Nginx安全防範配置

隱藏版本號

http

經常會有針對某個版本的nginx安全漏洞出現，隱藏nginx版本號就成了主要的安全優化手段之一，當然最重要的是及時公升級修復漏洞

開啟https

server

ssl on：開啟https

ssl_certificate：配置nginx ssl證書的路徑

ssl_certificate_key：配置nginx ssl證書key的路徑

ssl_protocols：指定客戶端建立連線時使用的ssl協議版本，如果不需要相容tslv1，直接去掉即可

ssl_ciphers：指定客戶端連線時所使用的加密演算法，你可以再這裡配置更高安全的演算法

新增黑白名單

白名單配置

location /admin/

上邊表示只允許192.168.1.0/24網段的主機訪問，拒絕其他所有

也可以寫成黑名單的方式禁止某些位址訪問，允許其他所有，例如

location /ops-coffee/

更多的時候客戶端請求會經過層層**，我們需要通過$http_x_forwarded_for來進行限制，可以這樣寫

if ($allow = false)新增賬號認證

server 
}

限制請求方法

if ($request_method !~ ^(get|post)$ )

$request_method能夠獲取到請求nginx的method

配置只允許get\post方法訪問，其他的method返回405

拒絕user-agent

if ($http_user_agent ~* lwp::******|bbbike|wget|curl)

可能有一些不法者會利用wget/curl等工具掃瞄我們的**，我們可以通過禁止相應的user-agent來簡單的防範

nginx的444狀態比較特殊，如果返回444那麼客戶端將不會收到服務端返回的資訊，就像是**無法連線一樣

防盜煉

location /images/ 
}

valid_referers：驗證referer，其中none允許referer為空，blocked允許不帶協議的請求，除了以上兩類外僅允許referer為www.ops-coffee.cn或ops-coffee.cn時訪問images下的資源，否則返回403

當然你也可以給不符合referer規則的請求重定向到乙個預設的，比如下邊這樣

location /images/ 
}

控制併發連線數

可以通過ngx_http_limit_conn_module模組限制乙個ip的併發連線數

}}limit_conn_zone：設定儲存各個鍵(例如$binary_remote_addr)狀態的共享記憶體空間的引數，zone=空間名字:大小

大小的計算與變數有關，例如$binary_remote_addr變數的大小對於記錄ipv4位址是固定的4 bytes，而記錄ipv6位址時固定的16 bytes，儲存狀態在32位平台中占用32或者64 bytes，在64位平台中占用64 bytes。1m的共享記憶體空間可以儲存大約3.2萬個32位的狀態，1.6萬個64位的狀態

limit_conn：指定一塊已經設定的共享記憶體空間(例如name為ops的空間)，以及每個給定鍵值的最大連線數

上邊的例子表示同一ip同一時間只允許10個連線

當有多個limit_conn指令被配置時，所有的連線數限制都會生效

}}上邊的配置不僅會限制單一ip**的連線數為10，同時也會限制單一虛擬伺服器的總連線數為2000

緩衝區溢位攻擊

緩衝區溢位攻擊是通過將資料寫入緩衝區並超出緩衝區邊界和重寫記憶體片段來實現的，限制緩衝區大小可有效防止

client_body_buffer_size  1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;

client_body_buffer_size：預設8k或16k，表示客戶端請求body占用緩衝區大小。如果連線請求超過快取區指定的值，那麼這些請求實體的整體或部分將嘗試寫入乙個臨時檔案。

client_header_buffer_size：表示客戶端請求頭部的緩衝區大小。絕大多數情況下乙個請求頭不會大於1k，不過如果有來自於wap客戶端的較大的cookie它可能會大於 1k，nginx將分配給它乙個更大的緩衝區，這個值可以在large_client_header_buffers裡面設定

client_max_body_size：表示客戶端請求的最大可接受body大小，它出現在請求頭部的content-length欄位，如果請求大於指定的值，客戶端將收到乙個"request entity too large" (413)錯誤，通常在上傳檔案到伺服器時會受到限制

large_client_header_buffers 表示一些比較大的請求頭使用的緩衝區數量和大小，預設乙個緩衝區大小為作業系統中分頁檔案大小，通常是4k或8k，請求字段不能大於乙個緩衝區大小，如果客戶端傳送乙個比較大的頭，nginx將返回"request uri too large" (414)，請求的頭部最長字段不能大於乙個緩衝區，否則伺服器將返回"bad request" (400)

同時需要修改幾個超時時間的配置

client_body_timeout   10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

client_body_timeout：表示讀取請求body的超時時間，如果連線超過這個時間而客戶端沒有任何響應，nginx將返回"request time out" (408)錯誤

client_header_timeout：表示讀取客戶端請求頭的超時時間，如果連線超過這個時間而客戶端沒有任何響應，nginx將返回"request time out" (408)錯誤

keepalive_timeout：引數的第乙個值表示客戶端與伺服器長連線的超時時間，超過這個時間，伺服器將關閉連線，可選的第二個引數引數表示response頭中keep-alive: timeout=time的time值，這個值可以使一些瀏覽器知道什麼時候關閉連線，以便伺服器不用重複關閉，如果不指定這個引數，nginx不會在應response頭中傳送keep-alive資訊

send_timeout：表示傳送給客戶端應答後的超時時間，timeout是指沒有進入完整established狀態，只完成了兩次握手，如果超過這個時間客戶端沒有任何響應，nginx將關閉連線

header頭設定

通過以下設定可有效防止xss攻擊

add_header x-frame-options "sameorigin";
add_header x-xss-protection "1; mode=block";
add_header x-content-type-options "nosniff";

x-frame-options：響應頭表示是否允許瀏覽器載入frame等屬性，有三個配置deny禁止任何網頁被嵌入,sameorigin只允許本**的巢狀,allow-from允許指定位址的巢狀

x-xss-protection：表示啟用xss過濾（禁用過濾為x-xss-protection: 0），mode=block表示若檢查到xss攻擊則停止渲染頁面

x-content-type-options：響應頭用來指定瀏覽器對未指定或錯誤指定content-type資源真正型別的猜測行為，nosniff 表示不允許任何猜測

在通常的請求響應中，瀏覽器會根據content-type來分辨響應的型別，但當響應型別未指定或錯誤指定時，瀏覽會嘗試啟用mime-sniffing來猜測資源的響應型別，這是非常危險的

例如乙個.jpg的檔案被惡意嵌入了可執行的js**，在開啟資源型別猜測的情況下，瀏覽器將執行嵌入的js**，可能會有意想不到的後果

另外還有幾個關於請求頭的安全配置需要注意

content-security-policy：定義頁面可以載入哪些資源，

add_header content-security-policy "default-src 'self'";

上邊的配置會限制所有的外部資源，都只能從當前網域名稱載入，其中default-src定義針對所有型別資源的預設載入策略，self允許來自相同**的內容

strict-transport-security：會告訴瀏覽器用https協議代替http來訪問目標站點

add_header strict-transport-security "max-age=31536000; includesubdomains";

上邊的配置表示當使用者第一次訪問後，會返回乙個包含了strict-transport-security響應頭的字段，這個欄位會告訴瀏覽器，在接下來的31536000秒內，當前**的所有請求都使用https協議訪問，引數includesubdomains是可選的，表示所有子網域名稱也將採用同樣的規則

Nginx安全防範配置

安全無小事，安全防範從nginx配置做起

PHP安全防範

甲方安全防範

Nginx安全防範配置

安全無小事，安全防範從nginx配置做起

PHP安全防範

甲方安全防範

相關推薦