亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Nginx安全配置全過程

 更新時(shí)間:2024年06月18日 17:10:46   作者:VX_18  
這篇文章主要介紹了Nginx安全配置全過程,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

Nginx 是一個(gè)高性能的 HTTP 和反向代理服務(wù),使用非常廣泛,目前很大一部分網(wǎng)站均使用了 Nginx 作為 WEB 服務(wù)器,Nginx 雖然非常強(qiáng)大,但是安全防護(hù)的配置及惡意訪問默認(rèn)是沒用做基礎(chǔ)配置的。

一、nginx 版本信息隱藏

server_tokens off;

二、隱藏Nginx后端服務(wù)X-Powered-By頭

在http下配置proxy_hide_header項(xiàng);

增加或修改為

proxy_hide_header X-Powered-By;
proxy_hide_header Server;

proxy_buffers和client_body_buffer_size的區(qū)別

  • client_body_buffer_size   

處理客戶端請(qǐng)求體buffer大小。

用來處理POST提交數(shù)據(jù),上傳文件等。

  • client_body_buffer_size

需要足夠大以容納如果需要上傳POST數(shù)據(jù)。

  • proxy_buffers

處理后端響應(yīng),一般是代理服務(wù)器請(qǐng)求后端服務(wù)的response。

如果這個(gè)buffer不夠大,會(huì)引起磁盤IO,response的body內(nèi)容會(huì)先寫入臨時(shí)目錄中。

三、黑白名單設(shè)置:http、server、location、limit_except

如果網(wǎng)站被惡意灌水或 CC 攻擊,可從網(wǎng)站日志中分析特征 IP,將其 IP 或 IP 段進(jìn)行屏蔽。

  • 白名單:
# 只允許192.168.1.0/24網(wǎng)段的主機(jī)訪問,拒絕其他所有

location /path/ {
allow 192.168.1.0/24;

deny all;

}
  • 黑名單:
location /path/ {
deny 192.168.1.0/24;

allow all;

}

更多的時(shí)候客戶端請(qǐng)求會(huì)經(jīng)過層層代理,我們需要通過$http_x_forwarded_for來進(jìn)行限制,可以這樣寫

set $allow false;
if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; }
if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; }
if ($allow = false) { return 404; }

四、屏蔽非常見蜘蛛(爬蟲)

分析網(wǎng)站日志發(fā)現(xiàn),一些奇怪的 UA 總是頻繁的來訪問,而這些 UA 對(duì)網(wǎng)站毫無意義,反而給服務(wù)器增加壓力,可以直接將其屏蔽。

if ($http_user_agent ~(SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
 
    return 444;
 
}

上面規(guī)則報(bào)錯(cuò) 444 狀態(tài)碼而不是 403。444 狀態(tài)碼在 nginx 的中有特殊含義,nginx 的 444 狀態(tài)是直接由服務(wù)器中斷連接,不會(huì)向客戶端再返回任何消息。比返回 403 更加暴力。

五、禁止某個(gè)目錄執(zhí)行腳本

網(wǎng)站目錄,通常存放的都是靜態(tài)文件,如果因程序驗(yàn)證不嚴(yán)謹(jǐn)被上傳木馬程序,導(dǎo)致網(wǎng)站被黑。

以下規(guī)則請(qǐng)根據(jù)自身情況改為您自己的目錄,需要禁止的腳本后綴也可以自行添加。

#uploads|templets|data 這些目錄禁止執(zhí)行 <a  rel="external nofollow"  title="更多關(guān)于 PHP 的文章" target="_blank">PHP</a>

location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
return 444;
}

六、防止文件被下載

比如將網(wǎng)站數(shù)據(jù)庫(kù)導(dǎo)出到站點(diǎn)根目錄進(jìn)行備份,很有可能也會(huì)被別人下載,從而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

以下規(guī)則可以防止一些常規(guī)的文件被下載,可根據(jù)實(shí)際情況增減。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {
return 444;
}

七、防止XSS攻擊:server

在通常的請(qǐng)求響應(yīng)中,瀏覽器會(huì)根據(jù)Content-Type來分辨響應(yīng)的類型,但當(dāng)響應(yīng)類型未指定或錯(cuò)誤指定時(shí),瀏覽會(huì)嘗試啟用MIME-sniffing來猜測(cè)資源的響應(yīng)類型,這是非常危險(xiǎn)的,例如一個(gè).jpg的圖片文件被惡意嵌入了可執(zhí)行的js代碼,在開啟資源類型猜測(cè)的情況下,瀏覽器將執(zhí)行嵌入的js代碼,可能會(huì)有意想不到的后果

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

* X-Frame-Options: 響應(yīng)頭表示是否允許瀏覽器加載frame等屬性,有三個(gè)配置

DENY:禁止任何網(wǎng)頁被嵌入;

SAMEORIGIN: 只允許本網(wǎng)站的嵌套;

ALLOW-FROM: 允許指定地址的嵌套;

* X-XSS-Protection: 表示啟用XSS過濾(禁用過濾為X-XSS-Protection: 0),mode=block表示若檢查到XSS攻擊則停止渲染頁面

* X-Content-Type-Options: 響應(yīng)頭用來指定瀏覽器對(duì)未指定或錯(cuò)誤指定Content-Type資源真正類型的猜測(cè)行為,nosniff 表示不允許任何猜測(cè);

其他請(qǐng)求頭的安全配置:server

定義頁面可以加載哪些資源,上邊的配置會(huì)限制所有的外部資源,都只能從當(dāng)前域名加載,其中default-src定義針對(duì)所有類型資源的默認(rèn)加載策略,self允許來自相同來源的內(nèi)容

add_header Content-Security-Policy "default-src 'self'";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

會(huì)告訴瀏覽器用HTTPS協(xié)議代替HTTP來訪問目標(biāo)站點(diǎn),上邊的配置表示當(dāng)用戶第一次訪問后,會(huì)返回一個(gè)包含了Strict-Transport-Security響應(yīng)頭的字段,這個(gè)字段會(huì)告訴瀏覽器,在接下來的31536000秒內(nèi),當(dāng)前網(wǎng)站的所有請(qǐng)求都使用https協(xié)議訪問,參數(shù)includeSubDomains是可選的,表示所有子域名也將采用同樣的規(guī)則

八、緩沖區(qū)溢出攻擊:http、server、location

通過將數(shù)據(jù)寫入緩沖區(qū)并超出緩沖區(qū)邊界和重寫內(nèi)存片段來實(shí)現(xiàn)的,限制緩沖區(qū)大小可有效防止

client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;

large_client_header_buffers 2 1k;

* client_body_buffer_size: 默認(rèn)8k或16k,表示客戶端請(qǐng)求body占用緩沖區(qū)大小。如果連接請(qǐng)求超過緩存區(qū)指定的值,那么這些請(qǐng)求實(shí)體的整體或部分將嘗試寫入一個(gè)臨時(shí)文件。

* client_header_buffer_size: 表示客戶端請(qǐng)求頭部的緩沖區(qū)大小。絕大多數(shù)情況下一個(gè)請(qǐng)求頭不會(huì)大于1k,不過如果有來自于wap客戶端的較大的cookie它可能會(huì)大于 1k,Nginx將分配給它一個(gè)更大的緩沖區(qū),這個(gè)值可以在large_client_header_buffers里面設(shè)置

* client_max_body_size: 表示客戶端請(qǐng)求的最大可接受body大小,它出現(xiàn)在請(qǐng)求頭部的Content-Length字段, 如果請(qǐng)求大于指定的值,客戶端將收到一個(gè)"Request Entity Too Large" (413)錯(cuò)誤,通常在上傳文件到服務(wù)器時(shí)會(huì)受到限制

* large_client_header_buffers 表示一些比較大的請(qǐng)求頭使用的緩沖區(qū)數(shù)量和大小,默認(rèn)一個(gè)緩沖區(qū)大小為操作系統(tǒng)中分頁文件大小,通常是4k或8k,請(qǐng)求字段不能大于一個(gè)緩沖區(qū)大小,如果客戶端發(fā)送一個(gè)比較大的頭,nginx將返回"Request URI too large" (414),請(qǐng)求的頭部最長(zhǎng)字段不能大于一個(gè)緩沖區(qū),否則服務(wù)器將返回"Bad request" (400)

同時(shí)需要修改幾個(gè)超時(shí)時(shí)間的配置:

client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

* client_body_timeout: 表示讀取請(qǐng)求body的超時(shí)時(shí)間,如果連接超過這個(gè)時(shí)間而客戶端沒有任何響應(yīng),Nginx將返回"Request time out" (408)錯(cuò)誤

* client_header_timeout: 表示讀取客戶端請(qǐng)求頭的超時(shí)時(shí)間,如果連接超過這個(gè)時(shí)間而客戶端沒有任何響應(yīng),Nginx將返回"Request time out" (408)錯(cuò)誤

* keepalive_timeout: 參數(shù)的第一個(gè)值表示客戶端與服務(wù)器長(zhǎng)連接的超時(shí)時(shí)間,超過這個(gè)時(shí)間,服務(wù)器將關(guān)閉連接,可選的第二個(gè)參數(shù)參數(shù)表示Response頭中Keep-Alive: timeout=time的time值,這個(gè)值可以使一些瀏覽器知道什么時(shí)候關(guān)閉連接,以便服務(wù)器不用重復(fù)關(guān)閉,如果不指定這個(gè)參數(shù),nginx不會(huì)在應(yīng)Response頭中發(fā)送Keep-Alive信息

* send_timeout: 表示發(fā)送給客戶端應(yīng)答后的超時(shí)時(shí)間,Timeout是指沒有進(jìn)入完整established狀態(tài),只完成了兩次握手,如果超過這個(gè)時(shí)間客戶端沒有任何響應(yīng),nginx將關(guān)閉連接

九、防盜鏈:server、location

location /images/ {
    valid_referers none blocked www.ops-coffee.cn ops-coffee.cn;
    if ($invalid_referer) {
        return 403;
    }    
}
  • valid_referers: 驗(yàn)證referer,
  • none:允許referer為空
  • blocked:允許不帶協(xié)議的請(qǐng)求

除了以上兩類外僅允許referer為www.ops-coffee.cn或ops-coffee.cn時(shí)訪問images下的圖片資源,否則返回403

給不符合referer規(guī)則的請(qǐng)求重定向到一個(gè)默認(rèn)的圖片

location /images/ {
    valid_referers blocked www.ops-coffee.cn ops-coffee.cn
    if ($invalid_referer) {
        rewrite ^/images/.*\.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last;
    }
}

十、限制請(qǐng)求方法:server、location

if ($request_method !~ ^(GET|POST)$ ) {
return 405;
}

$request_method能夠獲取到請(qǐng)求nginx的method

配置只允許GET\POST方法訪問,其他的method返回405

十一、拒絕User-Agent:server、location

if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) {
return 444;

}

可能有一些不法者會(huì)利用wget/curl等工具掃描我們的網(wǎng)站,我們可以通過禁止相應(yīng)的user-agent來簡(jiǎn)單的防范

Nginx的444狀態(tài)比較特殊,如果返回444那么客戶端將不會(huì)收到服務(wù)端返回的信息,就像是網(wǎng)站無法連接一樣

十二、添加賬號(hào)認(rèn)證:http、server、location

server {
location / {
auth_basic "please input user&passwd";
auth_basic_user_file key/auth.key;

}

}

總結(jié)

以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • nginx幾種網(wǎng)頁重定向(rewirte)的配置方法詳解

    nginx幾種網(wǎng)頁重定向(rewirte)的配置方法詳解

    這篇文章主要詳細(xì)介紹了nginx幾種網(wǎng)頁重定向(rewirte)的配置方法,文中通過代碼示例和圖文介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作有一定的幫助,需要的朋友可以參考下
    2024-02-02
  • 解決Nginx + PHP(FastCGI)遇到的502 Bad Gateway錯(cuò)誤

    解決Nginx + PHP(FastCGI)遇到的502 Bad Gateway錯(cuò)誤

    昨日,有朋友問我,他將Web服務(wù)器換成Nginx 0.6.31 + PHP 4.4.7(FastCGI)后,有時(shí)候訪問會(huì)出現(xiàn)“502 Bad Gateway”錯(cuò)誤,如何解決。
    2009-10-10
  • Nginx解決前端訪問資源跨域問題的方法詳解

    Nginx解決前端訪問資源跨域問題的方法詳解

    這篇文章主要給大家介紹了關(guān)于Nginx解決前端訪問資源跨域問題的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-01-01
  • 如何實(shí)現(xiàn)Nginx同一端口同時(shí)支持http與https協(xié)議

    如何實(shí)現(xiàn)Nginx同一端口同時(shí)支持http與https協(xié)議

    最近有一個(gè)需求,需要讓一個(gè)端口的http服務(wù)支持https訪問,本文就來介紹一下如何實(shí)現(xiàn)Nginx同一端口同時(shí)支持http與https協(xié)議,感興趣的可以了解一下
    2023-11-11
  • nginx status狀態(tài)頁配置方法和中文說明

    nginx status狀態(tài)頁配置方法和中文說明

    這篇文章主要介紹了nginx status狀態(tài)頁配置方法和中文說明,重點(diǎn)在配置例子和status的中文說明,需要的朋友可以參考下
    2014-06-06
  • Nginx 安裝詳細(xì)教程

    Nginx 安裝詳細(xì)教程

    Nginx是一款自由的、開源的、高性能的HTTP服務(wù)器和反向代理服務(wù)器,這篇文章主要介紹了Nginx 安裝詳細(xì)教程,需要的朋友可以參考下
    2020-02-02
  • Nginx 流量控制/限流的具體實(shí)現(xiàn)示例

    Nginx 流量控制/限流的具體實(shí)現(xiàn)示例

    限流是一種流量控制手段,用于限制單位時(shí)間內(nèi)可以通過系統(tǒng)的請(qǐng)求數(shù)或連接數(shù),本文主要介紹了Nginx流量控制/限流的具體實(shí)現(xiàn)示例,具有一定的參考價(jià)值,感興趣的可以了解一下
    2024-07-07
  • Nginx如何限制IP訪問只允許特定域名訪問

    Nginx如何限制IP訪問只允許特定域名訪問

    我們?cè)谑褂玫臅r(shí)候會(huì)遇到很多的惡意IP攻擊,這個(gè)時(shí)候就要用到Nginx 禁止IP訪問了,下面這篇文章主要給大家介紹了關(guān)于Nginx如何限制IP訪問只允許特定域名訪問的相關(guān)資料,需要的朋友可以參考下
    2022-07-07
  • 簡(jiǎn)介Nginx服務(wù)器的Websockets配置方法

    簡(jiǎn)介Nginx服務(wù)器的Websockets配置方法

    這篇文章主要介紹了簡(jiǎn)介Nginx服務(wù)器的Websockets配置方法,是使用Nginx服務(wù)器的網(wǎng)管的必備知識(shí)XD~需要的朋友可以參考下
    2015-06-06
  • nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決辦法

    nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決辦法

    Nginx服務(wù)器的反向代理服務(wù)是其最常用的重要功能,由反向代理服務(wù)也可以衍生出很多與此相關(guān)的Nginx服務(wù)器重要功能,下面這篇文章主要給大家介紹了關(guān)于nginx反向代理失效前端無法獲取后端的數(shù)據(jù)解決的相關(guān)資料,需要的朋友可以參考下
    2023-12-12

最新評(píng)論