首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Nginx安全基线检查

Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf...| 身份鉴别 描述 1.执行系统命令passwd -S nginx来查看锁定状态 出现Password locked证明锁定成功 如:nginx LK … (Password locked.)或nginx...L … 2.默认符合,修改后才有(默认已符合) 3.执行系统命令passwd -l nginx进行锁定 加固建议 配置Nginx账号登录锁定策略: 1、Nginx服务建议使用非root用户(...2、可执行passwd -l 如passwd -l nginx 来锁定Nginx服务的启动用户。 3....或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 操作时建议做好记录或备份 针对Nginx SSL协议进行安全加固 | 服务配置 描述 Nginx SSL协议的加密策略进行加固

2.8K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Nginx实践--安全升级

    之前写了一些nginx的东西,这次继续,主要使用upstream针对proxy_pass转发做个处理 一般情况下我们在使用nginx反向代理的时候,都是如下配置, ... location /api...如果我们可以反向代理,如果别人也知道了我们的接口域名也不是可以自己搭一个nginx服务器就可以代理到我们的接口服务器上去???是不是感觉很危险,是的。。。...详细的配置内容还是建议大家参考Nginx upstream官方文档。 此外,除了安全性方面,使用内网ip进行接口转发也省去了转发中的DNS重新解析的过程,有利于大幅提升接口转发效率。...综上,在proxy_pass转发中我们使用了两种方案来对安全性做一些提升 proxy_pass转发到外网域名,同时在接口服务器上添加访问来源白名单,把nginx服务器的ip写进去 proxy_pass转发到内网域名...这样在安全和效率高上就都能得到一定的提升。 如有错误,欢迎大家指正 好好学习,天天向上~~

    99730

    Nginx安全的配置

    安全无小事,安全防范从nginx配置做起。...隐藏版本号http { server_tokens off;}经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。...MD5;}ssl on:开启https;ssl_certificate:配置nginx ssl证书的路径ssl_certificate_key:配置nginx ssl证书key的路径ssl_protocols...: 指定客户端建立连接时使用的ssl协议版本,如果不需要兼容TSLv1,直接去掉即可ssl_ciphers: 指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法;添加黑白名单白名单配置location...MIME-sniffing来猜测资源的响应类型,这是非常危险的例如一个.jpg的图片文件被恶意嵌入了可执行的js代码,在开启资源类型猜测的情况下,浏览器将执行嵌入的js代码,可能会有意想不到的后果另外还有几个关于请求头的安全配置需要注意

    1.3K10

    nginx安全配置小技巧

    nginx官网下载地址为:http://nginx.org/en/download.html 2.消除目录浏览漏洞:nginx默认不允许目录浏览,请检查目录浏览的相关配置,确保没有目录浏览漏洞:检查各个配置文件...autoindex off 3.开启访问日志:开启日志有助于在发生安全事件后回溯分析事件的原因和定位攻击者。默认情况下,nginx已经开启日志访问功能。...access_log /backup/nginx_logs/access.log combined; 4.目录安全配置:nginx应该严格保证用户上传文件的目录没有执行脚本的权限,如取消upload...(php|php5)$ { deny all; } 5.管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,nginx限制白名单ip访问的配置日下: location ~ ^...Nginx存在默认目录: ? 删除如下配置信息。

    1.6K40

    Nginx 配置文件安全分析

    简介 Gixy 是一个 Nginx 配置文件的分析工具,主要目标是防止由于不当的配置带来的安全问题 Gixy 是进行静态分析,只需要指定配置文件的路径,不需要启动任何环境 使用示例 配置文件 t.conf...v1/see%20below%0d%0ax-crlf-header:injected.json 这个请求可以匹配上面的 location,响应信息为: HTTP/1.1 200 OK Server: nginx...Gixy 可以对配置文件中 include 的其他文件也一起进行分析,例如主配置文件 nginx.conf 引入了其他的配置: include servers/*; 使用 gixy 分析 nginx.conf...Referer 验证中允许为空 (7)响应头中使用多行形式 安装 Gixy 发布在 PyPI 上,安装非常简单: pip install gixy 安装后就可以执行 gixy 命令 小结 Gixy 简单实用,我对安全方面了解不多...,用 gixy 检查一遍会感觉踏实很多,建议使用 Nginx 的朋友都试一下 Gixy 发布时间不长,但已经有了4千多个星,项目地址: https://github.com/yandex/gixy

    1.2K90

    Nginx系列:安全下载模块

    输出nginx所有已安装模块,检查是否有ngx_http_secure_link_module,因为这个模块没有默认编译,在编译Nginx时,必须使用明确的配置参数 --with-http_secure_link_module.../configure --prefix=/usr/local/nginx --user=nginx \ --group=nginx --with-http_secure_link_module \ -...-with-http_stub_status_module 执行mak编译nginx make make之后的操作需要注意,如果nginx第一次安装,直接执行make install即可 make install...如果单纯添加模块,不需要install,而是执行以下操作,将打过补丁的nginx二进制文件覆盖/usr/local/nginx/sbin/目录中的文件即可 #备份之前的nginx mv /usr/local.../nginx/sbin/nginx  /usr/local/nginx/sbin/nginx.bak #拷贝新的nginx到sbin目录 cp /nginx源码目录/objs/nginx /usr/

    85620

    初识Nginx性能安全优化

    其中Nginx的作用是将静态资源进行解析返回给用户;动态资源通过FastCGI接口发送给PHP引擎服务,PHP进行读库解析,并最终把Nginx服务把获取的数据返给用户。...方案一:配置Nginx gzip压缩提升性能 Nginx gzip压缩模块提供了压缩文件内容的功能,用户请求的内容在发送到客户端之前,Nginx服务器会根据一些具体的策略实施压缩,以节约网站出口带宽,同时加快数据传输效率...对应配置为nginx_http_limit_conn_module。...实际配置文件如下: [root@Nginx conf]# cat nginx.confworker_processes 4;events {worker_connections 20480;}http...所以当我们在做需求的时候,除了基本的“测试保障”,同时也需要了解架构实现细节,优化安全与效率性,切实测出一个可用、平稳、高效的线上产品。

    59310

    Nginx - 安全基线配置与操作指南

    概述 我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。...同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性 中间件安全基线配置手册 1....概述 1.1 目的 本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。...Nginx基线配置 2.1 版本说明 使用Nginx官方稳定版本,当前提供下列版本: Nginx 1.22.1 Nginx 1.24.0 2.2 安装目录 /opt/nginx-{version} 2.3...查看当前 Nginx 版本: nginx -v 官网下载最新的安全补丁:Nginx 下载。

    30000

    你的nginx登录认证安全吗?

    auth_basic作为一个认证模块,在apache和nginx中都很常用,在许多没有自带认证的系统中,使用nginx的auth_basic做一个简单的认证,是常见的操作 ?...httpd-tools包,主要用于生成用户及其密码加密文件 今天要说的问题就是htpasswd在生成密码时的一个问题 用htpasswd生成一个用户名密码对,存储在文件中,使用auth_basic调用认证,为了安全...这也就是为什么我上面最后一位输错了仍然可以进入web页面的原因,因为指认前8位,后面是什么无所谓,都可以认证通过 crypt加密后的密文为13位,前面两个就是上面函数定义中的salt代表的字符串 然后有人说明明SHA比MD5加密要安全性高...algorithm does not use a salt and is less secure than the MD5 algorithm”翻译一下就是,没有加salt的SHA算法,并没有MD5安全...salt在密码学中,叫做盐,是一个随机生成的字符串,在不加盐的哈希中,有一种破解方法就是彩虹表碰撞,原始密码通过加盐之后再进行散列,可以有效避免彩虹表攻击的暴力破解 安全的处理方法是,更新httpd-tools

    2.4K20

    确保nginx安全的10个技巧

    点击关注⬆️nginx⬆️,学习lnmp Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。...下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。 1. 在配置文件中小心使用"if" 它是重写模块的一部分,不应该在任何地方使用。...IfIsEvil:http://wiki.nginx.org/IfIsEvil 2. 将每个~ .php$请求转递给PHP 我们上周发布了这个流行指令的潜在安全漏洞介绍。...试着避免使用HTTP认证 HTTP认证默认使用crypt,它的哈希并不安全。如果你要用的话就用MD5(这也不是个好选择但负载方面比crypt好) 。 10....保持与最新的Nginx安全更新 转自:http://www.levigross.com/post/4488812448/10-tips-for-securing-nginx 个人觉得在防止DDOS攻击这方面

    67220

    史上最全的nginx安全访问控制配置

    1.准备工作 准备两台带有yum安装的nginx的虚拟机,一台作为代理服务器,一台作为真实服务器。...保存在内存共享区域的信息,意味着可以在Nginx的worker进程之间共享。定义分为两个部分:通过zone=keyword标识区域的名字,以及冒号后面跟区域大小。...-t [root@real-server ~]# nginx -s reload 创建目录和文件并写入测试数据 [root@real-server ~]# mkdir -p /usr/share/nginx...对于第二个请求,Nginx将给客户端返回错误。这可能并不是我们想要的结果,因为应用本质上趋向于突发性。相反地,我们希望缓冲任何超额的请求,然后及时地处理它们。...(即allow all在deny 192.168.13.129前面) [root@real-server ~]# nginx -s reload ? ?

    3.6K20

    Nginx安全有关的几个配置

    安全无小事,安全防范从nginx配置做起 上一篇文章《Nginx的几个常用配置和技巧》收到了不错的反馈,这里再总结下nginx配置中与安全有关的一些配置 隐藏版本号 http { server_tokens...off; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞 开启HTTPS server { listen 443...MD5; } ssl on: 开启https ssl_certificate: 配置nginx ssl证书的路径 ssl_certificate_key: 配置nginx ssl证书key的路径 ssl_protocols...: 指定客户端建立连接时使用的ssl协议版本,如果不需要兼容TSLv1,直接去掉即可 ssl_ciphers: 指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法 添加黑白名单 白名单配置...MIME-sniffing来猜测资源的响应类型,这是非常危险的 例如一个.jpg的图片文件被恶意嵌入了可执行的js代码,在开启资源类型猜测的情况下,浏览器将执行嵌入的js代码,可能会有意想不到的后果 另外还有几个关于请求头的安全配置需要注意

    1.4K21

    Nginx34】Nginx学习:安全链接、范围分片以及请求分流模块

    Nginx学习:安全链接、范围分片以及请求分流模块 又迎来新的模块了,今天的内容不多,但我们都进行了详细的测试,所以可能看起来会多一点哦。...安全链接是实现请求 URL 的验证模块,通过签名密钥来判断请求是否可以返回相应的数据。范围分片一般用于分段下载,主要用于代理时请求后端的 Range 头的设置。...安全链接 安全链接模块 ngx_http_secure_link_module(0.7.18),可以用于检查请求链接的真实性,保护资源免受未经授权的访问,并限制链接寿命。...这里需要注意的是,它仅能对非根的的路径进行安全连接保护。比如下面这样就不行。... 总结 安全链接这个,是不是感觉有点意思啊,虽说大部分情况下我们会在动态语言中做接口签名,但静态资源有需要的时候完全也可以通过 Nginx 来实现嘛。

    45330
    领券