一系列nginx安全配置

简介: 一、模块1.查看所有模块:[root@proxy nginx-1.12.2]# ./configure --help2.选择适合的模块:pcre:开启正则表达式支持http_autoindex_module:自动索引模块ssi_module:SSI 脚本http_ssl_module:ss...

一、模块

1.查看所有模块:

[root@proxy nginx-1.12.2]# ./configure --help

2.选择适合的模块:
pcre:开启正则表达式支持
http_autoindex_module:自动索引模块
ssi_module:SSI 脚本
http_ssl_module:ssl 支持 http 模块
http_v2_module:http_v2 协议
http_realip_module:获取客户端真实 ip
http_stub_status_module:查看服务器工作状态
http_charset_module:编码模块,例如 utf-8
http_gzip_module:压缩模块
http_auth_basic_module:用户认证
http_rewrite_module:地址重写模块
http_proxy_module:代理服务器模块
mail_pop3_module:邮件服务
mail_imap_module:邮件服务
mail_smtp_module:邮件服务
http_upstream_ip_hash_module:哈希轮询

[root@proxy nginx-1.12.2]# ./configure --without-http_autoindex_module # 禁止访问时文件索引列表
[root@proxy nginx-1.12.2]# make 
[root@proxy nginx-1.12.2]# make install

二、版本号隐藏

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http {
server_tokens off; 
...}

或者直接删除 CRLF 参数

三、隐藏软件信息(需要重编)

[root@proxy nginx-1.12.2]# vim src/http/ngx_http_header_filter_module.c
static u_char ngx_http_server_string[] = "Server: Jacob" CRLF; #简洁信息 
static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF; #完整信息 
static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;# 构造信息

四、重写40x.html和50x.html

自写页面,这边就不举例了

五、限制并发量

DDOS 攻击者会发送大量的并发连接,占用服务器资源,导致正常用户处于等待或 无法访问服务器的状态。
Nginx 默认安装模块中提供了一个 ngx_http_limit_req_module 模块,可以有效降 低 DDOS 攻击的风险。
语法格式如下:

limit_req_zone 关键字 zone=名字:容量 rate=接收请求速度。
$binary_remote_addr:系统内置变量,表示远程连接地址。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf 
http { 
...
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; 
  server { 
  ...
  limit_req zone=one burst=5; 
  ...
}

将客户端 IP 信息存储在名称为 one 的内存中,内存空间 10M,能存储 8 万个主机 连接状态,每秒仅接受 1 个请求,多余的放入漏斗,漏斗中的请求超过 5 个后则拒绝接下来的所有请求

六、拒绝非法的请求

HTTP 协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际 应用中一般仅用到 GET 和 POST:
GET:请求指定的页面信息,并返回实体主体
HEAD:类似于 GET,但是只返回报头
POST:提交数据并进行处理
DELETE:请求服务器删除指定页面
PUT:向服务器特定位置上传资料
[root@proxy ~]# curl -i -X GET http://192.168.4.5 #-i 显示头部信 息,-X 指定请求方法

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf 
server { 
...
if ($request_method !~ ^(GET|POST)$ ) {return 444;} #当访问类型不是 GET 和 POST 时,返回 444 错误 
}

七、防止缓存溢出

[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf 
http { 
client_body_buffer_size 8K; #主体缓存空间 
client_max_body_size 16k; #主体最大缓存 
client_header_buffer_size 1k; #默认请求包头信息的缓存 
large_client_header_buffers 4 4k; #大请求包头信息的缓存个数,每个 缓存的容量 
...}
相关文章
|
27天前
|
应用服务中间件 BI nginx
Nginx的location配置详解
【10月更文挑战第16天】Nginx的location配置详解
|
1月前
|
缓存 负载均衡 安全
Nginx常用基本配置总结:从入门到实战的全方位指南
Nginx常用基本配置总结:从入门到实战的全方位指南
256 0
|
1月前
|
应用服务中间件 Linux nginx
Jetson 环境安装(四):jetson nano配置ffmpeg和nginx(亲测)之编译错误汇总
这篇文章是关于在Jetson Nano上配置FFmpeg和Nginx时遇到的编译错误及其解决方案的汇总。
89 4
|
7天前
|
存储 负载均衡 中间件
Nginx反向代理配置详解,图文全面总结,建议收藏
Nginx 是大型架构必备中间件,也是大厂喜欢考察的内容,必知必会。本篇全面详解 Nginx 反向代理及配置,建议收藏。
Nginx反向代理配置详解,图文全面总结,建议收藏
|
19天前
|
应用服务中间件 API nginx
nginx配置反向代理404问题
【10月更文挑战第18天】本文介绍了使用Nginx进行反向代理的配置方法,解决了404错误、跨域问题和302重定向问题。关键配置包括代理路径、请求头设置、跨域头添加以及端口转发设置。通过调整`proxy_set_header`和添加必要的HTTP头,实现了稳定的服务代理和跨域访问。
nginx配置反向代理404问题
|
1月前
|
编解码 Ubuntu 应用服务中间件
Jetson 环境安装(三):jetson nano配置ffmpeg和nginx(亲测)
本文介绍了在NVIDIA Jetson Nano上配置FFmpeg和Nginx的步骤,包括安装、配置和自启动设置。
137 1
Jetson 环境安装(三):jetson nano配置ffmpeg和nginx(亲测)
|
24天前
|
缓存 负载均衡 应用服务中间件
Nginx配置
【10月更文挑战第22天】在实际配置 Nginx 时,需要根据具体的需求和环境进行调整和优化。同时,还需要注意配置文件的语法正确性和安全性。
40 7
|
1月前
|
前端开发 JavaScript 应用服务中间件
终极 Nginx 配置指南
本文介绍了Nginx的基本配置及其优化方法。首先,通过删除注释简化了Nginx的默认配置文件,使其更易于理解。接着,文章将Nginx配置文件分为全局块、events块和http块三部分进行详细解释。此外,还提供了如何快速上线网站、解决前端history模式404问题、配置反向代理、开启gzip压缩、设置维护页面、在同一IP上部署多个网站以及实现动静分离的具体配置示例。最后,附上了Nginx的基础命令,包括安装、启动、重启和关闭等操作。
|
1月前
|
负载均衡 应用服务中间件 nginx
Nginx的6大负载均衡策略及权重轮询手写配置
【10月更文挑战第9天】 Nginx是一款高性能的HTTP服务器和反向代理服务器,它在处理大量并发请求时表现出色。Nginx的负载均衡功能可以将请求分发到多个服务器,提高网站的吞吐量和可靠性。以下是Nginx支持的6大负载均衡策略:
148 7
|
1月前
|
缓存 前端开发 应用服务中间件
CORS跨域+Nginx配置、Apache配置
CORS跨域+Nginx配置、Apache配置
140 7