欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Nginx安全配置全過程

 更新時間:2024年06月18日 17:10:46   作者:VX_18  
這篇文章主要介紹了Nginx安全配置全過程,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

Nginx 是一個高性能的 HTTP 和反向代理服務(wù),使用非常廣泛,目前很大一部分網(wǎng)站均使用了 Nginx 作為 WEB 服務(wù)器,Nginx 雖然非常強大,但是安全防護的配置及惡意訪問默認是沒用做基礎(chǔ)配置的。

一、nginx 版本信息隱藏

server_tokens off;

二、隱藏Nginx后端服務(wù)X-Powered-By頭

在http下配置proxy_hide_header項;

增加或修改為

proxy_hide_header X-Powered-By;
proxy_hide_header Server;

proxy_buffers和client_body_buffer_size的區(qū)別

  • client_body_buffer_size   

處理客戶端請求體buffer大小。

用來處理POST提交數(shù)據(jù),上傳文件等。

  • client_body_buffer_size

需要足夠大以容納如果需要上傳POST數(shù)據(jù)。

  • proxy_buffers

處理后端響應(yīng),一般是代理服務(wù)器請求后端服務(wù)的response。

如果這個buffer不夠大,會引起磁盤IO,response的body內(nèi)容會先寫入臨時目錄中。

三、黑白名單設(shè)置:http、server、location、limit_except

如果網(wǎng)站被惡意灌水或 CC 攻擊,可從網(wǎng)站日志中分析特征 IP,將其 IP 或 IP 段進行屏蔽。

  • 白名單:
# 只允許192.168.1.0/24網(wǎng)段的主機訪問,拒絕其他所有

location /path/ {
allow 192.168.1.0/24;

deny all;

}
  • 黑名單:
location /path/ {
deny 192.168.1.0/24;

allow all;

}

更多的時候客戶端請求會經(jīng)過層層代理,我們需要通過$http_x_forwarded_for來進行限制,可以這樣寫

set $allow false;
if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; }
if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; }
if ($allow = false) { return 404; }

四、屏蔽非常見蜘蛛(爬蟲)

分析網(wǎng)站日志發(fā)現(xiàn),一些奇怪的 UA 總是頻繁的來訪問,而這些 UA 對網(wǎng)站毫無意義,反而給服務(wù)器增加壓力,可以直接將其屏蔽。

if ($http_user_agent ~(SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
 
    return 444;
 
}

上面規(guī)則報錯 444 狀態(tài)碼而不是 403。444 狀態(tài)碼在 nginx 的中有特殊含義,nginx 的 444 狀態(tài)是直接由服務(wù)器中斷連接,不會向客戶端再返回任何消息。比返回 403 更加暴力。

五、禁止某個目錄執(zhí)行腳本

網(wǎng)站目錄,通常存放的都是靜態(tài)文件,如果因程序驗證不嚴(yán)謹被上傳木馬程序,導(dǎo)致網(wǎng)站被黑。

以下規(guī)則請根據(jù)自身情況改為您自己的目錄,需要禁止的腳本后綴也可以自行添加。

#uploads|templets|data 這些目錄禁止執(zhí)行 <a  rel="external nofollow"  title="更多關(guān)于 PHP 的文章" target="_blank">PHP</a>

location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
return 444;
}

六、防止文件被下載

比如將網(wǎng)站數(shù)據(jù)庫導(dǎo)出到站點根目錄進行備份,很有可能也會被別人下載,從而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險。

以下規(guī)則可以防止一些常規(guī)的文件被下載,可根據(jù)實際情況增減。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {
return 444;
}

七、防止XSS攻擊:server

在通常的請求響應(yīng)中,瀏覽器會根據(jù)Content-Type來分辨響應(yīng)的類型,但當(dāng)響應(yīng)類型未指定或錯誤指定時,瀏覽會嘗試啟用MIME-sniffing來猜測資源的響應(yīng)類型,這是非常危險的,例如一個.jpg的圖片文件被惡意嵌入了可執(zhí)行的js代碼,在開啟資源類型猜測的情況下,瀏覽器將執(zhí)行嵌入的js代碼,可能會有意想不到的后果

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

* X-Frame-Options: 響應(yīng)頭表示是否允許瀏覽器加載frame等屬性,有三個配置

DENY:禁止任何網(wǎng)頁被嵌入;

SAMEORIGIN: 只允許本網(wǎng)站的嵌套;

ALLOW-FROM: 允許指定地址的嵌套;

* X-XSS-Protection: 表示啟用XSS過濾(禁用過濾為X-XSS-Protection: 0),mode=block表示若檢查到XSS攻擊則停止渲染頁面

* X-Content-Type-Options: 響應(yīng)頭用來指定瀏覽器對未指定或錯誤指定Content-Type資源真正類型的猜測行為,nosniff 表示不允許任何猜測;

其他請求頭的安全配置:server

定義頁面可以加載哪些資源,上邊的配置會限制所有的外部資源,都只能從當(dāng)前域名加載,其中default-src定義針對所有類型資源的默認加載策略,self允許來自相同來源的內(nèi)容

add_header Content-Security-Policy "default-src 'self'";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

會告訴瀏覽器用HTTPS協(xié)議代替HTTP來訪問目標(biāo)站點,上邊的配置表示當(dāng)用戶第一次訪問后,會返回一個包含了Strict-Transport-Security響應(yīng)頭的字段,這個字段會告訴瀏覽器,在接下來的31536000秒內(nèi),當(dāng)前網(wǎng)站的所有請求都使用https協(xié)議訪問,參數(shù)includeSubDomains是可選的,表示所有子域名也將采用同樣的規(guī)則

八、緩沖區(qū)溢出攻擊:http、server、location

通過將數(shù)據(jù)寫入緩沖區(qū)并超出緩沖區(qū)邊界和重寫內(nèi)存片段來實現(xiàn)的,限制緩沖區(qū)大小可有效防止

client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;

large_client_header_buffers 2 1k;

* client_body_buffer_size: 默認8k或16k,表示客戶端請求body占用緩沖區(qū)大小。如果連接請求超過緩存區(qū)指定的值,那么這些請求實體的整體或部分將嘗試寫入一個臨時文件。

* client_header_buffer_size: 表示客戶端請求頭部的緩沖區(qū)大小。絕大多數(shù)情況下一個請求頭不會大于1k,不過如果有來自于wap客戶端的較大的cookie它可能會大于 1k,Nginx將分配給它一個更大的緩沖區(qū),這個值可以在large_client_header_buffers里面設(shè)置

* client_max_body_size: 表示客戶端請求的最大可接受body大小,它出現(xiàn)在請求頭部的Content-Length字段, 如果請求大于指定的值,客戶端將收到一個"Request Entity Too Large" (413)錯誤,通常在上傳文件到服務(wù)器時會受到限制

* large_client_header_buffers 表示一些比較大的請求頭使用的緩沖區(qū)數(shù)量和大小,默認一個緩沖區(qū)大小為操作系統(tǒng)中分頁文件大小,通常是4k或8k,請求字段不能大于一個緩沖區(qū)大小,如果客戶端發(fā)送一個比較大的頭,nginx將返回"Request URI too large" (414),請求的頭部最長字段不能大于一個緩沖區(qū),否則服務(wù)器將返回"Bad request" (400)

同時需要修改幾個超時時間的配置:

client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

* client_body_timeout: 表示讀取請求body的超時時間,如果連接超過這個時間而客戶端沒有任何響應(yīng),Nginx將返回"Request time out" (408)錯誤

* client_header_timeout: 表示讀取客戶端請求頭的超時時間,如果連接超過這個時間而客戶端沒有任何響應(yīng),Nginx將返回"Request time out" (408)錯誤

* keepalive_timeout: 參數(shù)的第一個值表示客戶端與服務(wù)器長連接的超時時間,超過這個時間,服務(wù)器將關(guān)閉連接,可選的第二個參數(shù)參數(shù)表示Response頭中Keep-Alive: timeout=time的time值,這個值可以使一些瀏覽器知道什么時候關(guān)閉連接,以便服務(wù)器不用重復(fù)關(guān)閉,如果不指定這個參數(shù),nginx不會在應(yīng)Response頭中發(fā)送Keep-Alive信息

* send_timeout: 表示發(fā)送給客戶端應(yīng)答后的超時時間,Timeout是指沒有進入完整established狀態(tài),只完成了兩次握手,如果超過這個時間客戶端沒有任何響應(yīng),nginx將關(guān)閉連接

九、防盜鏈:server、location

location /images/ {
    valid_referers none blocked www.ops-coffee.cn ops-coffee.cn;
    if ($invalid_referer) {
        return 403;
    }    
}
  • valid_referers: 驗證referer,
  • none:允許referer為空
  • blocked:允許不帶協(xié)議的請求

除了以上兩類外僅允許referer為www.ops-coffee.cn或ops-coffee.cn時訪問images下的圖片資源,否則返回403

給不符合referer規(guī)則的請求重定向到一個默認的圖片

location /images/ {
    valid_referers blocked www.ops-coffee.cn ops-coffee.cn
    if ($invalid_referer) {
        rewrite ^/images/.*\.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last;
    }
}

十、限制請求方法:server、location

if ($request_method !~ ^(GET|POST)$ ) {
return 405;
}

$request_method能夠獲取到請求nginx的method

配置只允許GET\POST方法訪問,其他的method返回405

十一、拒絕User-Agent:server、location

if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) {
return 444;

}

可能有一些不法者會利用wget/curl等工具掃描我們的網(wǎng)站,我們可以通過禁止相應(yīng)的user-agent來簡單的防范

Nginx的444狀態(tài)比較特殊,如果返回444那么客戶端將不會收到服務(wù)端返回的信息,就像是網(wǎng)站無法連接一樣

十二、添加賬號認證:http、server、location

server {
location / {
auth_basic "please input user&passwd";
auth_basic_user_file key/auth.key;

}

}

總結(jié)

以上為個人經(jīng)驗,希望能給大家一個參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • nginx幾種網(wǎng)頁重定向(rewirte)的配置方法詳解

    nginx幾種網(wǎng)頁重定向(rewirte)的配置方法詳解

    這篇文章主要詳細介紹了nginx幾種網(wǎng)頁重定向(rewirte)的配置方法,文中通過代碼示例和圖文介紹的非常詳細,對大家的學(xué)習(xí)或工作有一定的幫助,需要的朋友可以參考下
    2024-02-02
  • 解決Nginx + PHP(FastCGI)遇到的502 Bad Gateway錯誤

    解決Nginx + PHP(FastCGI)遇到的502 Bad Gateway錯誤

    昨日,有朋友問我,他將Web服務(wù)器換成Nginx 0.6.31 + PHP 4.4.7(FastCGI)后,有時候訪問會出現(xiàn)“502 Bad Gateway”錯誤,如何解決。
    2009-10-10
  • Nginx解決前端訪問資源跨域問題的方法詳解

    Nginx解決前端訪問資源跨域問題的方法詳解

    這篇文章主要給大家介紹了關(guān)于Nginx解決前端訪問資源跨域問題的相關(guān)資料,文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-01-01
  • 如何實現(xiàn)Nginx同一端口同時支持http與https協(xié)議

    如何實現(xiàn)Nginx同一端口同時支持http與https協(xié)議

    最近有一個需求,需要讓一個端口的http服務(wù)支持https訪問,本文就來介紹一下如何實現(xiàn)Nginx同一端口同時支持http與https協(xié)議,感興趣的可以了解一下
    2023-11-11
  • nginx status狀態(tài)頁配置方法和中文說明

    nginx status狀態(tài)頁配置方法和中文說明

    這篇文章主要介紹了nginx status狀態(tài)頁配置方法和中文說明,重點在配置例子和status的中文說明,需要的朋友可以參考下
    2014-06-06
  • Nginx 安裝詳細教程

    Nginx 安裝詳細教程

    Nginx是一款自由的、開源的、高性能的HTTP服務(wù)器和反向代理服務(wù)器,這篇文章主要介紹了Nginx 安裝詳細教程,需要的朋友可以參考下
    2020-02-02
  • Nginx 流量控制/限流的具體實現(xiàn)示例

    Nginx 流量控制/限流的具體實現(xiàn)示例

    限流是一種流量控制手段,用于限制單位時間內(nèi)可以通過系統(tǒng)的請求數(shù)或連接數(shù),本文主要介紹了Nginx流量控制/限流的具體實現(xiàn)示例,具有一定的參考價值,感興趣的可以了解一下
    2024-07-07
  • Nginx如何限制IP訪問只允許特定域名訪問

    Nginx如何限制IP訪問只允許特定域名訪問

    我們在使用的時候會遇到很多的惡意IP攻擊,這個時候就要用到Nginx 禁止IP訪問了,下面這篇文章主要給大家介紹了關(guān)于Nginx如何限制IP訪問只允許特定域名訪問的相關(guān)資料,需要的朋友可以參考下
    2022-07-07
  • 簡介Nginx服務(wù)器的Websockets配置方法

    簡介Nginx服務(wù)器的Websockets配置方法

    這篇文章主要介紹了簡介Nginx服務(wù)器的Websockets配置方法,是使用Nginx服務(wù)器的網(wǎng)管的必備知識XD~需要的朋友可以參考下
    2015-06-06
  • nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決辦法

    nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決辦法

    Nginx服務(wù)器的反向代理服務(wù)是其最常用的重要功能,由反向代理服務(wù)也可以衍生出很多與此相關(guān)的Nginx服務(wù)器重要功能,下面這篇文章主要給大家介紹了關(guān)于nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決的相關(guān)資料,需要的朋友可以參考下
    2023-12-12

最新評論