怎样让Nginx更安全?

打印 上一主题 下一主题

主题 991|帖子 991|积分 2973

网络安全的紧张性不言而喻。
那么小同伴们有没有在日常使用 Nginx 的时候,特意去关注下它的安全设置呢?
本日松哥和小同伴们讨论一下怎样安全的使用 Nginx,给大伙几个发起。
一 使用最新版

发起使用最新版的 Nginx,对于已经部署的 Nginx,要实时更新到最新版本,以确保所有已知的安全漏洞都已修补。
   Nginx 下载地址:https://nginx.org/en/download.html
  二 限制连接数量

Nginx 可以通过 limit_conn_zone 和 limit_conn 两个组件来对客户端访问目录和文件的访问频率和次数举行限制,两个模块都可以或许对客户端访问举行限制,具体怎样使用要结合公司业务情况举行设置。
举个简单的例子:
  1. http {
  2.   limit_conn_zone $binary_remote_addr zone=ops:10m;
  3.   # ...
  4.   server {
  5.     listen       80;
  6.     server_name  www.javaboy.org;
  7.     location / {
  8.       limit_conn ops 1;  #这将指定一个地址只能同时存在一个连接。“one” 与上面的对应,也可以自定义命名
  9.       limit_rate 300k;
  10.   }
  11. }
复制代码
这里涉及到三个设置项:


  • limit_zone: 是针对每个 IP 界说一个存储 session 状态的容器,这个示例中界说了一个 10m 的容器,假设每个 session 的巨细是 32bytes,那么可以处理 327680 个 session。
  • limit_conn ops 1:限制每个 IP 只能发起一个并发连接。
  • limit_rate 300k: 对每个连接限速 300k. 注意,这里是对连接限速,而不是对 IP 限速。如果一个 IP 答应两个并发连接,那么这个 IP 就是限速 limit_rate × 2。
三 限制请求频率

Nginx 可以通过限制请求频率来防止服务器过载,最常见的场景就是登录请求,可以通过限制请求频率防止账号暴力破解。
Nginx 官方版本限制 IP 的连接和并发分别有两个模块:


  • limit_req_zone:用来限制单位时间内的请求数,即速率限制,接纳的漏桶算法 “leaky bucket”。
  • limit_req_conn 用来限制同一时间连接数,即并发限制。
举个栗子
  1. http {
  2.     limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
  3.     server {
  4.         listen 80;
  5.         location / {
  6.             limit_req zone=mylimit burst=5 nodelay;;
  7.             proxy_pass http://javaboy.org;
  8.         }
  9.     }
  10. }
复制代码
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;


  • 第一个参数:$binary_remote_addr 表现通过 remote_addr 这个标识来做限制,“binary_” 的目的是缩写内存占用量,是限制同一客户端 ip 地址。
  • 第二个参数:zone=mylimit:10m 表现天生一个巨细为 10M,名字为 mylimit 的内存区域,用来存储访问的频次信息。
  • 第三个参数:rate=1r/s 表现答应相同标识的客户端的访问频次,这里限制的是每秒 1 次,还可以有比如 30r/m 的。
limit_req zone=mylimit burst=5 nodelay;


  • 第一个参数:zone=one 设置使用哪个设置区域来做限制,与上面 limit_req_zone 里的 name 对应。
  • 第二个参数:burst=5,重点分析一下这个设置,burst 发作的意思,这个设置的意思是设置一个巨细为 5 的缓冲区,当有大量请求(发作)过来时,超过了访问频次限制的请求可以先放到这个缓冲区内。
  • 第三个参数:nodelay,如果设置,超过访问频次而且缓冲区也满了的时候就会直接返回 503,如果没有设置,则所有请求会等待排队。
四 防止目录遍历

在 Nginx 设置中设置 autoindex off 来防止目录遍历攻击。
这个一般是如果你要做文件服务器,根据自己的现实需求,有需要的话这个功能可以打开,否则将之关闭即可。
  1. location / {
  2.     autoindex off;
  3. }
复制代码
五 隐藏 Nginx 版本号

攻击者如果可以或许确定服务器使用的 Nginx 版本,可能会使用这个信息来探求和使用已知的漏洞举行攻击。因此,隐藏版本信息可以提高服务器的安全性,使攻击者难以通过版本信息推断出服务器可能存在的安全漏洞。
要隐藏 Nginx 版本号,有三个办法,一般来说我们使用第一种方式就可以了。
修改设置文件

在 Nginx 的设置文件中,在 http 块中添加以下设置:
  1. server_tokens off;
复制代码
这样设置后,Nginx 将不会在错误页面上显示版本号。
设置完成之后,保存设置文件并重新加载 Nginx 以应用更改:
  1. nginx -t   # 测试配置文件是否正确
  2. nginx -s reload   # 重新加载Nginx配置
复制代码
这种方法可以隐藏错误页面上的版本信息,但可能无法完全隐藏所有响应头中的版本信息 。
修改 Nginx 源码

如果想要从根源上修改 Nginx 版本信息,需要重新编译 Nginx,步骤如下:


  • 修改 src/core/nginx.h 文件中的版本界说。
  • 修改 src/http/ngx_http_header_filter_module.c 文件中的服务器字符串。
  • 修改 src/http/ngx_http_special_response.c 文件中的错误页面底部信息。
修改完这些文件后,需要重新编译 Nginx。这样编译安装后,Nginx 的版本信息将被彻底修改 。
使用第三方模块

如果需要动态修改响应头中的版本信息,可以使用如 headers-more-nginx-module 模块。这个模块答应你动态地添加、修改或删除 Nginx 的响应头。通过这个模块,可以完全控制 Server 响应头的内容 。
选择哪种方法取决于你的具体需求和情况。
如果你只是想简单地隐藏版本信息,修改设置文件可能是最简单的方法。如果你需要更彻底地控制版本信息,可能需要考虑修改源码并重新编译 Nginx。
六 设置超时时间

设置 Nginx 的超时设置黑白常紧张的,因为它可以影响服务器的性能和资源的有用使用。
比较常见的超时设置有四个:

  • keepalive_timeout:这个指令设置了与客户端的 keep-alive 连接超时时间。如果连接在指定时间内没有数据传输,Nginx 将关闭该连接。默认值通常是 75 秒。这个设置对于频繁访问的站点尤其紧张,因为它减少了连接创建和断开的开销。
  • client_body_timeout:这个指令指定了客户端与服务端创建连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。默认值通常是 60 秒。
  • client_header_timeout:这个指令指定了客户端向服务端发送一个完备的 request header 的超时时间。如果在指定时间内没有发送一个完备的 request header,Nginx 返回 HTTP 408(Request Timed Out)。默认值通常是 60 秒。
  • send_timeout:这个指令设置了服务端向客户端传输数据的超时时间。如果在指定时间内客户端没有吸取到任何数据,连接将被关闭。默认值通常是 60 秒。
针对这四个比较常见的超时设置,松哥这里也给各人一个设置案例。
keepalive_timeout

这个指令控制了客户端与服务器之间的连接保持运动状态的时间。这对于减少 TCP 连接的开销非常有用,特别是在高流量的网站上。
  1. http {
  2.     keepalive_timeout 60s;
  3.     server {
  4.         listen 80;
  5.         server_name javaboy.org;
  6.         location / {
  7.             proxy_pass http://javaboy.org;
  8.             proxy_http_version 1.1;
  9.             proxy_set_header Upgrade $http_upgrade;
  10.             proxy_set_header Connection "upgrade";
  11.             proxy_set_header Host $host;
  12.         }
  13.     }
  14. }
复制代码
在这个设置中,keepalive_timeout 被设置为 60 秒,意味着如果 60 秒内没有数据传输,连接将被关闭。
client_body_timeout

这个指令设置了客户端发送请求体到服务器的超时时间。
  1. http {
  2.     client_body_timeout 10s;
  3.     server {
  4.         listen 80;
  5.         server_name javaboy.org;
  6.         location /upload {
  7.             client_max_body_size 100M;
  8.             client_body_timeout 30s;
  9.         }
  10.     }
  11. }
复制代码
在这个设置中,client_body_timeout 被设置为 10 秒,适用于上传大文件的场景,确保如果客户端在 30 秒内没有完成文件上传,请求将被终止。
client_header_timeout

这个指令控制了客户端发送完备的 HTTP 请求头到服务器的超时时间。
  1. http {
  2.     client_header_timeout 5s;
  3.     server {
  4.         listen 80;
  5.         server_name javaboy.org;
  6.         location / {
  7.             proxy_pass http://javaboy.org;
  8.         }
  9.     }
  10. }
复制代码
在这个设置中,client_header_timeout 被设置为 5 秒,意味着如果客户端在 5 秒内没有发送完备的 HTTP 请求头,服务器将终止连接。
send_timeout

这个指令设置了服务器发送响应到客户端的超时时间。
  1. http {
  2.     send_timeout 10s;
  3.     server {
  4.         listen 80;
  5.         server_name javaboy.org;
  6.         location / {
  7.             proxy_pass http://javaboy.org;
  8.             proxy_read_timeout 10s;
  9.         }
  10.     }
  11. }
复制代码
在这个设置中,send_timeout 被设置为 10 秒,适用于后端服务响应慢的场景,确保如果后端服务在 10 秒内没有发送数据,客户端将收到超时响应。
七 仅答应域名访问

限制仅答应域名访问可以防止未授权的 IP 直接访问服务器,减少未备案域名解析到服务器 IP 导致的安全风险。
这个也有三种不同的设置方式,我们逐一来看。
使用两个 server 块

在 Nginx 设置文件中,你可以设置一个默认的 server 块,它将捕获所有不明确的域名请求,并返回 403 错误。然后,为特定的域名设置 server 块。
  1. server {
  2.     listen 80 default_server;
  3.     server_name _;
  4.     return 403;
  5. }
  6. server {
  7.     listen 80;
  8.     server_name www.javaboy.org;
  9.     location / {
  10.         # 你的配置
  11.     }
  12. }
复制代码
在这个设置中,第一个 server 块会拦截所有不明确域名的请求,并返回 403 错误。第二个 server 块则是为特定域名 www.javaboy.org 提供服务的设置。
这个设置有两点需要注意:

  • 如果没有显式声明 default server 则第一个 server 会被隐式的设为 default server。
  • server_name 中的 _;,并不是重点 __ 也可以, ___ 也可以。
使用 if 语句

还可以在特定的 server 块中使用 if 语句来检查 $host 变量,如果它不匹配你的域名,则返回 403 错误。
  1. server {
  2.     listen 80;
  3.     server_name javaboy.org;
  4.     location / {
  5.         if ($host != 'www.javaboy.org') {
  6.             return 403;
  7.         }
  8.         # 你的配置
  9.     }
  10. }
复制代码
这种方法答应你在特定域名的 server 块中直接控制访问权限,只有当 $host 变量与你的域名匹配时,才会答应访问。
直接禁止 IP

  1. http {
  2.     server {
  3.         listen 80;
  4.         server_name www.javaboy.org;
  5.         ...
  6.     }
  7.    
  8.     server {
  9.         listen 80;
  10.         server_name www.itboyhub.com;
  11.         ...
  12.     }
  13.    
  14.     # 直接指定 ip server_name
  15.     server {
  16.         listen 80;
  17.         server_name 11.11.11.11;
  18.         return 403; # 403 forbidden
  19.     }
  20.    
  21. }
复制代码
这样设置后,只有通过指定的域名才能访问网站,直接通过 IP 地址访问将会受到限制。
八 限制 Nginx 请求方法

通过限制特定的 HTTP 请求方法,可以减少服务器受到自动化攻击的风险,而且可以防止某些类型的 Web 漏洞,如 SQL 注入或跨站脚本(XSS)攻击。
有两种设置方式,松哥来和各人逐一分析。
只答应 GET 和 POST

在 server 或 location 块中,使用 if 语句来检查请求方法,并返回 403 错误码以拒绝其他方法。
  1. server {
  2.     listen 80;
  3.     server_name javaboy.org;
  4.     location / {
  5.         if ($request_method !~* (GET|POST)) {
  6.             return 403;
  7.         }
  8.         # 其他配置...
  9.     }
  10. }
复制代码
这种方法会拒绝所有非 GET 和 POST 的请求方法。
使用 map 模块

对于更复杂的限制逻辑,可以使用 Nginx 的 map 模块来动态设置请求方法的限制。
  1. http {
  2.     map $request_method $block_request {
  3.         default 0;
  4.         POST 1;
  5.         PUT 1;
  6.     }
  7.     server {
  8.         listen 80;
  9.         server_name javaboy.org;
  10.         location / {
  11.             if ($block_request) {
  12.                 return 403;
  13.             }
  14.             # 其他配置...
  15.         }
  16.     }
  17. }
复制代码
在这个例子中,所有 POST 和 PUT 请求都会被拒绝。
九 错误页面重定向

在 Nginx 中设置错误页面重定向,除了安全因素之外,另有很多长处,比如:

  • 提升用户体验:通过提供更友好的错误页面,可以减少用户在碰到错误时的困惑和挫败感。
  • 加强 SEO 效果:自界说错误页面可以资助搜索引擎更好地明白网站结构,避免因错误页面导致的 SEO 题目。
  • 维护品牌形象:错误页面是网站的一部分,通过自界说错误页面,可以保持品牌同等性,提升专业形象。
  • 提供错误信息:自界说错误页面可以提供有用的错误信息或解决方案,资助用户明白题目地点。
在 Nginx 设置文件中,可以使用 error_page 指令来界说特定错误代码的重定向页面。例如,将 404 错误重定向到自界说的 404 页面:
  1. server {
  2.     listen 80;
  3.     server_name javaboy.org;
  4.     error_page 404 /404.html;
  5.     location = /404.html {
  6.         root /path/to/error/pages;
  7.         internal;
  8.     }
  9. }
复制代码
在这个设置中,当 Nginx 返回 404 错误时,它会显示位于 /path/to/error/pages/404.html 的自界说错误页面,而不是默认的错误页面。internal 指令确保这个页面只对 Nginx 内部请求可见,不会被外部直接访问 。
固然,上面这个设置也可以同时枚举多个错误状态码:
  1. error_page 500 502 503 504 /50x.html;
  2. location = /50x.html {
  3.     root /usr/share/nginx/html;
  4. }
复制代码
这个设置会将所有 500 系列错误重定向到 /50x.html,并显示位于 /usr/share/nginx/html/50x.html 的自界说错误页面 。
十 日志保留半年

保留 Nginx 日志半年的原因有很多,比如:

  • 安全审计:日志文件可以用于安全审计,资助分析和追踪潜在的攻击或异常行为。
  • 故障排查:在体系出现故障时,日志文件是诊断题目的紧张工具,可以资助快速定位题目原因。
  • 性能监控:通过分析日志,可以相识网站的访问情况和性能瓶颈,从而举行相应的优化。
  • 合规性要求:某些行业法规可能要求保留一定期限的日志记录,以满意合规性检查。
要设置 Nginx 日志保留半年,通常需要使用 logrotate 工具来实现日志文件的定期轮换和压缩。
这个工具设置并不难,松哥给各人举个栗子。
在 /etc/logrotate.d/ 目录下创建一个名为 nginx 的设置文件,内容如下:
  1. /var/log/nginx/*.log {
  2.     daily
  3.     rotate 180
  4.     missingok
  5.     notifempty
  6.     compress
  7.     delaycompress
  8.     sharedscripts
  9.     postrotate
  10.         [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
  11.     endscript
  12. }
复制代码
这个设置会每天检查 Nginx 日志文件,并将它们保留 180 天(约 6 个月),然后自动压缩旧的日志文件。postrotate 部分的命令会在日志轮换后重新打开 Nginx 日志文件,以便继承记录新的日志信息。
通过这些设置,我们可以确保 Nginx 的日志文件被保留半年,同时旧的日志文件会被压缩以节流磁盘空间。
十一 设置缓冲区

Nginx 的缓冲区溢出攻击是一种常见的安全漏洞,它发生在程序试图向一个缓冲区写入超出其预分配巨细的数据时。
这种攻击可能导致数据覆盖了相邻的内存区域,可能破坏程序的实行流程,甚至可以被恶意攻击者使用来实行恶意代码。
为了防止缓冲区溢出类攻击变乱,可以设置客户端请求体、请求头和客户端最大请求体的缓冲区巨细。
设置方式如下:
  1. client_body_buffer_size 1K;
  2. client_header_buffer_size 1k;
  3. client_max_body_size 1k;
  4. large_client_header_buffers 2 1k;
复制代码
这四行设置寄义如下:


  • client_body_buffer_size 1K;:这条指令设置了 Nginx 用来读取客户端请求体(比如 POST 请求中的数据)的缓冲区巨细。在这个例子中,缓冲区巨细被设置为 1KB。如果请求体的巨细超过了这个缓冲区的巨细,Nginx 会使用磁盘来暂存超出部分的数据。
  • client_header_buffer_size 1k;:这条指令界说了 Nginx 用来读取客户端 HTTP 请求头部的缓冲区巨细。这里设置的巨细是 1KB。如果请求头部的巨细超过了这个缓冲区的巨细,Nginx 会使用 large_client_header_buffers 界说的缓冲区。
  • client_max_body_size 1k;:这条指令限制了 Nginx 服务器乐意吸取的最大请求体巨细。如果客户端发送的请求体超过了这个巨细(在这个例子中是 1KB),Nginx 将返回一个 413(Request Entity Too Large)错误。
  • large_client_header_buffers 2 1k;:这条指令界说了 Nginx 用于处理大于 client_header_buffer_size 指定巨细的请求头的缓冲区数量和巨细。这里设置了 2 个巨细为 1KB 的缓冲区。当请求头的巨细超过了 client_header_buffer_size 界说的缓冲区巨细时,Nginx 会使用这两个额外的缓冲区来处理请求头。
这些设置对于防止缓冲区溢出攻击和处理大请求都黑白常紧张的。
十二 使用普通用户启动

在 Linux 体系中,只有 root 用户或者具有特定权限的用户才能绑定 1024 以下的端口,如 80 端口(HTTP)和 443 端口(HTTPS)。
如果 Nginx 以 root 用户运行,它将拥有过高的权限,这可能会带来安全风险。因此,为了最小化权限,通常会创建一个普通用户来运行 Nginx,以减少潜在的安全漏洞。
设置方式如下:

  • 创建用户
首先,你需要创建一个普通用户和用户组,例如 nginx。
  1. groupadd nginx
  2. useradd -g nginx -d /usr/local/nginx nginx
复制代码
这里创建了一个名为 nginx 的用户和组,并设置了用户的家目录。

  • 授权访问
确保新用户有权访问 Nginx 的设置文件、日志文件和服务器文件。
  1. chown -R nginx:nginx /usr/local/nginx/
复制代码
这条命令将 Nginx 目录及其所有子目录和文件的所有权更改为新创建的 nginx 用户和组。

  • 设置Nginx
编辑 Nginx 设置文件(通常位于 /etc/nginx/nginx.conf),设置 user 指令以指定 Nginx 工作进程的用户。
  1. user nginx;
复制代码
这行设置指定 Nginx 应该以 nginx 用户的身份运行。

  • 设置权限
如果需要,可以使用 setcap 命令赋予 Nginx 监听 1024 以下端口的本领,而不需要以 root 用户运行。
  1. setcap cap_net_bind_service=+ep /usr/local/nginx/sbin/nginx
复制代码
这个命令答应 Nginx 以普通用户身份绑定到 80 和 443 端口。

  • 启动Nginx
使用普通用户启动 Nginx。
  1. su - nginx
  2. /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
复制代码
这里首先切换到 nginx 用户,然后启动 Nginx 服务。

  • 验证
检查 Nginx 是否以普通用户启动。
  1. ps -ef | grep nginx
复制代码
这条命令将显示 Nginx 的进程信息,你可以验证它是否以 nginx 用户运行。
好啦,小同伴们另有哪些 Nginx 安全设置发起?欢迎留言讨论。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

慢吞云雾缓吐愁

金牌会员
这个人很懒什么都没写!
快速回复 返回顶部 返回列表