专栏首页一日一工具带你2分钟实现安全评级A+的nginx配置动态生成

带你2分钟实现安全评级A+的nginx配置动态生成

带你2分钟实现安全评级A+的nginx配置动态生成

事情呢要从上面这个图片说起,配置好https之后,兴奋的用Qualys SSL Labs扫描下,嘿呀,看到上面的图片,安全等级竟然是F, 心里拔凉拔凉的,难道是姿势不对么,还是因为没有认真阅读官方文档,今天给大家讲下如何配置nginx实现SSL/TLS安全评估达到`A+``。

评分级别

PS: 这是一个多方面综合的评级,这个评分不单单是针对证书, 还涉及到SSL协议、加密套件、漏洞、不安全的外链, (上面图片和这句话摘自myssl[1])

nginx配置生成

nginxconfig.io

nginxconfig.io[2]

很多时候配置nginx的时候,可能是因为时间,可能是因为精力等问题,上来就cc, cv操作,到最后发现里面有很多坑的时候再去扒官方文档,然后一把辛酸泪。。。。

其实你跟高手之间只是缺少一个nginxconfig.io, 使用nginxconfig.io可以傻瓜式的生成所需的配置文件,需要注意的是,nginxconfig.io生成的配置文件拆分的比较细,可能很多公司使用nginx配置的时候是是all in one或者是把proxyupstream拆分开来,具体看使用的场景吧

ssl-config.mozilla.org

如果你依旧嫌弃nginxconfig.io麻烦,那就使用ssl-config.mozilla.org, 足够简单粗暴

配置之后应该怎么办

配置好之后需要校验下配置的好与坏,俗话说:"是骡子是马,拉出来溜溜",这个时候需要祭出前面我们提到的Qualys SSL Labs来一发,看看真实情况如何

Qualys SSL Labs[3]

相关站点和文档

nginxconfig.io[4]

Qualys SSL Labs[5]

ssl-config.mozilla.org[6]

nginx-demo[7]

总结

虽然说起来nginx配置并不复杂,但是也没有想象中的那么简单,一个小小的错误,就有可能引起无限大的故障,安全无小事,配置需谨慎。

引用链接

[1] myssl: https://blog.myssl.com/https-security-compatibility-best-practices/#a [2] nginxconfig.io: https://www.digitalocean.com/community/tools/nginx [3] Qualys SSL Labs: https://www.ssllabs.com/ssltest [4] nginxconfig.io: https://www.digitalocean.com/community/tools/nginx [5] Qualys SSL Labs: https://www.ssllabs.com/ssltest [6] ssl-config.mozilla.org: https://ssl-config.mozilla.org/ [7] nginx-demo: https://www.nginx.com/resources/wiki/start/topics/examples/full/

本文分享自微信公众号 - 追马Linux(zhuima_k8s),作者:追马

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-06-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【腾讯云的1001种玩法】征文活动

    腾讯云技术社区「腾云阁」上线以来得到了广大程序员们的支持,为了吸引更多的开发者入驻,现再次举办【腾讯云的1001种玩法】征文活动。只要是与「腾讯云」相关的干货原...

    云加社区
  • 搭建高性能的私有 Composer 镜像服务

    本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议,欢迎转载、或重新修改使用,但需要注明来源。 署名 4.0 国际 (CC BY 4.0)

    soulteary
  • 红队必备技能之隐蔽的技巧

    (1)平时在做安全测试时,相信很多小伙伴在建立Cobalt Strike服务端时都是直接使用IP地址后进行直连。之前也爆出过Cobalt Strike“空格”特...

    小生观察室
  • 亿级流量网站架构核心技术【笔记】(一)

    3.在有限资源的情况下,一定是先解决当下最核心的问题,预测并发现未来可能出现的问题,一步步解决最痛点的问题,即满足需求的系统是不断迭代优化出来的 A.高并发原...

    硬核项目经理
  • 使用 Docker 和 Nginx 打造高性能二维码服务(二)

    三年前我曾写过一篇《使用 Docker 和 Nginx 打造高性能的二维码服务》,时过境迁,容器软件、基础系统、Nginx、QRCode 依赖库都经历了版本升级...

    soulteary
  • 监控命令之tsar

      tsar是淘宝自己开发的一个采集工具(类似于sar工具),主要用来收集服务器的系统信息(如cpu,io,mem,tcp等),以及应用数据(如squid ha...

    惨绿少年
  • Nginx如何制作缓存\镜像服务器?

    为了让所有地区用户(不分国别)都能够很快的访问香港云服务器搭建的网站,所以可以考虑使用CDN加速,即缓存服务器。例如,我在湖北有一台缓存服务器,第一次向...

    文科生的python自学之路
  • 十面阿里,七面头条

    先解释一下十面阿里,总共分为阿里云四面,蚂蚁两面,菜鸟四面;七面头条分为金融三面,抖音一面,效率工程三面;六个Offer分别是阿里、腾讯、头条、华为、蘑菇街、三...

    好好学java
  • Nginx 入门到实战

    Nginx是一个开源且高性能、可靠的HTTP中间件、代理服务 其他的HTTP服务:

    芋道源码
  • 使用 Docker 和 Nginx 打造高性能二维码服务(二)

    三年前我曾写过一篇《使用 Docker 和 Nginx 打造高性能的二维码服务》,时过境迁,容器软件、基础系统、Nginx、QRCode 依赖库都经历了版本升级...

    soulteary
  • 双非末流一本面霸,十面阿里,七面头条,4个月斩获六个Offer!

    从二月份看到阿里云的招聘贴就投了,那是我最早投递的公司,当时也没什么经验,导致表现得很糟糕,最后四面跪,当时伤心到谷底,幸好跪得比较早,跪了之后简历被释放掉,还...

    Java架构技术
  • 零基础到精通Linux,从这篇文章开始

    正好在最近,看到了一篇不错的资料,其中对于Linux入门学习的描述极其详尽,因此特别摘抄其中段落,制作成思维导图分享给大家。

    马哥教育
  • 零基础到精通Linux,从这篇文章开始

    正好在最近,看到了一篇不错的资料,其中对于Linux入门学习的描述极其详尽,因此特别摘抄其中段落,制作成思维导图分享给大家。

    马哥linux运维
  • Nginx开启fastcgi_cache缓存加速,支持html伪静态页面

    张戈博客不久前分享过 Nginx 开启缓存为 WordPress 加速的教程,其中分享了 2 种缓存模式:代理模式和本地模式。我一直以为单个 ngx_cache...

    张戈
  • 实战 | Nginx+keepalived 实现高可用集群

    今天通过两个实战案例,带大家理解Nginx+keepalived 如何实现高可用集群,在学习新知识之前您可以选择性复习之前的知识点:

    开源Linux
  • 【腾讯云的1001种玩法】征文活动获奖名单公布

    腾讯云技术社区「腾云阁」举办【腾讯云的1001种玩法】征文活动吸引了大量程序员们入驻社区。活动期间,一共征集到来自 42 位作者的 83 篇征文。经过评委老师从...

    云加社区
  • 系统架构设计:平滑发布和ABTesting

    单位的云办公相关系统没有成熟的平滑发布方案,导致每一次发布都是直接发布,dll文件或配置文件的变更会引起站点的重启。

    zhisheng
  • 009.Nginx缓存及配置

    缓存对于Web至关重要,尤其对于大型高负载Web站点。Nginx缓存可作为性能优化的一个重要手段,可以极大减轻后端服务器的负载。通常对于静态资源,即较少经常更新...

    木二
  • 使用Kubespray部署生产可用的Kubernetes集群(1.11.2)

    Kubernetes的安装部署是难中之难,每个版本安装方式都略有区别。笔者一直想找一种 支持多平台 、 相对简单 、 适用于生产环境 的部署方案。经过一段时间的...

    用户1516716

扫码关注云+社区

领取腾讯云代金券