怎样让Nginx更安全？

网络安全的紧张性不言而喻。
那么小同伴们有没有在日常使用 Nginx 的时候，特意去关注下它的安全设置呢？
本日松哥和小同伴们讨论一下怎样安全的使用 Nginx，给大伙几个发起。
一 使用最新版

发起使用最新版的 Nginx，对于已经部署的 Nginx，要实时更新到最新版本，以确保所有已知的安全漏洞都已修补。
   Nginx 下载地址：https://nginx.org/en/download.html
  二 限制连接数量

Nginx 可以通过 limit_conn_zone 和 limit_conn 两个组件来对客户端访问目录和文件的访问频率和次数举行限制，两个模块都可以或许对客户端访问举行限制，具体怎样使用要结合公司业务情况举行设置。
举个简单的例子：

1. http {
2.   limit_conn_zone $binary_remote_addr zone=ops:10m;
4.   # ...
6.   server {
7.     listen       80;
8.     server_name  www.javaboy.org;
9.     location / {
10.       limit_conn ops 1;  #这将指定一个地址只能同时存在一个连接。“one” 与上面的对应，也可以自定义命名
11.       limit_rate 300k;
12.   }
14. }

复制代码

这里涉及到三个设置项：

• limit_zone： 是针对每个 IP 界说一个存储 session 状态的容器，这个示例中界说了一个 10m 的容器，假设每个 session 的巨细是 32bytes，那么可以处理 327680 个 session。
  
• limit_conn ops 1：限制每个 IP 只能发起一个并发连接。
  
• limit_rate 300k： 对每个连接限速 300k. 注意，这里是对连接限速，而不是对 IP 限速。如果一个 IP 答应两个并发连接，那么这个 IP 就是限速 limit_rate × 2。
  

三 限制请求频率

Nginx 可以通过限制请求频率来防止服务器过载，最常见的场景就是登录请求，可以通过限制请求频率防止账号暴力破解。
Nginx 官方版本限制 IP 的连接和并发分别有两个模块：

• limit_req_zone：用来限制单位时间内的请求数，即速率限制,接纳的漏桶算法 “leaky bucket”。
  
• limit_req_conn 用来限制同一时间连接数，即并发限制。
  

举个栗子：

1. http {
2.     limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
4.     server {
5.         listen 80;
7.         location / {
8.             limit_req zone=mylimit burst=5 nodelay;;
9.             proxy_pass http://javaboy.org;
10.         }
11.     }
12. }

复制代码

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;

• 第一个参数：$binary_remote_addr 表现通过 remote_addr 这个标识来做限制，“binary_” 的目的是缩写内存占用量，是限制同一客户端 ip 地址。
  
• 第二个参数：zone=mylimit:10m 表现天生一个巨细为 10M，名字为 mylimit 的内存区域，用来存储访问的频次信息。
  
• 第三个参数：rate=1r/s 表现答应相同标识的客户端的访问频次，这里限制的是每秒 1 次，还可以有比如 30r/m 的。
  

limit_req zone=mylimit burst=5 nodelay;

• 第一个参数：zone=one 设置使用哪个设置区域来做限制，与上面 limit_req_zone 里的 name 对应。
  
• 第二个参数：burst=5，重点分析一下这个设置，burst 发作的意思，这个设置的意思是设置一个巨细为 5 的缓冲区，当有大量请求（发作）过来时，超过了访问频次限制的请求可以先放到这个缓冲区内。
  
• 第三个参数：nodelay，如果设置，超过访问频次而且缓冲区也满了的时候就会直接返回 503，如果没有设置，则所有请求会等待排队。
  

四 防止目录遍历

在 Nginx 设置中设置 autoindex off 来防止目录遍历攻击。
这个一般是如果你要做文件服务器，根据自己的现实需求，有需要的话这个功能可以打开，否则将之关闭即可。

1. location / {
2.     autoindex off;
3. }

复制代码

五 隐藏 Nginx 版本号

攻击者如果可以或许确定服务器使用的 Nginx 版本，可能会使用这个信息来探求和使用已知的漏洞举行攻击。因此，隐藏版本信息可以提高服务器的安全性，使攻击者难以通过版本信息推断出服务器可能存在的安全漏洞。
要隐藏 Nginx 版本号，有三个办法，一般来说我们使用第一种方式就可以了。
修改设置文件

在 Nginx 的设置文件中，在 http 块中添加以下设置：

1. server_tokens off;

复制代码

这样设置后，Nginx 将不会在错误页面上显示版本号。
设置完成之后，保存设置文件并重新加载 Nginx 以应用更改：

1. nginx -t   # 测试配置文件是否正确
2. nginx -s reload   # 重新加载Nginx配置

复制代码

这种方法可以隐藏错误页面上的版本信息，但可能无法完全隐藏所有响应头中的版本信息 。
修改 Nginx 源码

如果想要从根源上修改 Nginx 版本信息，需要重新编译 Nginx，步骤如下：

• 修改 src/core/nginx.h 文件中的版本界说。
  
• 修改 src/http/ngx_http_header_filter_module.c 文件中的服务器字符串。
  
• 修改 src/http/ngx_http_special_response.c 文件中的错误页面底部信息。
  

修改完这些文件后，需要重新编译 Nginx。这样编译安装后，Nginx 的版本信息将被彻底修改 。
使用第三方模块

如果需要动态修改响应头中的版本信息，可以使用如 headers-more-nginx-module 模块。这个模块答应你动态地添加、修改或删除 Nginx 的响应头。通过这个模块，可以完全控制 Server 响应头的内容 。
选择哪种方法取决于你的具体需求和情况。
如果你只是想简单地隐藏版本信息，修改设置文件可能是最简单的方法。如果你需要更彻底地控制版本信息，可能需要考虑修改源码并重新编译 Nginx。
六 设置超时时间

设置 Nginx 的超时设置黑白常紧张的，因为它可以影响服务器的性能和资源的有用使用。
比较常见的超时设置有四个：

• keepalive_timeout：这个指令设置了与客户端的 keep-alive 连接超时时间。如果连接在指定时间内没有数据传输，Nginx 将关闭该连接。默认值通常是 75 秒。这个设置对于频繁访问的站点尤其紧张，因为它减少了连接创建和断开的开销。
  
• client_body_timeout：这个指令指定了客户端与服务端创建连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容，Nginx 返回 HTTP 408（Request Timed Out）。默认值通常是 60 秒。
  
• client_header_timeout：这个指令指定了客户端向服务端发送一个完备的 request header 的超时时间。如果在指定时间内没有发送一个完备的 request header，Nginx 返回 HTTP 408（Request Timed Out）。默认值通常是 60 秒。
  
• send_timeout：这个指令设置了服务端向客户端传输数据的超时时间。如果在指定时间内客户端没有吸取到任何数据，连接将被关闭。默认值通常是 60 秒。
  

针对这四个比较常见的超时设置，松哥这里也给各人一个设置案例。
keepalive_timeout

这个指令控制了客户端与服务器之间的连接保持运动状态的时间。这对于减少 TCP 连接的开销非常有用，特别是在高流量的网站上。

1. http {
2.     keepalive_timeout 60s;
4.     server {
5.         listen 80;
6.         server_name javaboy.org;
8.         location / {
9.             proxy_pass http://javaboy.org;
10.             proxy_http_version 1.1;
11.             proxy_set_header Upgrade $http_upgrade;
12.             proxy_set_header Connection "upgrade";
13.             proxy_set_header Host $host;
14.         }
15.     }
16. }

复制代码

在这个设置中，keepalive_timeout 被设置为 60 秒，意味着如果 60 秒内没有数据传输，连接将被关闭。
client_body_timeout

这个指令设置了客户端发送请求体到服务器的超时时间。

1. http {
2.     client_body_timeout 10s;
4.     server {
5.         listen 80;
6.         server_name javaboy.org;
8.         location /upload {
9.             client_max_body_size 100M;
10.             client_body_timeout 30s;
11.         }
12.     }
13. }

复制代码

在这个设置中，client_body_timeout 被设置为 10 秒，适用于上传大文件的场景，确保如果客户端在 30 秒内没有完成文件上传，请求将被终止。
client_header_timeout

这个指令控制了客户端发送完备的 HTTP 请求头到服务器的超时时间。

1. http {
2.     client_header_timeout 5s;
4.     server {
5.         listen 80;
6.         server_name javaboy.org;
8.         location / {
9.             proxy_pass http://javaboy.org;
10.         }
11.     }
12. }

复制代码

在这个设置中，client_header_timeout 被设置为 5 秒，意味着如果客户端在 5 秒内没有发送完备的 HTTP 请求头，服务器将终止连接。
send_timeout

这个指令设置了服务器发送响应到客户端的超时时间。

1. http {
2.     send_timeout 10s;
4.     server {
5.         listen 80;
6.         server_name javaboy.org;
8.         location / {
9.             proxy_pass http://javaboy.org;
10.             proxy_read_timeout 10s;
11.         }
12.     }
13. }

复制代码

在这个设置中，send_timeout 被设置为 10 秒，适用于后端服务响应慢的场景，确保如果后端服务在 10 秒内没有发送数据，客户端将收到超时响应。
七 仅答应域名访问

限制仅答应域名访问可以防止未授权的 IP 直接访问服务器，减少未备案域名解析到服务器 IP 导致的安全风险。
这个也有三种不同的设置方式，我们逐一来看。
使用两个 server 块

在 Nginx 设置文件中，你可以设置一个默认的 server 块，它将捕获所有不明确的域名请求，并返回 403 错误。然后，为特定的域名设置 server 块。

1. server {
2.     listen 80 default_server;
3.     server_name _;
4.     return 403;
5. }
7. server {
8.     listen 80;
9.     server_name www.javaboy.org;
10.     location / {
11.         # 你的配置
12.     }
13. }

复制代码

在这个设置中，第一个 server 块会拦截所有不明确域名的请求，并返回 403 错误。第二个 server 块则是为特定域名 www.javaboy.org 提供服务的设置。
这个设置有两点需要注意：

• 如果没有显式声明 default server 则第一个 server 会被隐式的设为 default server。
  
• server_name 中的 _;，并不是重点 __ 也可以， ___ 也可以。
  

使用 if 语句

还可以在特定的 server 块中使用 if 语句来检查 $host 变量，如果它不匹配你的域名，则返回 403 错误。

1. server {
2.     listen 80;
3.     server_name javaboy.org;
4.     location / {
5.         if ($host != 'www.javaboy.org') {
6.             return 403;
7.         }
8.         # 你的配置
9.     }
10. }

复制代码

这种方法答应你在特定域名的 server 块中直接控制访问权限，只有当 $host 变量与你的域名匹配时，才会答应访问。
直接禁止 IP

1. http {
2.     server {
3.         listen 80;
4.         server_name www.javaboy.org;
5.         ...
6.     }
7.    
8.     server {
9.         listen 80;
10.         server_name www.itboyhub.com;
11.         ...
12.     }
13.    
14.     # 直接指定 ip server_name
15.     server {
16.         listen 80;
17.         server_name 11.11.11.11;
18.         return 403; # 403 forbidden
19.     }
20.    
21. }

复制代码

这样设置后，只有通过指定的域名才能访问网站，直接通过 IP 地址访问将会受到限制。
八 限制 Nginx 请求方法

通过限制特定的 HTTP 请求方法，可以减少服务器受到自动化攻击的风险，而且可以防止某些类型的 Web 漏洞，如 SQL 注入或跨站脚本（XSS）攻击。
有两种设置方式，松哥来和各人逐一分析。
只答应 GET 和 POST

在 server 或 location 块中，使用 if 语句来检查请求方法，并返回 403 错误码以拒绝其他方法。

1. server {
2.     listen 80;
3.     server_name javaboy.org;
5.     location / {
6.         if ($request_method !~* (GET|POST)) {
7.             return 403;
8.         }
9.         # 其他配置...
10.     }
11. }

复制代码

这种方法会拒绝所有非 GET 和 POST 的请求方法。
使用 map 模块

对于更复杂的限制逻辑，可以使用 Nginx 的 map 模块来动态设置请求方法的限制。

1. http {
2.     map $request_method $block_request {
3.         default 0;
4.         POST 1;
5.         PUT 1;
6.     }
8.     server {
9.         listen 80;
10.         server_name javaboy.org;
12.         location / {
13.             if ($block_request) {
14.                 return 403;
15.             }
16.             # 其他配置...
17.         }
18.     }
19. }

复制代码

在这个例子中，所有 POST 和 PUT 请求都会被拒绝。
九 错误页面重定向

在 Nginx 中设置错误页面重定向，除了安全因素之外，另有很多长处，比如：

• 提升用户体验：通过提供更友好的错误页面，可以减少用户在碰到错误时的困惑和挫败感。
  
• 加强 SEO 效果：自界说错误页面可以资助搜索引擎更好地明白网站结构，避免因错误页面导致的 SEO 题目。
  
• 维护品牌形象：错误页面是网站的一部分，通过自界说错误页面，可以保持品牌同等性，提升专业形象。
  
• 提供错误信息：自界说错误页面可以提供有用的错误信息或解决方案，资助用户明白题目地点。
  

在 Nginx 设置文件中，可以使用 error_page 指令来界说特定错误代码的重定向页面。例如，将 404 错误重定向到自界说的 404 页面：

1. server {
2.     listen 80;
3.     server_name javaboy.org;
5.     error_page 404 /404.html;
6.     location = /404.html {
7.         root /path/to/error/pages;
8.         internal;
9.     }
10. }

复制代码

在这个设置中，当 Nginx 返回 404 错误时，它会显示位于 /path/to/error/pages/404.html 的自界说错误页面，而不是默认的错误页面。internal 指令确保这个页面只对 Nginx 内部请求可见，不会被外部直接访问 。
固然，上面这个设置也可以同时枚举多个错误状态码：

1. error_page 500 502 503 504 /50x.html;
2. location = /50x.html {
3.     root /usr/share/nginx/html;
4. }

复制代码

这个设置会将所有 500 系列错误重定向到 /50x.html，并显示位于 /usr/share/nginx/html/50x.html 的自界说错误页面 。
十 日志保留半年

保留 Nginx 日志半年的原因有很多，比如：

• 安全审计：日志文件可以用于安全审计，资助分析和追踪潜在的攻击或异常行为。
  
• 故障排查：在体系出现故障时，日志文件是诊断题目的紧张工具，可以资助快速定位题目原因。
  
• 性能监控：通过分析日志，可以相识网站的访问情况和性能瓶颈，从而举行相应的优化。
  
• 合规性要求：某些行业法规可能要求保留一定期限的日志记录，以满意合规性检查。
  

要设置 Nginx 日志保留半年，通常需要使用 logrotate 工具来实现日志文件的定期轮换和压缩。
这个工具设置并不难，松哥给各人举个栗子。
在 /etc/logrotate.d/ 目录下创建一个名为 nginx 的设置文件，内容如下：

1. /var/log/nginx/*.log {
2.     daily
3.     rotate 180
4.     missingok
5.     notifempty
6.     compress
7.     delaycompress
8.     sharedscripts
9.     postrotate
10.         [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
11.     endscript
12. }

复制代码

这个设置会每天检查 Nginx 日志文件，并将它们保留 180 天（约 6 个月），然后自动压缩旧的日志文件。postrotate 部分的命令会在日志轮换后重新打开 Nginx 日志文件，以便继承记录新的日志信息。
通过这些设置，我们可以确保 Nginx 的日志文件被保留半年，同时旧的日志文件会被压缩以节流磁盘空间。
十一 设置缓冲区

Nginx 的缓冲区溢出攻击是一种常见的安全漏洞，它发生在程序试图向一个缓冲区写入超出其预分配巨细的数据时。
这种攻击可能导致数据覆盖了相邻的内存区域，可能破坏程序的实行流程，甚至可以被恶意攻击者使用来实行恶意代码。
为了防止缓冲区溢出类攻击变乱，可以设置客户端请求体、请求头和客户端最大请求体的缓冲区巨细。
设置方式如下：

1. client_body_buffer_size 1K;
2. client_header_buffer_size 1k;
3. client_max_body_size 1k;
4. large_client_header_buffers 2 1k;

复制代码

这四行设置寄义如下：

• client_body_buffer_size 1K;：这条指令设置了 Nginx 用来读取客户端请求体（比如 POST 请求中的数据）的缓冲区巨细。在这个例子中，缓冲区巨细被设置为 1KB。如果请求体的巨细超过了这个缓冲区的巨细，Nginx 会使用磁盘来暂存超出部分的数据。
  
• client_header_buffer_size 1k;：这条指令界说了 Nginx 用来读取客户端 HTTP 请求头部的缓冲区巨细。这里设置的巨细是 1KB。如果请求头部的巨细超过了这个缓冲区的巨细，Nginx 会使用 large_client_header_buffers 界说的缓冲区。
  
• client_max_body_size 1k;：这条指令限制了 Nginx 服务器乐意吸取的最大请求体巨细。如果客户端发送的请求体超过了这个巨细（在这个例子中是 1KB），Nginx 将返回一个 413（Request Entity Too Large）错误。
  
• large_client_header_buffers 2 1k;：这条指令界说了 Nginx 用于处理大于 client_header_buffer_size 指定巨细的请求头的缓冲区数量和巨细。这里设置了 2 个巨细为 1KB 的缓冲区。当请求头的巨细超过了 client_header_buffer_size 界说的缓冲区巨细时，Nginx 会使用这两个额外的缓冲区来处理请求头。
  

这些设置对于防止缓冲区溢出攻击和处理大请求都黑白常紧张的。
十二 使用普通用户启动

在 Linux 体系中，只有 root 用户或者具有特定权限的用户才能绑定 1024 以下的端口，如 80 端口（HTTP）和 443 端口（HTTPS）。
如果 Nginx 以 root 用户运行，它将拥有过高的权限，这可能会带来安全风险。因此，为了最小化权限，通常会创建一个普通用户来运行 Nginx，以减少潜在的安全漏洞。
设置方式如下：

• 创建用户
  

首先，你需要创建一个普通用户和用户组，例如 nginx。

1. groupadd nginx
2. useradd -g nginx -d /usr/local/nginx nginx

复制代码

这里创建了一个名为 nginx 的用户和组，并设置了用户的家目录。

• 授权访问
  

确保新用户有权访问 Nginx 的设置文件、日志文件和服务器文件。

1. chown -R nginx:nginx /usr/local/nginx/

复制代码

这条命令将 Nginx 目录及其所有子目录和文件的所有权更改为新创建的 nginx 用户和组。

• 设置Nginx
  

编辑 Nginx 设置文件（通常位于 /etc/nginx/nginx.conf），设置 user 指令以指定 Nginx 工作进程的用户。

1. user nginx;

复制代码

这行设置指定 Nginx 应该以 nginx 用户的身份运行。

• 设置权限
  

如果需要，可以使用 setcap 命令赋予 Nginx 监听 1024 以下端口的本领，而不需要以 root 用户运行。

1. setcap cap_net_bind_service=+ep /usr/local/nginx/sbin/nginx

复制代码

这个命令答应 Nginx 以普通用户身份绑定到 80 和 443 端口。

• 启动Nginx
  

使用普通用户启动 Nginx。

1. su - nginx
2. /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

复制代码

这里首先切换到 nginx 用户，然后启动 Nginx 服务。

• 验证
  

检查 Nginx 是否以普通用户启动。

1. ps -ef | grep nginx

复制代码

这条命令将显示 Nginx 的进程信息，你可以验证它是否以 nginx 用户运行。
好啦，小同伴们另有哪些 Nginx 安全设置发起？欢迎留言讨论。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。