Nginx漏洞整改實(shí)現(xiàn)限制IP訪問(wèn)&隱藏nginx版本信息

更新時(shí)間：2024年03月27日 14:52:41 作者：運(yùn)維魔法師

本文主要介紹了Nginx漏洞整改實(shí)現(xiàn)限制IP訪問(wèn)&隱藏nginx版本信息,通過(guò)配置Nginx的ACL,可以輕松實(shí)現(xiàn),下面就來(lái)具體介紹一下,感興趣的可以了解一下

一、限制IP訪問(wèn)

1.1 配置Nginx的ACL

在Nginx的配置文件中，我們可以使用allow和deny指令來(lái)設(shè)置IP訪問(wèn)限制。

打開(kāi)Nginx的配置文件（通常是/usr/local/nginx/nginx.conf），在需要限制訪問(wèn)的位置塊中添加以下配置：

location / {
    deny 192.168.1.1; #拒絕IP
    allow 192.168.1.100;  #允許IP 
    allow 10.0.0.0/24;  #允許IP 
    deny all; #拒絕其他所有IP 
}

上述配置將允許IP地址為192.168.1.100、10.0.0.0/24的客戶端訪問(wèn)該位置，而拒絕192.168.1.1、其他所有客戶端的訪問(wèn)。

注意：IP需要根據(jù)自己的應(yīng)用場(chǎng)景,設(shè)置合適的IP地址。

1)設(shè)置了阻止訪問(wèn)網(wǎng)站或敏感目錄的IP
2)設(shè)置了允許訪問(wèn)網(wǎng)站或敏感目錄的IP

以上兩個(gè)條件同時(shí)滿足時(shí)合規(guī),否則不合規(guī)。

1.2 重載Nginx配置

在修改完Nginx配置文件后，需要重新加載Nginx以使更改生效。可以使用以下命令重新加載Nginx配置：

cd 到nginx的sbin目錄,執(zhí)行

./nginx -s reload

1.3 驗(yàn)證結(jié)果

cat /usr/local/nginx/conf/nginx.conf |sed "/\s*#/d"|sed "/^\s*$/d"|egrep -i "allow|deny"

在這里插入圖片描述

為了驗(yàn)證IP訪問(wèn)限制是否生效，可以嘗試從不同IP地址的客戶端訪問(wèn)設(shè)置了限制的位置。確保只有在允許的IP地址范圍內(nèi)的客戶端才能成功訪問(wèn)，而其他客戶端將被拒絕訪問(wèn)。

通過(guò)配置Nginx的ACL，可以輕松實(shí)現(xiàn)在Linux系統(tǒng)上限制特定IP地址的訪問(wèn)。這種訪問(wèn)控制可以幫助您增強(qiáng)服務(wù)器的安全性，防止未經(jīng)授權(quán)的訪問(wèn)。

二、隱藏nginx版本信息

修改Nginx配置文件以隱藏版本信息，從而減少暴露服務(wù)器的潛在風(fēng)險(xiǎn)。

2.1 打開(kāi)Nginx配置文件

首先，打開(kāi)Nginx的配置文件（通常是/usr/local/nginx/nginx.conf）

2.2 隱藏Nginx版本信息

1、在Nginx配置文件中，找到或添加以下配置項(xiàng)：

server_tokens off;

存在以上配置則合規(guī),否則不合規(guī)。

將server_tokens設(shè)置為off可以隱藏Nginx版本信息。這樣，當(dāng)客戶端發(fā)送請(qǐng)求時(shí)，服務(wù)器將不會(huì)在響應(yīng)頭中包含Nginx的版本信息。

2、修改nginx解壓縮路徑ngx_http_header_filter_module.c文件

可使用

 find / -name ngx_http_header_filter_module.c

進(jìn)行檢索。

(/home/user/nginx-1.23.1/src/http/ngx_http_header_filter_module.c)文件的第48和49行內(nèi)容,自定義頭信息：

static char ngx_http_server_string[] = “Server:XXXXX” CRLF; 
static char ngx_http_server_full_string[] = “Server:XXXXX” CRLF;

ngx_http_header_filter_module.c文件是Nginx中的一個(gè)模塊，主要負(fù)責(zé)過(guò)濾和修改HTTP響應(yīng)頭。在Nginx中，HTTP響應(yīng)頭包含了服務(wù)器發(fā)送給客戶端的元數(shù)據(jù)信息，如Content-Type、Content-Length等。

通過(guò)這個(gè)模塊，可以在發(fā)送HTTP響應(yīng)之前對(duì)響應(yīng)頭進(jìn)行操作，比如添加、修改或刪除特定的響應(yīng)頭字段。

ngx_http_header_filter_module.c文件的作用是允許開(kāi)發(fā)者在Nginx中對(duì)HTTP響應(yīng)頭進(jìn)行定制化操作，以滿足特定的需求或增強(qiáng)服務(wù)器的功能。

2.3 保存并重新加載Nginx配置

保存對(duì)Nginx配置文件的更改，并使用以下命令重新加載Nginx配置：

cd 到nginx的sbin目錄,執(zhí)行

./nginx -s reload

2.4 驗(yàn)證結(jié)果

cat /usr/local/nginx/conf/nginx.conf |sed "/\s*#/d"|sed "/^\s*$/d"|grep -i "server_tokens"

在這里插入圖片描述

2.5 驗(yàn)證隱藏版本信息

為了驗(yàn)證Nginx版本信息是否已成功隱藏，您可以使用瀏覽器或命令行工具發(fā)送請(qǐng)求到您的Nginx服務(wù)器，并檢查響應(yīng)頭中是否包含Nginx版本信息。

可以看到，Nginx版本信息已經(jīng)隱藏。

在這里插入圖片描述

到此這篇關(guān)于Nginx漏洞整改實(shí)現(xiàn)限制IP訪問(wèn)&隱藏nginx版本信息的文章就介紹到這了,更多相關(guān)Nginx 限制IP訪問(wèn)&隱藏nginx版本信息內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: