nginx安全配置小技巧

1.版本:应该从nginx官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。nginx官网下载地址为:http://nginx.org/en/download.html

2.消除目录浏览漏洞:nginx默认不允许目录浏览,请检查目录浏览的相关配置,确保没有目录浏览漏洞:检查各个配置文件,确保autoindex的配置为off。

autoindex off

3.开启访问日志:开启日志有助于在发生安全事件后回溯分析事件的原因和定位攻击者。默认情况下,nginx已经开启日志访问功能。

access_log /backup/nginx_logs/access.log combined;

4.目录安全配置:nginx应该严格保证用户上传文件的目录没有执行脚本的权限,如取消upload目录执行php权限可以在配置文件中设置:

location ~* ^/upload/ .*\.(php|php5)$ { deny all; }

5.管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,nginx限制白名单ip访问的配置日下:

location ~ ^/admin/ {allow 192.168.1.0/24;deny all;}

管理目录建议启用密码认证,密码认证依靠Web应用自身的认证机制。如果Web应用无认证机制,可启用nginx的密码认证机制,配置样例如下:

location ^~ /soft/ { location ~ .*\.(php|php5)?$ { fastcgi_pass unix:/tmp/php-cgi.sock;#这里按照你自己的设置 fastcgi_index index.php; include fcgi.conf; }auth_basic "Authorized users only";auth_basic_user_file 这里写前面脚本返回的文件路径;}

6.删除默认页面:删除nginx默认首页index.html,业务可以自行创建默认首页代替之。Nginx存在默认目录:

删除如下配置信息。

location /doc { root /usr/share; autoindex on; allow 127.0.0.1; deny all; } location /images { root /usr/share; autoindex off; }

删除首页index.html后,新建其他首页内容不允许出现如下首页内容:

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2014-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python小屋

Python实现本机网络流量监视器

本文要点在于Python扩展库psutil提供的方法net_io_counters()可以查看本机网络收发包和流量情况,稍加封装就可以实现流量监视器。 impo...

3316
来自专栏黑泽君的专栏

Java中不同包下类与类之间的访问

Java中不同包下类与类之间的访问 (1)我们多次使用一个带包的类,都需要加包的全路径,非常的麻烦,这个时候,Java就提供了导包的功能,提供了一个关键字im...

1192
来自专栏菩提树下的杨过

使用GoogleAPI加载各种js框架

很多人(包括我)都喜欢把主流的javascript框架(比如jQuery),放到自己服务器上,其实还有更好的选择。 http://code.google.com...

17310
来自专栏python3

nginx拒绝某个ip访问

804
来自专栏carven

cors跨域探讨

前端跨域方案很多,jsonp、iframe等等,但是个人觉得,最正宗,最无损的跨域方式还是CORS。 CORS(Cross-origin resource sh...

1360
来自专栏hbbliyong

nginx静态资源文件无法访问,403 forbidden错误

在安装 nginx 服务器后,我想把网站的根目录设置为 /root/www/ ,于是对 nginx 的 nginx.conf 文件进行配置 先打开 nginx....

5566
来自专栏Laoqi's Linux运维专列

rsync 服务方式连接

rsync扩展 : 通过后台服务的方式: 在远程主机上建立一个rsync服务器,将本机作为rsync的客户端。(通常的表现方式为在后面添加 :: ) rsync...

36910
来自专栏左瞅瞅,右瞅瞅

网络文件系统——NFS

NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享...

972
来自专栏技术记录

解决openssh漏洞,升级openssh版本

关于解决漏洞的问题我就不详说了,主要就是升级版本。这里我们就直接简单记录下步骤: 1、升级 使用root用户登录系统进入到/home/guankong ,上传o...

2988
来自专栏FreeBuf

使用Xenotix_XSS框架进行自动化安全测试

作者 0xExploit 本文简单的介绍Xenotix_XSS框架常用的xss测试自动测试工具,可以用于对页面进行自动安全扫描。 配置服务器: 点击“setti...

19010

扫码关注云+社区