 安全增强型Linux(SELinux)的是一个Linux内核的功能,它提供支持访问控制的安全政策保...
安全开发运维必备,如何进行Nginx代理Web服务器性能优化与安全加固配置,看这篇指南就够了
WeiyiGeek 唯一极客IT知识分享
04-15 1312
本章目录 1.引言 1.1 目的 1.2 目标范围 1.3 读者对象 2.参考说明 2.1 帮助参考 2.2 参数说明 3.3 模块说明 3.服务优化 3.1 系统内核 3.2 编译优化 3.3 性能优化 3.4 运营优化 3.5 配置优化 4.安全配置 0.隐藏nginx服务及其版本 1.低权限用户运行服务 2.配置SSL及其会话复用 3.限制SSL协议与加密套件 4.拦截垃圾信息 5.恶意扫描拦截 6.禁用WebDAV 7.禁用Nginx状态模块 8.关闭默认错误页上的Nginx版本号 9
Nginx常规配置-安全加固
WinJay
06-24 320
Nginx配置 一、隐藏版本号: (操作后即只显示WebServ使用的是Nginx) 1、进入nginx配置文件的目录(此目录根据安装时决定),用vim编辑打开 [root@LB-Master nginx]# vim /etc/nginx/nginx.conf 2、在http {—}里加上server_tokens off; 如: http { i...
Nginx安全加固配置手册
weixin_33860528的博客
01-31 1083
第1章概述1.1 目标Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows等操作系统上,其特点是占用内存少,并发能力强。同其他软件一样,Nginx也出现过一些安全漏洞,利用这些漏洞可以对Web服务器进行**...
Nginx漏洞利用与安全加固
weixin_33973600的博客
04-09 312
本文主要分为两大部分,第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法,并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容。Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows...
Nginx 高性能调优与安全加固实战指南
最新发布
大新软件老杨
04-08 140
remote_addr 只能获取到与服务器直连的上层请求 IP,但当通过 CDN 或其他代理访问时,后端服务器获取到的将是 CDN 或代理的 IP,而非真实用户 IP。NGINX 将重用现有的 TCP 连接,而不是创建新的 TCP 连接,这可以极大地减少繁忙服务器上处于 TIME_WAIT 状态的 TCP 连接中的套接字数量(减少操作系统建立新连接的工作,减少网络上的数据包)。文件句柄可以看作是文件的索引,随着请求量的增加,进程对文件句柄的调用频率也会相应提高,导致文件句柄数量增多。
中间件加固Nginx安全加固规范
时乙的博客
11-05 1901
1. 适用情况 适用于使用Nginx进行部署的Web网站。 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; 3、 在执行过程中若有任何疑问或建议,应及时反馈。 4. 详细操作 4.1 日志配置 1、备份nginx.conf 配置文件。 修改配置,按如下设置日志记录文件、记录内容、记录格式
nginx安全加固配置
09-30
Nginx安全加固配置主要包括隐藏Nginx服务Banner的状态、限制Nginx配置文件的权限和配置Nginx的SSL协议采用TLSv1.2。 隐藏Nginx服务Banner的状态可以通过在Nginx配置文件中的server栏目下配置server_tokens项来实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值