首页 / 运维开发 / 过分了啊!Nginx这些重要的安全设置,你不会....

过分了啊!Nginx这些重要的安全设置,你不会....

2020-12-15 12:15 运维开发 阅读 6970 来源

nginx重要的安全设置

Nginx 是最流行的 Web 服务器,可以只占用 2.5 MB 的内存,却可以轻松处理 1w 的 http 请求。

做为网站的入口,Nginx 的安全设置重要性不言而喻。

下面带你一起去认识一下这些安全配置吧!

nginx.conf是 Nginx 最主要的配置文件,大部分的安全配置都在这个文件上进行。

禁用不需要的 Nginx 模块

自动安装的 Nginx 会内置很多模块,并不是所有的模块都需要,对于非必须的模块可以禁用,如 autoindex module ,下面展示如何禁用

./configure --without-http_autoindex_module # make # make install
不展示 server tokens

默认情况下,Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号,这可能会导致信息泄露,未经授权的用户可能会了解你使用的nginx版本。 应该在 nginx.conf 通过设置 server_tokens off 来禁用

nginx重要的安全设置

控制资源和限制

        为了防止对 Nginx 进行潜在的 DOS 攻击,可以为所有客户端设置缓冲区大小限制,配置如下:

  • client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k,但建议将此值设置为低至1k:client_body_buffer_size 1k
  • client_header_buffer_size 为客户端请求标头指定标头缓冲区大小。 设置为 1k 足以应付大多数请求。
  • client_max_body_size 为客户端请求指定可接受的最大正文大小。 设置为 1k 应该足够了,但是如果通过 POST方法接收文件上传,则需要增加它。
  • large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2,每个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据, large_client_header_buffers 2 1k
禁用所有不需要的 HTTP 方法

禁用所有不需要的 HTTP 方法,下面设置意思是只允许 GET、HEAD、POST 方法,过滤掉 DELETE 和 TRACE 等方法。

location / { limit_except GET HEAD POST { deny all; } }

另一种方法是在 server 块 设置,不过这样是全局设置的,要注意评估影响

if ($request_method !~ ^(GET|HEAD|POST)$ ) {     return 444; }
监控访问日志和错误日志

持续监控和管理 Nginx 的错误日志,就能更好的了解对 web 服务器的请求,注意到任何遇到的错误,有助于发现任何攻击尝试,并确定您可以执行哪些操作来优化服务器性能。

可以使用日志管理工具(例如 logrotate )来旋转和压缩旧日志并释放磁盘空间。 同样,ngx_http_stub_status_module 模块提供对基本状态信息的访问。

nginx重要的安全设置

合理配置响应头

为了进一步加强 Nginx web 的性能,可以添加几个不同的响应头,推荐

X-Frame-Options

可以使用 X-Frame-Options HTTP 响应头指示是否应允许浏览器在 <frame> 或 <iframe> 中呈现页面。 这样可以防止点击劫持攻击。

配置文件中添加:

add_header X-Frame-Options "SAMEORIGIN";

Strict-Transport-Security

HTTP Strict Transport Security,简称为 HSTS。它允许一个 HTTPS 网站,要求浏览器总是通过 HTTPS 来访问它,同时会拒绝来自 HTTP 的请求,操作如下:
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
CSP
Content Security Policy (CSP) 保护你的网站避免被使用如 XSS,SQL注入等手段进行攻击,操作如下:
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
配置 SSL 和 cipher suites

Nginx 默认允许使用不安全的旧 SSL 协议,ssl_protocols TLSv1 TLSv1.1 TLSv1.2,建议做如下修改:

ssl_protocols TLSv1.2 TLSv1.3;

此外要指定 cipher suites ,可以确保在 TLSv1 握手时,使用服务端的配置项,以增强安全性。

ssl_prefer_server_ciphers on
定期更新服务器

旧版的 Nginx 总会存在各种各样的漏洞,所以最好更新到最新版。

漏洞可以去各大 CVE 网站去查询,Nginx 最新版则去官网查看。

Linux   nginx  

猜你喜欢

  • 运维开发

    过分了啊!Nginx这些重要的安全设置,你不会....

    Nginx 是最流行的 Web 服务器,可以只占用 2.5 MB 的内存,却可以轻松处理 1w 的 http 请求。做为网站的入口,Nginx 的安全设置重要性不言而喻。下面带你一起去认识一下这些安全配置吧!nginx.conf是 Nginx 最主要的配置文件,大部分的安全配置都在这个文件上进行。

    2020-12-15 12:15 6971
  • 运维开发

    Linux系统对文件夹进行打包压缩

    打包:指将多个文件(或目录)合并成一个文件,方便在不同节点之间传递或在服务器集群上部署。 压缩或打包文件常见扩展名 *.tar,*.tar.gz,*.gz,*.bz2,*.Z Linux系统一般文件的扩展名用途不大,但是压缩或打包文件的扩展名时必须的,因为linux支持的压缩命令较多,不同的压缩技术使用的压缩算法区别较大,根据扩展名能够使用对应的解压算法。

    2020-09-06 09:06 7805
  • 运维开发

    koa项目部署到阿里云(宝塔)服务器

    很多小伙伴在编写完koa程序后对如何部署到服务器并不了解,今天就以阿里云为例告诉大家如何部署

    2021-02-11 02:11 6071
  • 运维开发

    webhook自动部署

    webhook自动部署,webhooks是一个api概念,是微服务api的使用范式之一,也被成为反向api,即:前端不主动发送请求,完全由后端推送。 举个常用例子,比如你的好友发了一条朋友圈,后端将这条消息推送给所有其他好友的客户端,就是 Webhooks 的典型场景。

    2023-02-20 02:20 10968
  • 运维开发

    CNAME和MX记录冲突

    域名的顶级解析设置成了cdn,CNAME记录解析,导致设置邮箱MX记录时,造成解析记录的冲突,具体原理,可以百度下

    2020-09-04 09:04 6396
  • 运维开发

    网站遭受攻击,如何应对与修复?

    网络攻击是指通过恶意手段侵犯网络系统的稳定性和安全性的行为。很多网站都成为黑客攻击的目标,因此对于网站管理员和网络用户来说,了解各种被攻击的方式以及如何解决是非常重要的。本文将介绍一些常见的网站攻击方式,并提供一些解决方案。

    2023-08-09 08:09 7744