自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

<cite id="hlxbx"></cite><sub id="hlxbx"></sub>

AI.x社區(qū)

軟考社區(qū)

免費(fèi)課

企業(yè)培訓(xùn)

鴻蒙開發(fā)者社區(qū)

WOT技術(shù)大會

公眾號矩陣

移動(dòng)端

視頻課免費(fèi)課排行榜短視頻直播課軟考學(xué)堂

全部課程軟考華為認(rèn)證廠商認(rèn)證 IT技術(shù)PMP項(xiàng)目管理免費(fèi)題庫

在線學(xué)習(xí)

文章資源問答課堂專欄直播

51CTO

鴻蒙開發(fā)者社區(qū)

51CTO技術(shù)棧

51CTO官微

51CTO學(xué)堂

51CTO博客

CTO訓(xùn)練營

鴻蒙開發(fā)者社區(qū)訂閱號

51CTO軟考

51CTO學(xué)堂APP

51CTO學(xué)堂企業(yè)版APP

鴻蒙開發(fā)者社區(qū)視頻號

51CTO軟考題庫

賬號設(shè)置退出

20個(gè)Nginx Web服務(wù)器最佳安全實(shí)踐

原創(chuàng)

作者：黃永兵編譯 2010-03-12 10:48:03

安全黑客攻防

本文的主要目是介紹如何提高運(yùn)行在Linux或UNIX類操作系統(tǒng)上的Nginx Web服務(wù)器的安全性。

【51CTO.com精選譯文】20個(gè)Nginx Web服務(wù)器最佳安全實(shí)踐

Nginx是一個(gè)輕量級，高性能的Web服務(wù)器/反向代理和電子郵件代理（IMAP/POP3），它可以運(yùn)行在UNIX，GNU/Linux，BSD變種，MAC OS X，Solaris和Microsoft Windows上。根據(jù)Netcraft的調(diào)查數(shù)據(jù)顯示，互聯(lián)網(wǎng)上6%的域名都使用了Nginx Web服務(wù)器。Nginx是解決C10K問題的服務(wù)器之一，與傳統(tǒng)服務(wù)器不一樣，Nginx不依賴于線程處理請求，相反，它使用了一個(gè)更具擴(kuò)展性的事件驅(qū)動(dòng)（異步）架構(gòu)。Nginx在很多高流量網(wǎng)站上得到了應(yīng)用，如WordPress，Hulu，Github和SourceForge。

本文的主要目是介紹如何提高運(yùn)行在Linux或UNIX類操作系統(tǒng)上的Nginx Web服務(wù)器的安全性。

Nginx默認(rèn)配置文件和默認(rèn)端口

◆ /usr/local/nginx/conf/ - Nginx服務(wù)器配置目錄，/usr/local/nginx/conf/nginx.conf 是主配置文件

◆ /usr/local/nginx/html/ - 默認(rèn)文檔位置

◆ /usr/local/nginx/logs/ - 默認(rèn)日志文件位置

◆ Nginx HTTP默認(rèn)端口：TCP 80

◆ Nginx HTTPS默認(rèn)端口：TCP 443

可以使用下面的命令測試Nginx的配置是否正確：

# /usr/local/nginx/sbin/nginx –t

輸出示例：

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

configuration file /usr/local/nginx/conf/nginx.conf test is successful

要讓修改后的配置生效，執(zhí)行下面的命令：

# /usr/local/nginx/sbin/nginx -s reload

如果要停止服務(wù)器，運(yùn)行：

# /usr/local/nginx/sbin/nginx -s stop

1、開啟SELinux

SELinux（安全增強(qiáng)的Linux）是一個(gè)Linux內(nèi)核功能，它提供了一個(gè)機(jī)制支持訪問控制安全策略，提供了巨大的安全保護(hù)能力，它可以防止大多數(shù)系統(tǒng)root級攻擊，請參考“如何在CentOS/Red Hat系統(tǒng)上開啟SELinux”（http://www.cyberciti.biz/faq/rhel-fedora-redhat-selinux-protection/）。

運(yùn)行g(shù)etsebool –a命令查看SELinux設(shè)置項(xiàng)：

getsebool -a | less

getsebool -a | grep off

getsebool -a | grep o

然后使用setsebool命令開啟需要的配置項(xiàng)，注意：開啟SELinux后，在RHEL或CentOS上通常會增加2-8%的系統(tǒng)開銷。

2、通過mount參數(shù)提供最低權(quán)限

為你的/html/php文件創(chuàng)建獨(dú)立的分區(qū)，例如，創(chuàng)建一個(gè)/dev/sda5分區(qū)掛載在/ngnix上，確定/ngnix使用了noexec，nodev和nosetuid權(quán)限掛載。下面是我的一個(gè)掛載實(shí)例：

LABEL=/nginx

/nginx

ext3

defaults,nosuid,noexec,nodev 1 2

注意你需要使用fdisk和mkfs.ext3命令創(chuàng)建一個(gè)新分區(qū)。

3、通過/etc/sysctl.conf加固

可以通過/etc/sysctl.conf控制和配置Linux內(nèi)核及網(wǎng)絡(luò)設(shè)置。

另外，請參考：

# 避免放大攻擊

net.ipv4.icmp_echo_ignore_broadcasts = 1

# 開啟惡意icmp錯(cuò)誤消息保護(hù)

net.ipv4.icmp_ignore_bogus_error_responses = 1

# 開啟SYN洪水攻擊保護(hù)

net.ipv4.tcp_syncookies = 1

# 開啟并記錄欺騙，源路由和重定向包

net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.log_martians = 1

# 處理無源路由的包

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0
 
# 開啟反向路徑過濾

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

# 確保無人能修改路由表

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

# 不充當(dāng)路由器

net.ipv4.ip_forward = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

# 開啟execshild

kernel.exec-shield = 1

kernel.randomize_va_space = 1

# IPv6設(shè)置

net.ipv6.conf.default.router_solicitations = 0

net.ipv6.conf.default.accept_ra_rtr_pref = 0

net.ipv6.conf.default.accept_ra_pinfo = 0

net.ipv6.conf.default.accept_ra_defrtr = 0

net.ipv6.conf.default.autoconf = 0

net.ipv6.conf.default.dad_transmits = 0

net.ipv6.conf.default.max_addresses = 1

# 優(yōu)化LB使用的端口

# 增加系統(tǒng)文件描述符限制

fs.file-max = 65535

# 允許更多的PIDs (減少滾動(dòng)翻轉(zhuǎn)問題); may break some programs 32768

kernel.pid_max = 65536

# 增加系統(tǒng)IP端口限制

net.ipv4.ip_local_port_range = 2000 65000

# 增加TCP最大緩沖區(qū)大小

net.ipv4.tcp_rmem = 4096 87380 8388608

net.ipv4.tcp_wmem = 4096 87380 8388608

# 增加Linux自動(dòng)調(diào)整TCP緩沖區(qū)限制

# 最小，默認(rèn)和最大可使用的字節(jié)數(shù)

# 最大值不低于4MB，如果你使用非常高的BDP路徑可以設(shè)置得更高

# Tcp窗口等

net.core.rmem_max = 8388608

net.core.wmem_max = 8388608

net.core.netdev_max_backlog = 5000

net.ipv4.tcp_window_scaling = 1

◆ Linux VM調(diào)優(yōu)（內(nèi)存）子系統(tǒng)（http://www.cyberciti.biz/faq/linux-kernel-tuning-virtual-memory-subsystem/）

◆ Linux網(wǎng)絡(luò)堆棧調(diào)優(yōu)（緩沖區(qū)大?。┨岣呔W(wǎng)絡(luò)性能（http://www.cyberciti.biz/faq/linux-tcp-tuning/）#p#

4、移除所有不需要的Nginx模塊

你需要最大限度地將Nginx加載的模塊最小化，我的意思是滿足Web服務(wù)器需要就可以了，多余的模塊一個(gè)不留，例如，禁用SSI和autoindex模塊的命令如下：

# ./configure --without-http_autoindex_module --without-http_ssi_module

# make

# make install

在編譯Nginx服務(wù)器時(shí)，使用下面的命令查看哪些模塊應(yīng)該啟用，哪些模塊應(yīng)該禁用：

# ./configure --help | less

禁用你不需要的Nginx模塊。

修改Nginx版本頭信息（可選），編輯src/http/ngx_http_header_filter_module.c：

# vi +48 src/http/ngx_http_header_filter_module.c

找到下面兩行：

static char ngx_http_server_string[] = "Server: nginx" CRLF;

static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

將其修改為：

static char ngx_http_server_string[] = "Server: Ninja Web Server" CRLF;

static char ngx_http_server_full_string[] = "Server: Ninja Web Server" CRLF;

保存并關(guān)閉文件?，F(xiàn)在可以開始編譯服務(wù)器了，將下面的配置代碼添加到nginx.conf中，禁止在所有自動(dòng)產(chǎn)生的錯(cuò)誤頁面中顯示Nginx版本號：

server_tokens off

5、使用mod_security（僅適用于后端Apache服務(wù)器）

Mod_security為Apache提供了一個(gè)應(yīng)用程序級防火墻，為所有后端Apache Web服務(wù)器安裝mod_security模塊，可以阻止許多注入攻擊。#p#

6、配置SELinux策略加固N(yùn)ginx

默認(rèn)情況下，SELinux沒有保護(hù)Nginx Web服務(wù)器，可以手動(dòng)配置進(jìn)行保護(hù)，首先安裝SELinux編譯時(shí)需要的支持包：

# yum -y install selinux-policy-targeted selinux-policy-devel

從項(xiàng)目主頁（http://sourceforge.net/projects/selinuxnginx/）下載SELinux策略：

# cd /opt

# wget 'http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.

gz?use_mirror=nchc'

解壓：

# tar -zxvf se-ngix_1_0_10.tar.gz

編譯：

# cd se-ngix_1_0_10/nginx

# make

輸出示例：

Compiling targeted nginx module

/usr/bin/checkmodule:  loading policy configuration from tmp/nginx.tmp

/usr/bin/checkmodule:  policy configuration loaded

/usr/bin/checkmodule:  writing binary representation (version 6) to tmp/nginx.mod

Creating targeted nginx.pp policy package

rm tmp/nginx.mod.fc tmp/nginx.mod

安裝生成的nginx.pp SELinux模塊：

# /usr/sbin/semodule -i nginx.pp

#p#

7、通過iptables防火墻設(shè)置限制

下面的防火墻腳本可以阻止一切請求，只允許：

◆ 入站HTTP請求（TCP 80端口）

◆ 入站ICMP ping請求

◆ 出站NTP請求（端口123）

◆ 出站SMTP請求（TCP端口25）

#!/bin/bash

IPT="/sbin/iptables"

#### IPS ######

# 獲得服務(wù)器公共IP

SERVER_IP=$(ifconfig eth0 | grep 'inet addr:' | awk -F'inet addr:' '{ print $2}' | awk '{ print $1}')

LB1_IP="204.54.1.1"

LB2_IP="204.54.1.2"

# 實(shí)現(xiàn)某些智能邏輯，以便我們可以在LB2上使用damm腳本

OTHER_LB=""

SERVER_IP=""

[[ "$SERVER_IP" == "$LB1_IP" ]] && OTHER_LB="$LB2_IP" || OTHER_LB="$LB1_IP"

[[ "$OTHER_LB" == "$LB2_IP" ]] && OPP_LB="$LB1_IP" || OPP_LB="$LB2_IP"

### IPs ###

PUB_SSH_ONLY="122.xx.yy.zz/29" #### 文件 #####

BLOCKED_IP_TDB=/root/.fw/blocked.ip.txt

SPOOFIP="127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 169.254.0.0/16 0.0.0.0/8 240.0.0.0/4 255.255.255.255/32 168.254.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 192.0.2.0/24"

BADIPS=$( [[ -f ${BLOCKED_IP_TDB} ]] && egrep -v "^#|^$" ${BLOCKED_IP_TDB})

### 接口 ###

PUB_IF="eth0" # public interface

LO_IF="lo" # loopback

VPN_IF="eth1" # vpn / private net

### 啟動(dòng)防火墻 ###

echo "Setting LB1 $(hostname) Firewall..."

# 刪除和關(guān)閉一切

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

# 不受限制的lo訪問

$IPT -A INPUT -i ${LO_IF} -j ACCEPT

$IPT -A OUTPUT -o ${LO_IF} -j ACCEPT

# 不受限制的vpn/pnet訪問

$IPT -A INPUT -i ${VPN_IF} -j ACCEPT

$IPT -A OUTPUT -o ${VPN_IF} -j ACCEPT

# 刪除sync

$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP

# 刪除碎片

$IPT -A INPUT -i ${PUB_IF} -f -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL ALL -j DROP

# 刪除空包

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " NULL Packets "

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# 刪除XMAS

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " XMAS Packets "

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# 刪除FIN包掃描

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " Fin Packets Scan "

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -j DROP

$IPT -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# 記錄并放棄廣播/多播和無效數(shù)據(jù)包

$IPT -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j LOG --log-prefix " Broadcast "

$IPT -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j DROP

$IPT -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j LOG --log-prefix " Multicast "

$IPT -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j DROP

$IPT -A INPUT -i ${PUB_IF} -m state --state INVALID -j LOG --log-prefix " Invalid "

$IPT -A INPUT -i ${PUB_IF} -m state --state INVALID -j DROP

# 記錄和阻止欺騙IP

$IPT -N spooflist

for ipblock in $SPOOFIP

do

$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j LOG --log-prefix " SPOOF List Block "

$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j DROP

done

$IPT -I INPUT -j spooflist

$IPT -I OUTPUT -j spooflist

$IPT -I FORWARD -j spooflist

# 只允許從選定的公共IP使用SSH

for ip in ${PUB_SSH_ONLY}

do $IPT -A INPUT -i ${PUB_IF} -s ${ip} -p tcp -d ${SERVER_IP} --destination-port 22 -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -d ${ip} -p tcp -s ${SERVER_IP} --sport 22 -j ACCEPT

done

# 允許入站ICMP ping

$IPT -A INPUT -i ${PUB_IF} -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -m limit --limit 30/sec -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允許入站HTTP端口80

$IPT -A INPUT -i ${PUB_IF} -p tcp -s 0/0 --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -o ${PUB_IF} -p tcp --sport 80 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

# 允許出站NTP

$IPT -A OUTPUT -o ${PUB_IF} -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPT -A INPUT -i ${PUB_IF} -p udp --sport 123 -m state --state ESTABLISHED -j ACCEPT

# 允許出站SMTP

$IPT -A OUTPUT -o ${PUB_IF} -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPT -A INPUT -i ${PUB_IF} -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

### 在這里添加其他規(guī)則 ####

#######################

# 刪除并記錄其它數(shù)據(jù)包

$IPT -A INPUT -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " DEFAULT DROP "

$IPT -A INPUT -j DROP

exit 0

#p# 8、控制緩沖區(qū)溢出攻擊

編輯nginx.conf設(shè)置所有客戶端可用的緩沖區(qū)大小限制：

# vi /usr/local/nginx/conf/nginx.conf

具體設(shè)置如下：

## Start: Size Limits & Buffer Overflows ##  client_body_buffer_size  1K;
  
client_header_buffer_size 1k;  client_max_body_size 1k;  large_client_header_buffers 2 1k;

## END: Size Limits & Buffer Overflows ##

說明：

client_body_buffer_size 1k：默認(rèn)是8k或16k，指定客戶端請求主體緩沖區(qū)大小。

client_header_buffer_size 1k：指定來自客戶端請求頭的headerbuffer大小，對于大多數(shù)請求，1k的緩沖區(qū)大小已經(jīng)足夠，如果你自定義了消息頭或有更大的Cookie，你可以增加其大小。

client_max_body_size 1k：客戶端請求中可接受的主體最大大小，由請求頭中的Content-Length表示，如果大小大于給定的尺寸，客戶端將會收到一條“Request Entity Too Large（413）”的錯(cuò)誤，如果你要通過POST方法上傳文件，可以將該值設(shè)大一些。

large_client_header_buffers 2 1k：為客戶端請求中較大的消息頭指定的緩存最大數(shù)量和大小，默認(rèn)情況下，一個(gè)緩沖區(qū)的大小等于頁面的大小，根據(jù)平臺的不同可能是4K或8K，如果在請求連接的末尾狀態(tài)轉(zhuǎn)換為保持活動(dòng)（keep-alive），這些緩沖區(qū)就被釋放，2x1K將可以接收2KB數(shù)據(jù)的URI，這樣有助于打擊機(jī)器人攻擊和DoS攻擊。

另外，你還需要控制超時(shí)時(shí)間，提高服務(wù)器性能，降低客戶端的等待時(shí)間，做如下修改：

## Start: Timeouts

##  client_body_timeout

10;  client_header_timeout 10;
  
keepalive_timeout

5 5;  send_timeout

10;

## End: Timeouts ##

client_body_timeout 10：設(shè)置客戶端請求主體讀取超時(shí)時(shí)間，如果在這個(gè)時(shí)間后客戶端還沒有發(fā)送任何數(shù)據(jù)，Nginx返回“Request time out（408）”錯(cuò)誤，默認(rèn)值是60。

client_header_timeout 10：設(shè)置客戶端請求頭讀取超時(shí)時(shí)間，如果在這個(gè)時(shí)間后客戶端還沒有發(fā)送任何數(shù)據(jù)，Nginx返回“Request time out（408）”錯(cuò)誤。

keepalive_timeout 5 5：第一個(gè)參數(shù)指定客戶端連接保持活動(dòng)的超時(shí)時(shí)間，在這個(gè)時(shí)間之后，服務(wù)器會關(guān)掉連接，第二個(gè)參數(shù)是可選的，它指定了消息頭保持活動(dòng)的有效時(shí)間，即響應(yīng)中的timeout=time，它可以告訴某些瀏覽器關(guān)閉連接，因此服務(wù)器就不必關(guān)閉連接了，如果沒有這個(gè)參數(shù)，Nginx不會發(fā)送Keep-Alive頭。

send_timeout 10：指定響應(yīng)客戶端的超時(shí)時(shí)間，這個(gè)超時(shí)僅限于兩個(gè)閱讀活動(dòng)之間的時(shí)間，如果這個(gè)時(shí)間后客戶端沒有任何活動(dòng)，Nginx將會關(guān)閉連接。#p#

9、控制并發(fā)連接

你可以使用NginxHttpLimitZone模塊限制指定會話，或某個(gè)IP的并發(fā)連接數(shù)，編輯nginx.conf：

### Directive describes the zone, in which the session states are stored i.e. store in slimits.

### 1m can handle 32000 sessions with 32 bytes/session, set to 5m x 32000 session ###
       
limit_zone slimits $binary_remote_addr 5m;
 
### Control maximum number of simultaneous connections for one session i.e. ###

### restricts the amount of connections from a single ip address ###

limit_conn slimits 5;

上述設(shè)置可以限制遠(yuǎn)程客戶端每IP地址不能超過5個(gè)同時(shí)打開的連接。

10、只允許訪問指定的域名

如果有機(jī)器人程序在隨機(jī)掃描所有域，那就阻止它訪問，你必須配置只允許虛擬域或反向代理請求。

## Only requests to our Host are allowed i.e. nixcraft.in, images.nixcraft.in and www.nixcraft.in

if ($host !~ ^(nixcraft.in|www.nixcraft.in|images.nixcraft.in)$ ) {

return 444;      }

##

11、限制可用的方法

GET和POST是互聯(lián)網(wǎng)上最常用的方法，RFC 2616定義了Web服務(wù)器可用的方法，如果一個(gè)Web服務(wù)器不要求實(shí)現(xiàn)所有方法，那些方法就應(yīng)該被禁止掉，下面的代碼將過濾所有方法，只允許GET，HEAD和POST方法：

## Only allow these request methods ##

if ($request_method !~ ^(GET|HEAD|POST)$ ) {

return 444;     }

## Do not accept DELETE, SEARCH and other methods ##

關(guān)于HTTP方法的更多信息：

GET方法用于請求文檔，如http://www.cyberciti.biz/index.php。

HEAD方法與GET相同，但服務(wù)器不會在響應(yīng)中只返回消息主體。

POST方法功能就多了，如通過表單存儲或更新數(shù)據(jù)，訂購一個(gè)產(chǎn)品，發(fā)送電子郵件等，通常使用服務(wù)器端腳本（如PHP，Perl，Python等）處理，如果你要上傳文件或在服務(wù)器上處理表單就必須用它。#p#

12a、如何阻止某些用戶代理（User-Agents）？

你可以輕松阻止用戶代理，如掃描器，機(jī)器人和垃圾郵件，它們可能會濫用你的服務(wù)器。

## Block download agents ##

if ($http_user_agent ~* LWP::Simple|BBBike|wget) {

return 403;     }

##

阻止msnbot和scrapbot機(jī)器人：

## Block some robots ##

if ($http_user_agent ~* msnbot|scrapbot) {

return 403;     }

12b、如何阻止被提名的垃圾郵件

被提名的垃圾郵件都很危險(xiǎn)，它們可能會損害你的SEO排名，可以使用下面的代碼阻止訪問垃圾郵件發(fā)送者：

## Deny certain Referers ###

if ( $http_referer ~* (babes|forsale|girl|jewelry|love|nudit|organic|poker|porn|sex|teen) )

# return 404;

return 403;     }

##

13、如何停止圖片熱鏈

圖片或HTML熱鏈?zhǔn)侵赣腥嗽谒麄兊木W(wǎng)站上引用了你網(wǎng)站的圖片，你必須為其它網(wǎng)站的流量支付貸款費(fèi)用，有點(diǎn)象是網(wǎng)站劫持，通常這種情況發(fā)生在博

客和論壇中，我強(qiáng)烈建議你在服務(wù)器級停止并阻止圖片熱鏈。

# Stop deep linking or hot linking

location /images/ {  valid_referers none blocked www.example.com example.com;

if ($invalid_referer) {

return   403;   }

}

例子：重寫并顯示禁令圖片：

valid_referers blocked www.example.com example.com;

if ($invalid_referer) { rewrite ^/images/uploads.*\.(gif|jpg|jpeg|png)$

http://www.examples.com/banned.jpg last

}

另外，請參考“How-to：使用Nginx映射阻止圖片熱鏈”（http://nginx.org/pipermail/nginx/2007-June/001082.html）。

14、目錄限制

你可以為特定目錄設(shè)置訪問控制，所有網(wǎng)頁目錄都應(yīng)配置為按需訪問。

通過IP地址限制訪問，你可以限制訪問/docs/目錄的IP地址：

location /docs/ {  ## block one workstation  deny    192.168.1.1;

## allow anyone in 192.168.1.0/24 allow 192.168.1.0/24;

## drop rest of the world deny all;

}

通過密碼保護(hù)目錄，首先創(chuàng)建一個(gè)密碼文件，再添加一個(gè)用戶vivek：

# mkdir /usr/local/nginx/conf/.htpasswd/

# htpasswd -c /usr/local/nginx/conf/.htpasswd/passwd vivek

編輯nginx.conf添加需要保護(hù)的目錄：

### Password Protect /personal-images/ and /delta/ directories ###

location ~ /(personal-images/.*|delta/.*) {  auth_basic  "Restricted";

auth_basic_user_file   /usr/local/nginx/conf/.htpasswd/passwd;

}

創(chuàng)建好密碼文件后，后面的用戶可以使用下面的命令進(jìn)行追加：

# htpasswd -s /usr/local/nginx/conf/.htpasswd/passwd userName

#p#15、Nginx SSL配置

HTTP是一個(gè)純文本協(xié)議，很容易被竊聽，你應(yīng)該使用SSL加密傳輸?shù)男畔ⅰ?/P>

首先需要?jiǎng)?chuàng)建一個(gè)SSL證書，輸入下面的命令：

# cd /usr/local/nginx/conf

# openssl genrsa -des3 -out server.key 1024

# openssl req -new -key server.key -out server.csr

# cp server.key server.key.org

# openssl rsa -in server.key.org -out server.key

# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

編輯nginx.conf，找到對應(yīng)位置，做如下修改：

server {

server_name example.com;

listen 443;

ssl on;

ssl_certificate /usr/local/nginx/conf/server.crt;

ssl_certificate_key /usr/local/nginx/conf/server.key;

access_log /usr/local/nginx/logs/ssl.access.log;

error_log /usr/local/nginx/logs/ssl.error.log;

重啟Nginx：

# /usr/local/nginx/sbin/nginx -s reload

另外，請參考Nginx SSL文檔（http://wiki.nginx.org/NginxHttpSslModule）。

16、Nginx和PHP安全技巧

PHP是流行的服務(wù)器端腳本語言，對/etc/php.ini做如下修改：

# 禁用危險(xiǎn)的函數(shù)

disable_functions = phpinfo, system, mail, exec

## 限制資源  ##

# 每個(gè)腳本的最大執(zhí)行時(shí)間，單位秒

max_execution_time = 30

# 每個(gè)腳本解析請求數(shù)據(jù)的最大時(shí)間

max_input_time = 60

# 每個(gè)腳本可以消耗的最大內(nèi)存（8MB）

memory_limit = 8M

# PHP要接收的POST數(shù)據(jù)最大大小

post_max_size = 8M

# 是否允許HTTP文件上傳

file_uploads = Off

# 允許上傳的最大文件大小

upload_max_filesize = 2M

# 不將PHP錯(cuò)誤消息暴露給外部用戶

display_errors = Off

# 啟用安全模式

safe_mode = On

# 只允許訪問隔離目錄中的可執(zhí)行文件

safe_mode_exec_dir = php-required-executables-path

# 限制外部訪問PHP資源

safe_mode_allowed_env_vars = PHP_

# 限制泄露PHP信息

expose_php = Off

# 記錄所有錯(cuò)誤

log_errors = On

# 不為輸入數(shù)據(jù)注冊全局

register_globals = Off

# 最小化允許的php post大小

post_max_size = 1K

# 確保PHP重定向正確

cgi.force_redirect = 0

# 禁止上傳，除非必要

file_uploads = Off

# 啟用SQL安全模式

sql.safe_mode = On

# 避免打開遠(yuǎn)程文件

allow_url_fopen = Off

另外，請參考“PHP安全：限制腳本使用的資源”（http://www.cyberciti.biz/faq/php-resources-limits/），“PHP.INI：禁用exec，shell_exec，system，popen和其它功能提高安全”（http://www.cyberciti.biz/faq/linux-unix-apache-lighttpd-phpini-disable-functions/）。

17、盡可能在Chroot Jail（容器）中運(yùn)行Nginx

將Nginx放入Chroot Jail可以最大限度地減少被攻擊的危險(xiǎn)，它將Web服務(wù)器隔離到文件系統(tǒng)的專用區(qū)域，注意你不能使用傳統(tǒng)的chroot方法設(shè)置Nginx，但你可以使用FreeBSD jails，Xen或OpenVZ虛擬化，它們也使用了容器的概念。#p#

18、在防火墻級限制每個(gè)IP的連接

Web服務(wù)器必須時(shí)刻關(guān)注連接和每秒的連接限制，pf和iptables都可以在訪問Nginx服務(wù)器之前卡住最終用戶。

Linux iptables：每秒卡住的Nginx連接

下面的例子表示如果某個(gè)IP在60秒嘗試連接到80端口的次數(shù)超過了15，iptables將會丟掉來自它的入站連接：

/sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set

/sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent

--update --seconds 60  --hitcount 15 -j DROP

service iptables save

BSD PF：每秒卡住的Nginx連接

編輯/etc/pf.conf，做如下更新，下面的命令限制了每個(gè)來源的最大連接數(shù)為100，15/5指定某時(shí)間跨度內(nèi)的連接數(shù)限制，這里就是5秒內(nèi)的最大連接數(shù)為

15，如果有人違背這條規(guī)則，將被加入到abusive_ips表，那么他以后就不能再連接了。最后刷新所有狀態(tài)。

ebserver_ip="202.54.1.1"

table  persist

block in quick from

pass in on $ext_if proto tcp to $webserver_ip port www flags S/SA keep state (max-src-conn 100,

max-src-conn-rate 15/5, overload  flush)

請根據(jù)你的需要和通信流量調(diào)整所有的值（瀏覽器可能會打開多個(gè)連接）。

另外，請參考“PF防火墻腳本示例”（http://bash.cyberciti.biz/firewall/pf-firewall-script/），“iptables防火墻腳本示例”（http://bash.cyberciti.biz/firewall/linux-iptables-firewall-shell-script-for-standalone-server/）。

19、配置操作系統(tǒng)保護(hù)Web服務(wù)器

除了開啟SELinux外，還要給/nginx目錄設(shè)置正確的權(quán)限，運(yùn)行Nginx的系統(tǒng)用戶名是nginx，但在DocumentRoot（/nginx或/usr/local/nginx/html）中的文件不應(yīng)該

屬于該用戶，他也不能進(jìn)行修改。使用下面的命令找出權(quán)限設(shè)置不當(dāng)?shù)奈募?/P>

# find /nginx -user nginx

# find /usr/local/nginx/html -user nginx

請確保將文件的所有者修改為root或其它用戶，一個(gè)典型的權(quán)限設(shè)置如下：

# ls -l /usr/local/nginx/html/

輸出示例：

-rw-r--r-- 1 root root 925 Jan  3 00:50 error4xx.html

-rw-r--r-- 1 root root  52 Jan  3 10:00 error5xx.html

-rw-r--r-- 1 root root 134 Jan  3 00:52 index.html

另外，你必須刪除由vi或其它文本編輯器創(chuàng)建的不必要的備份文件：

# find /nginx -name '.?*' -not -name .ht* -or -name '*~' -or -name '*.bak*' -or -name '*.old*'

# find /usr/local/nginx/html/ -name '.?*' -not -name .ht* -or -name '*~'

-or -name '*.bak*' -or -name '*.old*'

給find命令傳遞-delete參數(shù)，它就會自動(dòng)刪除這些文件。

20、限制出站Nginx連接

攻擊者可能要在你的Web服務(wù)器上使用如wget等工具下載文件，使用iptables阻止來自Nginx用戶的出站連接，ipt_owner模塊可以匹配各種包創(chuàng)建者的特征，只有在OUTPUT鏈中的才有效，在這里，允許vivek用戶使用80端口連接外部資源（對RHN訪問或通過倉庫抓取CentOS更新特別有用）。

/sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp

--dport 80 -m state --state NEW,ESTABLISHED  -j ACCEPT

將上述規(guī)則添加到你的iptables基礎(chǔ)shell腳本中，不允許nginx Web服務(wù)器用戶連接外部資源。

附送技巧：觀察日志和審核

檢查日志文件，可以從中找到攻擊者的一些行蹤和攻擊手段。

# grep "/login.php??" /usr/local/nginx/logs/access_log

# grep "...etc/passwd" /usr/local/nginx/logs/access_log

# egrep -i "denied|error|warn" /usr/local/nginx/logs/error_log

Auditd服務(wù)提供了系統(tǒng)審核功能，啟動(dòng)SELinux事件，認(rèn)證事件，文件修改，帳戶修改等的審核服務(wù)，象往常一樣首先關(guān)閉所有服務(wù)，然后打開我在“Linux服務(wù)器加固”（http://www.cyberciti.biz/tips/linux-security.html）一文中指出的服務(wù)。

總結(jié)

通過這些設(shè)置，你的Nginx服務(wù)器就可以對外提供服務(wù)了，但你應(yīng)該根據(jù)應(yīng)用程序安全需要進(jìn)一步查看另外的資源。例如，WordPress或其它第三方程序都有其自身的安全要求。

原文：Top 20 Nginx WebServer Best Security Practices 作者：VIVEK GITE

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

Unix的Web服務(wù)器安全指南
高級Linux安全管理技巧

責(zé)任編輯：許鳳麗來源： 51CTO.com

Linux UNIX Web服務(wù)器安全

點(diǎn)贊

51CTO技術(shù)棧公眾號

業(yè)務(wù)
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學(xué)堂精培企業(yè)培訓(xùn) CTO訓(xùn)練營

<sub id="9sp5q"><p id="9sp5q"></p></sub><legend id="9sp5q"><track id="9sp5q"></track></legend>

<style id="9sp5q"></style>