安全無小事,安全防範從nginx配置做起

2021-10-07 04:58:46 字數 3228 閱讀 6011

http
經常會有針對某個版本的nginx安全漏洞出現,隱藏nginx版本號就成了主要的安全優化手段之一,當然最重要的是及時公升級修復漏洞

server
白名單配置

location /admin/
上邊表示只允許192.168.1.0/24網段的主機訪問,拒絕其他所有

也可以寫成黑名單的方式禁止某些位址訪問,允許其他所有,例如

location /ops-coffee/
更多的時候客戶端請求會經過層層**,我們需要通過$http_x_forwarded_for來進行限制,可以這樣寫

}

if ($request_method !~ ^(get|post)$ )
$request_method能夠獲取到請求nginx的method

配置只允許getpost方法訪問,其他的method返回405

if ($http_user_agent ~* lwp::******|bbbike|wget|curl)
可能有一些不法者會利用wget/curl等工具掃瞄我們的**,我們可以通過禁止相應的user-agent來簡單的防範

nginx的444狀態比較特殊,如果返回444那麼客戶端將不會收到服務端返回的資訊,就像是**無法連線一樣

location /images/ 


}
valid_referers:驗證referer,其中none允許referer為空,blocked允許不帶協議的請求,除了以上兩類外僅允許referer為www.ops-coffee.cn或ops-coffee.cn時訪問images下的資源,否則返回403

當然你也可以給不符合referer規則的請求重定向到乙個預設的,比如下邊這樣

location /images/ 


}
可以通過ngx_http_limit_conn_module模組限制乙個ip的併發連線數

}}limit_conn_zone:設定儲存各個鍵(例如$binary_remote_addr)狀態的共享記憶體空間的引數,zone=空間名字:大小

大小的計算與變數有關,例如$binary_remote_addr變數的大小對於記錄ipv4位址是固定的4 bytes,而記錄ipv6位址時固定的16 bytes,儲存狀態在32位平台中占用32或者64 bytes,在64位平台中占用64 bytes。1m的共享記憶體空間可以儲存大約3.2萬個32位的狀態,1.6萬個64位的狀態

limit_conn:指定一塊已經設定的共享記憶體空間(例如name為ops的空間),以及每個給定鍵值的最大連線數

上邊的例子表示同一ip同一時間只允許10個連線

當有多個limit_conn指令被配置時,所有的連線數限制都會生效

}}上邊的配置不僅會限制單一ip**的連線數為10,同時也會限制單一虛擬伺服器的總連線數為2000

緩衝區溢位攻擊是通過將資料寫入緩衝區並超出緩衝區邊界和重寫記憶體片段來實現的,限制緩衝區大小可有效防止

client_body_buffer_size 1k;


client_header_buffer_size 1k;


client_max_body_size 1k;


large_client_header_buffers 2 1k;
同時需要修改幾個超時時間的配置

client_body_timeout 10;


client_header_timeout 10;


keepalive_timeout 5 5;


send_timeout 10;
通過以下設定可有效防止xss攻擊

add_header x-frame-options "sameorigin";


add_header x-xss-protection "1; mode=block";


add_header x-content-type-options "nosniff";
在通常的請求響應中,瀏覽器會根據content-type來分辨響應的型別,但當響應型別未指定或錯誤指定時,瀏覽會嘗試啟用mime-sniffing來猜測資源的響應型別,這是非常危險的

例如乙個.jpg的檔案被惡意嵌入了可執行的js**,在開啟資源型別猜測的情況下,瀏覽器將執行嵌入的js**,可能會有意想不到的後果

content-security-policy:定義頁面可以載入哪些資源,

add_header content-security-policy "default-src 'self'";
上邊的配置會限制所有的外部資源,都只能從當前網域名稱載入,其中default-src定義針對所有型別資源的預設載入策略,self允許來自相同**的內容

strict-transport-security:會告訴瀏覽器用https協議代替http來訪問目標站

add_header strict-transport-security "max-age=31536000; includesubdomains";
上邊的配置表示當使用者第一次訪問後,會返回乙個包含了strict-transport-security響應頭的字段,這個欄位會告訴瀏覽器,在接下來的31536000秒內,當前**的所有請求都使用https協議訪問,引數includesubdomains是可選的,表示所有子網域名稱也將採用同樣的規則

安全無小事

安全是乙個老生常談的話題,也是個不容忽視的關鍵問題。當我還小,在家讀書的時候,或許也是由於父親工作的特殊性,我總會被告知 電老虎,惹不起 於是,使用電器裝置的時候,總是小心翼翼。多看,多問,倒也相安無事。這段時間,我們都是使用 熱得快 來做熱水。由於人多,熱水需求量很大,那麼問題就暴露出來了。如何才...

安全無小事

古人云 有防則安,無防則危,生命最可貴,安全第一位。交通安全 食品安全 生命安全 這些安全常識我們時刻銘記在心。在我們的日常生活中,最重要的就是安全。如行走時,騎車時,要注意前後方來車,不搶道不佔道,尤其是雨雪天氣要慢行,過馬路時要時刻保持注意力集中,騎車的要下車推行。走路的觀察好四周。記得有一次,...

安全無小事

安全是乙個老生常談的話題,也是個不容忽視的關鍵問題。當我還小,在家讀書的時候,或許也是由於父親工作的特殊性,我總會被告知 電老虎,惹不起 於是,使用電器裝置的時候,總是小心翼翼。多看,多問,倒也相安無事。這段時間,我們都是使用 熱得快 來做熱水。由於人多,熱水需求量很大,那麼問題就暴露出來了。如何才...