13、web 中间件加固-Nginx 加固
1.隐藏版本信息
避免被针对版本直接使用漏洞
修改 nginx.conf 文件
在 http 模块中添加信息:server_tokens off;
2.限制目录权限
某些目录为运维页面,不要公开访问
编辑 nginx.conf 文件
在 server 标签内添加内容:
location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
location ~ /(attachments|upload)/.*\.(php|php5)?$ {
dent all;
}
3.限制 IP 地址访问
敏感目录使用白名单访问
修改 nginx.conf 文件
在 server 中添加
location /upload {
allow 192.168.1.0/24;
allow 10.1.1.1/32
deny all;
}
4.禁止浏览目录内容
防止通过浏览器直接查看目录内容
编辑 nginx.conf
在 http 模块下添加:autoindex off;
5.错误页面重定向
编辑 nginx.conf
在 server 模块下加入
error_page 404 /404.html;
location = /404.html {
root /usr/local/nginx/html;
}
6.日志配置
修改日志格式,便于审计
编辑 nginx.conf
在 http 模块内启用标签 main 的 log_format 格式
log_format main $remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' ' "$http_user_agent" "%http_x_forwarded_for"';
在 server 标签内调用:access_log logs/host.access.log main
7.限制 http 请求方法
只允许常用的 get 和 post 方法,减少漏洞
编辑 httpd.conf
在 server 模块中加入判断信息
除了 GET 和 POST 方法,页面都显示 403
if ($request_method !~* GET|POST) {
return 403;
}
8.限制并发和速度(需要经过测试,根据实际信息进行修改)
编辑 nginx.conf
在 http 模块中声明:limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
添加在 server 的location 中
location / {
limit_req zone=allips burst=5 nodelay;;
limit_rate 20k;
}
location /download {
limit_rate_after 10m;
limit_rate 128k;
}
9.防盗链
防止通过其他途径使用本网站资源
location ~* \.(jpg|jpeg|png|gif|bmp|swf|rar|zip|doc|xls|pdf|gz|bz2|mp3|mp4|flv)$
valid_referers none blocked 192.168.0.1 *.baidu.com; #允许的
if ($invalid_referer) {
rewrite ^/ https://site.com/403.jpg;
#return 403;
}
root /usr/share/nginx/img;
}
10.nginx 降权
防止高权限运行 nginx 进程
编辑 nginx.conf
在 http 模块下修改:user nobody;
11.解析漏洞
防止非法后缀被服务器识别
1)将 php.ini 文件中的 cgi.fix_pathinfo 的值设为 0
2)将 /etc/php5/fpm/pool.d/www.conf 中 security.limit_ectensions 后面的值设为 .php
 
                    
                     
                    
                 
                    
                
 
                
            
         
         浙公网安备 33010602011771号
浙公网安备 33010602011771号