百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

【Nginx进阶】Nginx安全配置(nginx 安全设置)

nanshan 2024-10-26 11:13 6 浏览 0 评论

在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。

在现代网络环境中,保障 Web 服务器的安全性至关重要。Nginx 作为一个高性能的 Web 服务器和反向代理服务器,通过合理的安全配置,可以有效地防止各种网络攻击,保护服务器和用户数据的安全。在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。

1. SSL/TLS 安全

SSL/TLS 通过加密保护数据传输的机密性、完整性和真实性。合理的 SSL/TLS 配置可以防止攻击和数据篡改。

1.1 禁用不安全的协议和加密套件

禁用 SSLv3 和弱加密套件,强制使用安全的 TLS 协议和加密套件:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
}

1.2 启用 HSTS(HTTP Strict Transport Security

HTTP 严格传输安全 (HSTS) 可以强制客户端使用 HTTPS 连接,防止协议降级攻击:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

1.3 启用 OCSP Stapling(实时证书状态检查)

OCSP Stapling 可以减少 SSL 握手时间,提高性能:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
}

1.4 使用强密码

生成并配置 Diffie-Hellman 参数文件:

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

在 Nginx 配置中使用:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
}

2. 访问控制

通过访问控制,可以限制哪些客户端可以访问服务器,从而提高安全性。

2.1 基于 IP 地址的访问控制

使用 allow 和 deny 指令,限制 IP 地址的访问:

server {
    listen 80;
    server_name example.com;

    location / {
        allow 192.168.1.0/24;
        deny all;
    }
}

2.2 基于用户代理的访问控制

限制特定用户代理的访问,可以防止一些常见的恶意机器人:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($http_user_agent ~* "BadBot") {
            return 403;
        }
    }
}

2.3 基于 HTTP 方法的访问控制

限制某些 HTTP 方法的使用,例如禁止 PUT 和 DELETE 方法:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($request_method !~ ^(GET|POST|HEAD)$) {
            return 405;
        }
    }
}

3. HTTP 安全头

HTTP 安全头可以防止多种 Web 安全问题,例如跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF)、点击劫持等。

3.1 配置常见的 HTTP 安全头

在 Nginx 配置文件中添加以下指令:

server {
    listen 80;
    server_name example.com;

    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header Referrer-Policy "no-referrer-when-downgrade";
    add_header Content-Security-Policy "default-src 'self'";
}

4. 防止 DDoS 攻击

分布式拒绝服务 (DDoS) 攻击可以通过大量请求耗尽服务器资源,从而导致服务不可用。Nginx 提供了一些配置来缓解 DDoS 攻击。

4.1 限制请求速率

使用 limit_req 模块限制每个客户端的请求速率:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_req zone=one burst=5 nodelay;
        }
    }
}

4.2 限制并发连接数

使用 limit_conn 模块限制每个客户端的并发连接数:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_conn addr 10;
        }
    }
}

5. 日志审计

通过日志审计,可以记录和分析服务器的访问和操作,帮助检测和防止安全事件。

5.1 配置详细日志

配置详细的访问日志和错误日志:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;
}

5.2 使用外部日志分析工具

使用如 ELK(Elasticsearch、Logstash、Kibana)等工具分析和可视化日志:

# 安装 Elasticsearch

# 安装 Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch

# 安装 Logstash
sudo apt install logstash

# 安装 Kibana
sudo apt install kibana

6. 完整示例

下面是一个综合了多种安全配置的完整示例:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/nginx/ssl/nginx.crt;
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
        ssl_prefer_server_ciphers on;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;

        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options "SAMEORIGIN";
        add_header X-XSS-Protection "1; mode=block";
        add_header Referrer-Policy "no-referrer-when-downgrade";
        add_header Content-Security-Policy "default-src 'self'";

        location / {
            limit_req zone=one burst=5 nodelay;
            limit_conn addr 10;
            allow 192.168.1.0/24;
            deny all;
            if ($request_method !~ ^(GET|POST|HEAD)$) {
                return 405;
            }
        }
    }
}

7. 总结

在本章中,我们详细介绍了 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。通过这些配置,你可以有效地提高 Nginx 服务器的安全性,防止各种网络攻击,保护服务器和用户数据的安全。

相关推荐

python获取阿里云云解析dns的域名解析记录

最近由于工作原因接触到阿里云的服务,我需要实时获取所有的域名信息,用于对其进行扫描,因此写了一个自动化爬取脚本给需要的人分享。(阿里云有官方的demo,有兴趣的可以自己看一下,后面也会放链接,我只能...

前端性能优化系列——DNS预解析和优化

简单来说,DNS的作用是将域名解析为IP地址,解析的过程是耗时的,转化后会做本地缓存,我们的优化的目标主要是针对用户第一次访问站点的时候陷入长时间白屏的问题。DNS解析可以分为两类,第一类是页...

dns错误修复方法

  最近用户反馈在同一网络的其他电脑可以正常上网,但自己的电脑却提示页面找不到且无法解析服务器的dns地址,接下来给大家带来dns错误修复方法。  1、点击网络图标,选择打开网络共享中心,如图所示: ...

技术分享 | 浅谈DNS递归解析和迭代解析之间的区别

DNS解析是互联网中的重要环节,承担着将域名翻译为可由计算机直接读取的IP地址的基础功能。根据查询对象不同DNS解析可分为递归解析和迭代解析两种方式,接下来,中科三方将简单介绍下两种查询方式的流程以及...

一文读懂DNS解析故障常见情况(中科三方)

DNS解析将人们习惯使用的域名翻译成计算机识别的IP地址,是确保人们正常访问网站的重要功能。而在实际域名管理过程中,经常会因为种种原因导致DNS解析故障。DNS解析故障主要表现在人们通过IP地址可以直...

DNS分离解析实验

如果本文对你有帮助,欢迎关注、点赞、收藏、转发给朋友,让我有持续创作的动力目录一、分离解析概述二、实验需求三、实验步骤3.1双网卡服务器配置3.1.1添加两张网卡(内外网)3.1.2对两个网卡进...

#净网2019# 浏览网页被“劫持”,有问题!

明明自己没有设置过,打开网页浏览器却直接到了一个陌生网站,想改回原来的主页设置颇费周折、甚至无能为力。很多网民有过类似经历:在安装了一些软件后,自己的浏览器主页就被修改和锁定。本来打算访问A网站却被强...

解决浏览器劫持,360和腾讯安全不敌火绒专杀

上午win7莫名其妙显示未激活,并要求当日必须激活,没办法,上网找激活工具,先试了“小马”没起作用,又下载了“WIN7ActivationV2.3绿色版”,就是这个:激活是激活了,顺便给我安了一堆垃...

【净网2019】 浏览网页被“劫持”,有问题!

明明自己没有设置过,打开网页浏览器却直接到了一个陌生网站,想改回原来的主页设置颇费周折、甚至无能为力。很多网民有过类似经历:在安装了一些软件后,自己的浏览器主页就被修改和锁定。本来打算访问A网站却被...

浏览器打开网页被绑架?这里有办法

最近小A遇到了一个小问题:在240g上网冲浪的时候,搜索到的网页,点进去却“李逵变李鬼”???在使用浏览器时,点击搜寻结果却导向与搜寻内容不符合的网站,表示您的浏览器可能已遭受恶意软件劫持。例如您在搜...

处理浏览器主页被劫持的最新方法

给大家说个处理浏览器主页被劫持的最新方法:刚遇件让人哭笑不得的事,这两天发现浏览器的主页打开后不是自己原来设置的,而是hao123,一百度,好家伙,原来这个流氓许多人都遇到过,照着大家分享的方法一一尝...

软件性能测试详解

性能测试的基本概念性能测试是一种非功能性测试,通过自动化工具模拟多种负载条件(正常、峰值、异常),对系统的各项性能指标进行测试和评估,以验证其是否满足预期的性能需求。以下是核心概念的详细解析:一、性能...

国内粉色图标视频网站偷用带宽风波,WebRTC Control 插件来救场

最近,B站陷入了一场舆论风波,被指偷偷使用用户上传带宽。有网友在浙江大学论坛投稿称,B崭新版App疑似未经许可大量上传数据致网络卡顿,查看路由器统计信息后,发现B站手机客户端开启大量端口,...

服务器知识

问:机架式和非机架式是什么意思?服务器中“U”是什么单位?答:机架式、非机架式指的是服务器的类型。机架式是指可以直接插入机柜的标准服务器。非机架式是其他类型的服务器。譬如说我们普通的pc机的主机。大小...

Vue3 性能拉胯?5 个实战技巧让项目响应速度飙升 60%!

作为前端工程师,在开发Vue3项目时,你是否经常遇到页面卡顿、数据更新缓慢,导致用户体验直线下降的情况?看着自己精心搭建的应用,因为性能问题被吐槽,真是既无奈又焦虑。别担心,今天就分享5个超级...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表