建议开启防火墙、禁用默认站点、设置强密码、限制访问权限、定期更新软件。
Nginx服务器安全配置建议
| 序号 | 安全配置项 | 详细描述 |
| 1 | 禁用不必要的模块 | 安装Nginx时,它会默认包含许多模块,为了减少潜在的攻击面,应禁用任何不需要的模块,可以通过重新编译Nginx来禁用http_autoindex_module。 |
| 2 | 隐藏版本号 | 默认情况下,Nginx会在错误页面中显示其版本号,这可能会被恶意用户利用来查找漏洞,通过在nginx.conf文件中添加server_tokens off;来隐藏版本信息。 |
| 3 | 控制缓冲区大小 | 为了防止DoS攻击,可以为所有客户端设置请求主体和标头的缓冲区大小限制,将client_body_buffer_size设为1k,client_header_buffer_size设为1k。 |
| 4 | 禁用不需要的HTTP方法 | 只允许必要的HTTP方法,如GET、HEAD和POST,禁止其他方法如DELETE和TRACE,这可以通过在location块中添加limit_except GET HEAD POST { deny all; }实现。 |
| 5 | 监控访问日志和错误日志 | 持续监控Nginx的访问日志和错误日志,以了解服务器的访问情况和潜在攻击尝试,可以使用工具如logrotate来管理日志文件。 |
| 6 | 配置HTTP Strict Transport Security (HSTS) | 通过添加add_header StrictTransportSecurity "maxage=31536000; includeSubdomains; preload";到server配置块中,强制客户端使用HTTPS连接。 |
| 7 | 启用内容安全策略(CSP) | 通过添加add_header ContentSecurityPolicy "defaultsrc 'self' http: https: data: blob: 'unsafeinline';"到server配置块中,防止跨站脚本攻击(XSS)。 |
| 8 | 锁定Nginx账号 | 确保Nginx服务使用的账号被锁定,以减少被攻击的概率,可以使用passwd l命令来锁定账号。 |
| 9 | 修改Nginx启动账号 | 将Nginx服务的启动账号从root更改为非特权用户,如nginx或nobody,以降低权限提升的风险,在nginx.conf中配置user nginx;。 |
| 10 | 隐藏后端服务Header信息 | 在配置文件中添加proxy_hide_header XPoweredBy;和proxy_hide_header Server;来隐藏后端服务的信息。 |
| 11 | 防范任意文件读取 | 确保配置文件中的location路径以斜杠结尾,以防止目录穿越攻击,将location /path改为location /path/。 |
| 12 | SSL/TLS协议配置 | 使用TLSv1.2或更高版本的加密协议,并禁用不安全的协议和弱加密套件,在server配置块中添加ssl_protocols TLSv1.2 TLSv1.3;等指令。 |
FAQs
Q1:为什么需要隐藏Nginx的版本号?
A1:隐藏Nginx的版本号可以防止攻击者获取有关服务器软件的具体信息,从而降低针对已知漏洞的攻击风险。
Q2:如何锁定Nginx服务的启动账号?
A2:可以通过以下命令锁定Nginx服务的启动账号:
passwd l <username>
其中<username>是Nginx服务的启动账号,如nginx或nobody,锁定后,可以使用passwd S <username>检查锁定状态。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1100695.html
