终极指南:提高Nginx服务器硬度的12个技巧
本文将介绍用来提高Nginx服务器的安全性,稳定性和性能的12种操作。
1: 保持Nginx的及时升级
目前Nginx的稳定版本为1.14.0,最好升级到最新版本,看官方的release note你会发现他们修复了很多bug,任何一款产品的生产环境都不想在这样的bug风险下运行的。
另外,虽然安装包安装比通过源代码编译安装更容易,但后一个选项有两个优点:
1)它允许您将额外的模块添加到Nginx中(如more_header,mod_security),
2)它总是提供比安装包更新的版本,在Nginx网站上可看release note。
2: 去掉不用的Nginx模块
在编译安装时,执行./configure方法时加上以下配置指令,可以显式的删除不用的模块:
./configure --without-module1 --without-module2 --without-module3
例如:
./configure --without-http_dav_module --withouthttp_spdy_module
#注意事项:配置指令是由模块提供的。确保你禁用的模块不包含你需要使用的指令!在决定禁用模块之前,应该检查Nginx文档中每个模块可用的指令列表。
3: 在Nginx配置中禁用server_tokens项
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。
只需要在nginx.conf中http模块设置server_tokens off即可,例如:
server {
listen 192.168.0.25:80;
Server_tokens off;
server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;
access_log /var/www/logs/tecmintlovesnginx.access.log;
error_log /var/www/logs/tecmintlovesnginx.error.log error;
root /var/www/tecmintlovesnginx.com/public_html;
index index.html index.htm;
}
#重启Nginx后生效:
4: 禁止非法的HTTP User Agents
User Agent是HTTP协议中对浏览器的一种标识,禁止非法的User Agent可以阻止爬虫和扫描器的一些请求,防止这些请求大量消耗Nginx服务器资源。
为了更好的维护,最好创建一个文件,包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下内容:
map $http_user_agent $blockedagent {
default 0;
~*malicious 1;
~*bot 1;
~*backdoor 1;
~*crawler 1;
~*bandit 1;
}
然后将如下语句放入配置文件的server模块内:
include /etc/nginx/blockuseragents.rules;
并加入if语句设置阻止后进入的页面:
5: 禁掉不需要的 HTTP 方法
例如一些web站点和应用,可以只支持GET、POST和HEAD方法。
在配置文件中的server模块加入如下方法可以阻止一些欺骗攻击
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 444;
}
6: 设置缓冲区容量上限
这样的设置可以阻止缓冲区溢出攻击(同样是Server模块)
client_body_buffer_size 1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
#设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了。
7: 限制最大连接数
在http模块内,server模块外设置limit_conn_zone,可以设置连接的IP
在http,server或location模块设置limit_conn,可以设置IP的最大连接数
例如:
limit_conn_zone $binary_remote_addr zone=addr:5m;
limit_conn addr 1;
8: 设置日志监控
上面的截图中已经有了,如何设置nginx日志
你或许需要拿一下因为第7点的设置访问失败的日志
grep addr /var/www/logs/tecmintlovesnginx.error.log --color=auto
同时你在日志中还可以筛选如下内容:
客户端IP
浏览器类型
HTTP请求方法
请求内容
服务器相应
9: 阻止图片外链自你的服务器
这样做显然会增加你服务器的带宽压力。
假设你有一个img目录用来存储图片,你自己的IP是192.168.0.25,加入如下配置可以防止外链
location /img/ {
valid_referers none blocked 192.168.0.25;
if ($invalid_referer) {
return 403;
}
}
10: 禁止 SSL 并且只打开 TLS
只要可以的话,尽量避免使用SSL,要用TLS替代,以下设置可以放在Server模块内:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
11: 做证书加密(HTTPS)
首先生成密钥和整数,用以下哪种都可以:
# openssl genrsa -aes256 -out tecmintlovesnginx.key 1024
# openssl req -new -key tecmintlovesnginx.key -out tecmintlovesnginx.csr
# cp tecmintlovesnginx.key tecmintlovesnginx.key.org
# openssl rsa -in tecmintlovesnginx.key.org -out tecmintlovesnginx.key
# openssl x509 -req -days 365 -in tecmintlovesnginx.csr -signkey tecmintlovesnginx.key -out tecmintlovesnginx.crt
#然后配置Server模块
server {
listen 192.168.0.25:443 ssl;
server_tokens off;
server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;
root /var/www/tecmintlovesnginx.com/public_html;
ssl_certificate /etc/nginx/sites-enabled/certs/tecmintlovesnginx.crt;
ssl_certificate_key /etc/nginx/sites-enabled/certs/tecmintlovesnginx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
12: 重定向HTTP请求到HTTPS
在第11点基础上增加
return 301 https://$server_name$request_uri;
总结
本文分享了一些保护Nginx Web服务器的技巧。我很乐意听到你的想法,如果你有其他的建议,欢迎评论,和大家分享你的经验。
欢迎工作一到五年的Java工程师朋友们加入Java架构开发:860113481
群内提供免费的Java架构学习资料(里面有高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码,MyBatis,Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多个知识点的架构资料)合理利用自己每一分每一秒的时间来学习提升自己,不要再用"没有时间“来掩饰自己思想上的懒惰!趁年轻,使劲拼,给未来的自己一个交代!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
【分布式】数据库和缓存双写一致性方案解析
引言 为什么写这篇文章? 首先,缓存由于其高并发和高性能的特性,已经在项目中被广泛使用。在读取缓存方面,大家没啥疑问,都是按照下图的流程来进行业务操作。 但是在更新缓存方面,对于更新完数据库,是更新缓存呢,还是删除缓存。又或者是先删除缓存,再更新数据库,其实大家存在很大的争议。目前没有一篇全面的博客,对这几种方案进行解析。于是博主战战兢兢,顶着被大家喷的风险,写了这篇文章。 文章结构 本文由以下三个部分组成 1、讲解缓存更新策略 2、对每种策略进行缺点分析 3、针对缺点给出改进方案 正文 先做一个说明,从理论上来说,给缓存设置过期时间,是保证最终一致性的解决方案。这种方案下,我们可以对存入缓存的数据设置过期时间,所有的写操作以数据库为准,对缓存操作只是尽最大努力即可。也就是说如果数据库写成功,缓存更新失败,那么只要到达过期时间,则后面的读请求自然会从数据库中读取新值然后回填缓存。因此,接下来讨论的思路不依赖于给缓存设置过期时间这个方案。 在这里,我们讨论三种更新策略: 先更新数据库,再更新缓存 先删除缓存,再更新数据库 先更新数据库,再删除缓存 应该没人问我,为什么没有先更新缓存,再更...
- 下一篇
架构设计:负载均衡层设计方案之负载均衡技术总结篇
1、概述 通过前面文章的介绍,并不能覆盖负载均衡层的所有技术,但是可以作为一个引子,告诉各位读者一个学习和使用负载均衡技术的思路。虽然后面我们将转向“业务层”和“业务通信”层的介绍,但是对负载均衡层的介绍也不会停止。在后续的时间我们将穿插进行负载均衡层的新文章的发布,包括Nginx技术的再介绍、HaProxy、LVS新的使用场景等等。 这篇文章我们对前面的知识点进行总结,并有意进行一些扩展,以便于各位读者找到新的学习思路。 2、负载均衡层的核心思想 2-1、一致性哈希与Key的选取 我们详细介绍了一致性哈希算法。并且强调了一致性Hash算法是现代系统架构中的最关键算法之一,在分布式计算系统、分布式存储系统、数据分析等众多领域中广泛应用。针对我的博文,在负载均衡层、业务通信层、数据存储层都会有它的身影。 一致性算法的核心是: 使用对象的某一个属性(这个属性可以是服务器的IP地址、开放端口 还可以是用户名、某种加密串。凡是你可以想到的有散列意义的属性),算出一个整数,让其分布在0 至 2的32次方 范围内。 一台服务器的某个或者某一些属性当然也可以进行hash计算,并且根据计算分布在这个圆...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS关闭SELinux安全模块
- CentOS8安装Docker,最新的服务器搭配容器使用
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7