网站页面制作视频,南宁建设职业技术网站,做收集信息的网站,企业服务代理公司Nginx 是最流行的 Web 服务器#xff0c;可以只占用 2.5 MB 的内存#xff0c;却可以轻松处理 1w 的 http 请求。做为网站的入口#xff0c;Nginx 的安全设置重要性不言而喻。下面带你一起去认识一下这些安全配置吧#xff01;nginx.conf是 Nginx 最主要的配置文件#xf…Nginx 是最流行的 Web 服务器可以只占用 2.5 MB 的内存却可以轻松处理 1w 的 http 请求。做为网站的入口Nginx 的安全设置重要性不言而喻。下面带你一起去认识一下这些安全配置吧nginx.conf是 Nginx 最主要的配置文件大部分的安全配置都在这个文件上进行。禁用不需要的 Nginx 模块自动安装的 Nginx 会内置很多模块并不是所有的模块都需要对于非必须的模块可以禁用如 autoindex module 下面展示如何禁用# ./configure --without-http_autoindex_module# make# make install不展示 server tokens默认情况下Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号这可能会导致信息泄露未经授权的用户可能会了解你使用的nginx版本。 应该在 nginx.conf 通过设置 server_tokens off 来禁用控制资源和限制为了防止对 Nginx 进行潜在的 DOS 攻击可以为所有客户端设置缓冲区大小限制配置如下client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k但建议将此值设置为低至1kclient_body_buffer_size 1kclient_header_buffer_size 为客户端请求标头指定标头缓冲区大小。 设置为 1k 足以应付大多数请求。client_max_body_size 为客户端请求指定可接受的最大正文大小。 设置为 1k 应该足够了但是如果通过 POST方法接收文件上传则需要增加它。large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2每个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据 large_client_header_buffers 2 1k禁用所有不需要的 HTTP 方法禁用所有不需要的 HTTP 方法下面设置意思是只允许 GET、HEAD、POST 方法过滤掉 DELETE 和 TRACE 等方法。location / {limit_except GET HEAD POST { deny all; }}另一种方法是在 server 块 设置不过这样是全局设置的要注意评估影响if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; }监控访问日志和错误日志持续监控和管理 Nginx 的错误日志就能更好的了解对 web 服务器的请求注意到任何遇到的错误有助于发现任何攻击尝试并确定您可以执行哪些操作来优化服务器性能。可以使用日志管理工具(例如 logrotate )来旋转和压缩旧日志并释放磁盘空间。 同样ngx_http_stub_status_module 模块提供对基本状态信息的访问。合理配置响应头为了进一步加强 Nginx web 的性能可以添加几个不同的响应头推荐X-Frame-Options可以使用 X-Frame-Options HTTP 响应头指示是否应允许浏览器在 或 配置文件中添加add_header X-Frame-Options SAMEORIGIN;Strict-Transport-SecurityHTTP Strict Transport Security简称为 HSTS。它允许一个 HTTPS 网站要求浏览器总是通过 HTTPS 来访问它同时会拒绝来自 HTTP 的请求操作如下add_header Strict-Transport-Security max-age31536000; includeSubdomains; preload;CSPContent Security Policy (CSP) 保护你的网站避免被使用如 XSSSQL注入等手段进行攻击操作如下add_header Content-Security-Policy default-src self http: https: data: blob: unsafe-inline always;配置 SSL 和 cipher suitesNginx 默认允许使用不安全的旧 SSL 协议ssl_protocols TLSv1 TLSv1.1 TLSv1.2建议做如下修改ssl_protocols TLSv1.2 TLSv1.3;此外要指定 cipher suites 可以确保在 TLSv1 握手时使用服务端的配置项以增强安全性。ssl_prefer_server_ciphers on定期更新服务器旧版的 Nginx 总会存在各种各样的漏洞所以最好更新到最新版。漏洞可以去各大 CVE 网站去查询Nginx 最新版则去官网查看。
