Nginx安全加固

1.适用情况

2.前置条件

1. 根据站点开放端口，进程ID，确认站点采用Nginx进行部署。
2. 找到Nginx安装目录，针对具体站点对配置文件进行修改。

3.详细操作

 

3.1日志配置

1、备份nginx.conf 配置文件。

   log_format main '$remote_addr - $remote_user [$time_local] "$request" '
   '$status $body_bytes_sent "$http_referer" '
   '"$http_user_agent" "$http_x_forwarded_for"';

2、在server标签内，定义日志路径

 access_log logs/host.access.log main

3、保存，然后重启nginx服务。

 

3.2 禁止目录浏览

1、备份nginx.conf配置文件。

2、编辑配置文件，HTTP模块添加如下一行内容：

 autoindex off;

3、保存，然后重启nginx服务。

 

3.3限制目录执行权限

1、备份nginx.conf配置文件。

2、编辑配置文件，在server标签内添加如下内容：

#示例：去掉单个目录的PHP执行权限 
location ~ /attachments/.*\.(php|php5)?$ { 
deny all; 
} 
#示例：去掉多个目录的PHP执行权限 
location ~ 
/(attachments|upload)/.*\.(php|php5)?$ { 
deny all; 
}

3、保存，然后重启nginx服务。

需要注意两点：

1. 以上的配置文件代码需要放到 location ~ .php{...}上面，如果放到下面是无效的。
2. attachments需要写相对路径，不能写绝对路径。

 

3.4 错误页面重定向（忽略）

1、备份nginx.conf配置文件。

2、修改配置，在http{}段加入如下内容

http { 
... 
fastcgi_intercept_errors on; 
error_page 401 /401.html; 
error_page 402 /402.html; 
error_page 403 /403.html; 
error_page 404 /404.html; 
error_page 405 /405.html; 
error_page 500 /500.html; 
... 
} 
修改内容： 
ErrorDocument 400 /custom400.html 
ErrorDocument 401 /custom401.html 
ErrorDocument 403 /custom403.html 
ErrorDocument 404 /custom404.html 
ErrorDocument 405 /custom405.html 
ErrorDocument 500 /custom500.html 
其中401.html、402.html、403.html、404.html、405.html、500.html 为要指定的错误提示页面。

3、保存，重启 nginx 服务生效。

 

3.5最佳经验实践

 

3.5.1 隐藏版本信息

1、备份nginx.conf配置文件。

2、编辑配置文件，添加http模块中如下一行内容：

server_tokens off;

3、保存，然后重启nginx服务。

 

3.5.2 限制HTTP请求方法

1、备份nginx.conf配置文件。

2、编辑配置文件，添加如下内容：

if ($request_method !~ ^(GET|HEAD|POST)$ ) { 
return 444; 
}

3、保存，然后重启nginx服务。

      备注：只允许常用的GET和POST方法，顶多再加一个HEAD方法。

 

3.5.3 限制IP访问

1、备份nginx.conf配置文件。

2、编辑配置文件，在server标签内添加如下内容：

location / { 
deny 192.168.1.1; #拒绝IP 
allow 192.168.1.0/24; #允许IP 
allow 10.1.1.0/16; #允许IP 
deny all; #拒绝其他所有IP 
}

3、保存，然后重启nginx服务。

 

3.5.4 限制并发和速度

1、备份nginx.conf配置文件。

2、编辑配置文件，在server标签内添加如下内容：

limit_zone one $binary_remote_addr 10m; 
server 
{ 
    listen 80; 
    server_name down.test.com; 
    index index.html index.htm index.php; 
    root /usr/local/www; 
    #Zone limit; 
    location / { 
        limit_conn one 1; 
        limit_rate 20k; 
    } 
………
}

3、保存，然后重启nginx服务。

 

3.5.5 控制超时时间

1、备份nginx.conf配置文件。

2、编辑配置文件，具体设置如下：

client_body_timeout 10; #设置客户端请求主体读取超时时间
client_header_timeout 10; #设置客户端请求头读取超时时间 
keepalive_timeout 5 5; #第一个参数指定客户端连接保持活动的超时时间，第二个参数是可选的，它指定了消息头保持活动的有效时间 
send_timeout10; #指定响应客户端的超时时间

3、保存，然后重启nginx服务。

 

3.6风险操作项

 

3.6.1 Nginx降权

1、备份nginx.conf配置文件。

2、编辑配置文件，添加如下一行内容：

   user www;

3、保存，然后重启nginx服务。

 

3.6.2 防盗链

1、备份nginx.conf配置文件。

2、编辑配置文件，在server标签内添加如下内容：

location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ { 
    valid_referers none blocked server_names *.nsfocus.com http://localhost baidu.com;
    if ($invalid_referer) { 
        rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img]; 
        # return 403; 
    } 
}

3、保存，然后重启nginx服务。

 

3.6.3 补丁更新

1、软件信息

   查看软件版本 nginx -v 
   测试配置文件 nginx –t

2、补丁安装

      手动安装补丁或安装最新版本软件。