nginx安全配置小技巧

1.版本:应该从nginx官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。nginx官网下载地址为:http://nginx.org/en/download.html

2.消除目录浏览漏洞:nginx默认不允许目录浏览,请检查目录浏览的相关配置,确保没有目录浏览漏洞:检查各个配置文件,确保autoindex的配置为off。

autoindex off

3.开启访问日志:开启日志有助于在发生安全事件后回溯分析事件的原因和定位攻击者。默认情况下,nginx已经开启日志访问功能。

access_log /backup/nginx_logs/access.log combined;

4.目录安全配置:nginx应该严格保证用户上传文件的目录没有执行脚本的权限,如取消upload目录执行php权限可以在配置文件中设置:

location ~* ^/upload/ .*\.(php|php5)$ { deny all; }

5.管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,nginx限制白名单ip访问的配置日下:

location ~ ^/admin/ {allow 192.168.1.0/24;deny all;}

管理目录建议启用密码认证,密码认证依靠Web应用自身的认证机制。如果Web应用无认证机制,可启用nginx的密码认证机制,配置样例如下:

location ^~ /soft/ { location ~ .*\.(php|php5)?$ { fastcgi_pass unix:/tmp/php-cgi.sock;#这里按照你自己的设置 fastcgi_index index.php; include fcgi.conf; }auth_basic "Authorized users only";auth_basic_user_file 这里写前面脚本返回的文件路径;}

6.删除默认页面:删除nginx默认首页index.html,业务可以自行创建默认首页代替之。Nginx存在默认目录:

删除如下配置信息。

location /doc { root /usr/share; autoindex on; allow 127.0.0.1; deny all; } location /images { root /usr/share; autoindex off; }

删除首页index.html后,新建其他首页内容不允许出现如下首页内容:

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2014-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小樱的经验随笔

Redis未授权访问漏洞的利用及防护

Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略,比如添加防火墙规则、避免其他非信任来源IP访问等,这样会使Redis服务完...

693
来自专栏码神联盟

Nginx | Java工程师必备课 之 Linux下安装Nginx

1453
来自专栏应用案例

Linux常用软件安装总结

首先说xshell一个好用的功能,如果你同时要管理几台一样的服务器组成的集群,一台一台操作很麻烦,可以使用xshell菜单栏——工具——勾选发送键输入到所有会话...

1987
来自专栏龙渊阁测试精英

Docker基础操作

   Docker是一个虚拟环境容器,可以将你的环境、代码、配置文件等一并打包到这个容器中,并发布和应用到任意平台中。比如,你在本地部署了git,jenkins...

783
来自专栏FreeBuf

PHPcms9.6.0 最新版任意文件上传漏洞(直接getshell)

对于PHPcms9.6.0 最新版漏洞,具体利用步骤如下: 首先我们在本地搭建一个php环境,我这里是appserv(只要可以执行php文件就行) ? 在根目录...

1929
来自专栏difcareer的技术笔记

使用Gradle的com.android.library插件构建aar的几个神坑

使用apply plugin: 'com.android.library'方式,可以将so,res,classes.jar,AndroidManifest.xm...

521
来自专栏北京马哥教育

Kickstart+PXE自动部署CentOS6.6

生产环境中对于部署大量的相同系统的服务器,如果逐台安装操作系统的话是非常浪费时间的工作,还好CentOS提供了无人值守安装系统的功能,下面就详细介绍一下配置步骤...

2384
来自专栏Spring相关

Git ssh 配置及使用

前言:前几天在写博客 手把手教你用Hexo + github 搭建自己博客的时候,经常需要用到一些git操作,截了好多图,于是就想干脆整理成一系列的git 教程...

522
来自专栏杂烩

hadoop集群配置之hadoop安装部署 原

需要先对linux系统做一些优化,编辑/etc/security/limits.conf 

675
来自专栏运维小白

2.15 更改所有者和所属组chown

chown命令 chown介绍和例子 chown等于change owner 更改文件的所有者和所属组 [root@hf-01 ~]# ls...

1837

扫码关注云+社区