nginx通过配置文件来进行的安全方面优化

最新推荐文章于 2024-07-17 23:48:55 发布
最新推荐文章于 2024-07-17 23:48:55 发布
阅读量524 收藏 1
点赞数
文章标签: nginx 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youcan_doit/article/details/134036630
版权

目录

1、隐藏版本号

2、配置错误页面重定向

3、添加header防止XSS攻击

4、利用referer图片防盗链

5、拒绝某些user-agent

6、限制HTTP请求方法

7、nginx开启https

8、控制迸发连接数

1、隐藏版本号

说明: 由于某些 Nginx 漏洞只存在于特定的版本,隐藏版本号可以提高安全性。

Nginx隐藏版本信息配置示例:

[root@localhost ~]# curl -I 192.168.6.116
HTTP/1.1 200 OK
Server: nginx/1.20.1

[root@localhost ~]# vim /etc/nginx/nginx.conf
http {
   server_tokens off;
[root@localhost ~]# systemctl restart nginx.service 
[root@localhost ~]# curl -I 192.168.6.116
HTTP/1.1 200 OK
Server: nginx

2、配置错误页面重定向

http {
...
error_page 401 /401.html;
error_page 402 /402.html;
error_page 403 /403.html;
error_page 404 /404.html;
error_page 405 /405.html;
error_page 500 /500.html;
...
}

3、添加header防止XSS攻击

说明:

  1. X-Frame-Options:标识是否允许浏览器加载frame等属性。
  • DENY:禁止任何网页被嵌入
  • SAMEORIGIN:只允许本网站的嵌套
  • ALLOW-FROM:允许指定地址的嵌套
  1. X-XSS-Protection:启用XSS过滤。mode=block标识若检查到XSS攻击则停止渲染页面
  2. X-Content-Type-Options:用来指定浏览器对未指定或错误指定Content-Type资源真正类型的猜测行为
  • nosniff:标识不允许任何猜测
  • 在通常的请求相应中,浏览器会根据Content-Type来分辨响应的类型,如果响应类型未指定或错误指定时,浏览器会启用MIME-sniffing来猜测资源的响应类型

Nginx添加Header示例:

location / {
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Content-Type-Options "nosniff";
}

4、利用referer图片防盗链

说明:

  1. valid_referers:验证referer
  • none:允许referer为空
  • blocked:允许不带协议的请求

Nginx校验referer配置示例:

location /images/ {
    valid_referers none blocked <domain_name> <domain_name>;
    if ($invalid_referer) {
        return 403;
    }
}

5、拒绝某些user-agent

说明:禁止一些爬虫的扫描

Nginx拒绝User-Agent配置示例:

if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl){
    return 444;
}

6、限制HTTP请求方法

说明:$request_method能获取到请求时所使用的method,应该配置只使用GET/POST方法访问,其他的method返回405

Nginx限制HTTP请求方式示例:

if ($request_method !~ ^(GET|POST)$ ){
    return 405;
}

7、nginx开启https

server {
    listen 443;
    server_name <xxx>;
    
    # 开启https
    ssl on;
    # 配置nginx ssl证书的路径
    ssl_certificate <pem路径>;
    # 配置nginx ssl证书key的路径
    ssl_certificate_key <key路径>;
    # 指定客户端建立连接时使用的ssl协议版本
    ssl_protocols TLSv1.2;
    # 指定客户端连接时所使用的加密算法
    ssl_ciphers HIGH:!aNULL:!MD%
}

8、控制迸发连接数

说明:

  1. limit_conn_zone:设定保存各个属性状态的共享内存空间的参数
  • limit_conn_zone <属性> zone=<空间名称>:<大小>
  1. limit_conn:为已经设定zone的属性设置最大连接数
  2. limit_rate:限制单个连接使用的带宽

Nginx限制并发数配置示例:

http {
    limit_conn_zone $binary_remote_addr zone=ops:10m;
    limit_conn_zone $server_name zone=coffee:10m;

    server {
        listen 80
        server_name <server_name>;
        ...
        location / {
            limit_conn opos 10; # 限制单一IP来源的连接数为10
            limit_conn coffee 2000; # 限制单一虚拟服务器的总连接数为2000 
            limit_rate 500k; # 限制单个连接使用的带宽
        }
    }
}

我还能再学点
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Nginx配置优化
Moshizhu的博客
06-05 1249
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。Nginx Nginx是一个高性能的HTTP和反向代理服务器。 是一款轻量级的高性能的web服务器/反向代理服务器/电子邮件(IMAP/POP3)代理服务器 单台物理服务器可支持30 000~50 000个并发请求。Apache: Apache是以进程为基础的结构,进程要比线程消耗更多的系统开支,不太适用于多处理器环境,因此,在一个apache Web站点扩容时,通常是增加服务器或扩充群集
nginx配置文件
weixin_72435491的博客
10-12 1120
nginx配置文件
配置Nginx作为静态资源服务器及安全策略
weixin_43578304的博客
01-27 1261
上一篇文章写了Nginx负载均衡实现方案详解,有同学私信我说能不能写一篇关于nginx代理静态资源的文章。当然没问题,这篇文章就分享一下如何配置Nginx作为静态资源服务器同时也分享一些常用的安全策略配置
Nginx性能优化配置
dehuisun的专栏
07-28 3403
worker进程数(worker_processes )默认为 1 ,单进程最大连接数(worker_connections)为1024每个 worker 进程都是单线程的进程,它们会调用各个模块以实现多种多样的功能如果这些模块确认不会出现阻塞式的调用,那么有多少CPU内核就应该配置多少个进程反之,如果有可能出现阻塞式调用,那么需要配置稍多一些的worker进程。
Linux 配置 Nginx 服务完整详细版
久绊A的博客
09-18 1万+
当你需要配置Nginx服务器来托管网站或应用程序时,以下是一些基本步骤和示例配置,以帮助你入门。请注意,Nginx配置可以非常灵活,可以根据你的具体需求进行自定义。以下示例假设你已经在服务器上安装了Nginx。1、打开终端并登录到你的服务器。2、使用文本编辑器(比如nano或vim)打开Nginx配置文件配置文件通常位于 /etc/nginx/nginx.conf或 /etc/nginx/sites-available/default,具体位置可能因你的操作系统而异。
Nginx配置组成与性能调优
qq_64612585的博客
02-21 905
nginx配置的基本结构由核心模块 、标准HTTP模块 、可选HTTP模块 、邮件服务模块、Stream服务模块和第三方模块 组成,允许用户定义全局性的设置、针对HTTP协议的设置,以及特定服务器和URL路径的定制化设置。yum安装通常情况下,Nginx的主配置文件位于/etc/nginx/nginx.conf;子配置文件: include conf.d/*.conf;日志通常位于/var/log/nginx/目录下,包含access.log(访问日志)和error.log(错误日志)等。
Nginx配置文件优化-nginx配置文件优化
qq_45538179的博客
04-09 3804
一、优化Nginx配置文件 1、精简主配置文件 #先备份主配置文件 cp nginx.conf nginx.conf.bak #去掉注释空行,并将内容写入一个新文件 egrep -v '#|^$' nginx.conf>nginx.conf.new #查看新配置文件 cat nginx.conf.new 上面内容比原来的配置文件简洁多了,最好,将新文件重新命名成nginx.conf即可, mv nginx.conf.new nginx.conf 二、配置nginx支持PHP 修改主配置
Windows下Nginx负载均衡配置优化方案
记录博客
12-22 1191
Windows下Nginx负载均衡配置优化方案 方案配置的环境: 安装环境:Windows系统 Nginx版本:nginx-1.18.0 代理网站服务器:Windows server系统 1.Nginx下载 进入下载地址:http://nginx.org/en/download.html 选择Windows版本进行下载。 2.Nginx安装 2.1解压安装 将下载好的Nginx压缩文件解压在相关的安装位置,建议放在非C盘的根目录下,原因是网站访问量大时,产生的日志容量会很大,从而占据C盘的存储空间,增加
Nginx配置详解,一文带你搞懂Nginx
热门推荐
u012975152的博客
07-20 9万+
1基本概念1.1Nginx简介Nginx是一个高性能的HTTP和反向代理服务器,特点是占用内存少,并发能力强,事实上Nginx的并发能力确实在同类型的网页服务器中表现好。Nginx专为性能优化而开发,性能是其最重要的考量,实现上非常注重效率,能经受高负载的考验,有报告表明能支持高达50000个并发连接数。1.2正向代理需要客户自己在浏览器配置代理服务器地址。例如在大陆访问www.google.com,我们需要一个代理服务器,我们通过代理服务器去访问谷歌,这个过程就是正向代理。h。...
Nginx配置详解
0.0雨的博客
06-05 1618
Nginx配置详解
Vue项目部署Nginx配置文件 SSL
08-11
- 通过 `location` 块配置Nginx 可以高效地处理各种静态文件请求,如 CSS、JS、图片等。 ```nginx location / { try_files $uri $uri/ /index.html; # 处理 Vue 路由的history模式 } ``` 7. **错误页面处理...
Windows下Nginx配置配置文件部分介绍
09-30
在Windows环境下配置Nginx是一项基础且重要的任务,尤其对于那些需要在本地进行Web服务器测试或部署的人来说。本文将深入探讨如何在Windows上安装Nginx以及如何配置配置文件。 首先,你需要从Nginx的官方网站...
nginx发布前端静态文件配置
02-17
首先,了解基本的Nginx配置结构至关重要。Nginx配置文件通常位于`/etc/nginx/nginx.conf`,但也可以根据需求创建多个server块以处理不同域名或项目。一个典型的server块包括listen指令(指定监听的端口)、server_...
window下使用nginx提供文件下载服务器配置
09-30
在Windows环境下,使用Nginx搭建文件下载服务器是一种常见的解决方案,尤其适合个人用户或小型团队分享文件。...需要注意的是,虽然这种方法简单易行,但在生产环境中,可能需要考虑更多安全和性能优化的设置。
Windows下Nginx安装配置教程
09-30
在本文中,我们将深入探讨如何在Windows操作系统上安装和配置Nginx,这是...理解这些基本概念和配置指令是管理和优化Nginx服务器的关键。随着你对Nginx的深入理解和实践,你将能够构建出更高效、更安全的Web服务环境。
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 565
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1458
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 842
区分不同的签名。
AI安全系列——[第五空间 2022]AI(持续更新)
2201_76139143的博客
07-15 1005
最近很长时间没有更新,其实一直在学习AI安全,我原以为学完深度学习之后再学AI安全会更加简单些,但是事实证明理论转实践还是挺困难的,但是请你一定要坚持下去,因为“不是所有的坚持都有结果,但总有一些坚持,能从冰封的土地里,培育出十万朵怒放的蔷薇”题目来源:NSSCTF题目描述:噪声在大数据场景下有着重要的地位。工程师们苦于被噪声污染的数据,同时也使用噪声保护着隐私数据。这个挑战分为两个部分。挑战1:从噪声中恢复隐私向量有A,B两个实体。其中B是普通实体,A则是恶意攻击者。
Nginx配置与目录详解
1. conf目录:这是存放Nginx配置文件的地方,其中最重要的文件是`nginx.conf`,它是Nginx的主配置文件,我们通常会在这里进行大部分的配置修改。 2. contrib目录:这是一个社区贡献的代码库,用户可以在这里找到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我还能再学点

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值