网站推广免费,培训收费网站建设,哪家广告平面设计学校好,手机网站应该怎么做NIGNX系统安全基线规范1.概述1.1 适用范围本配置标准的使用者包括#xff1a;各事业部服务器负责人。 各事业部服务器负责人按规范要求进行认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求。对系统的安全配置审计、加固操作起到指导性作用。1.2 文档内容本文档… NIGNX系统安全基线规范1.概述1.1 适用范围 本配置标准的使用者包括各事业部服务器负责人。 各事业部服务器负责人按规范要求进行认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求。对系统的安全配置审计、加固操作起到指导性作用。1.2 文档内容 本文档内容是nginx的安全加固操作项的详细操作指导,并明确在加固操作过程中可能出现的风险和所遵循的标准。1.3 加固前的准备1.3.1 需要重新启动验证系统 需要重新启动以确定nginx的完整性、业务系统的正常性1.3.2 备份文件 在操作之前需要备份nginx重要的配置文件1.3.3 加固操作注意事项 需要手工确认系统是否需要加固,同时验证加固效果,系统可以正常运行1.3.4 软件包相关 操作系统中多余的软件或者加固需要安装的软件需要与被加固系统负责人进行确认。2.操作指导2.1 nginx版本统一名称nginx版本统一说明统一集群内的Nginx版本,避免管理混乱实施目的统一使用官方Stable 高版本的nignx问题影响管理混乱容易通过低版本漏洞被攻击实施步骤通过Nignx官网下载http://nginx.org/en/download.html 最新Stable版本回退方案无确认方法nginx -v 查看版本实施风险高适用说明2.2 使用普通账户启动nginx名称使用普通账户启动nginx说明使用普通账户启动nginx实施目的新建jqsoft用户启动nginx问题影响特权用户启动引起的安全隐患实施步骤编辑nginx配置文件添加如下参数:user jqsoft;重启Nginx(需要将Nignx目录及相关静态文件授权给jqsoft用户)回退方案恢复nginx配置文件确认方法ps -ef |grep nginx 查看nginx进程是否是jqsoft用户启动实施风险中适用说明2.3 禁用autoindex名称禁用autoindex说明禁用autoindex,避免目录浏览实施目的禁用autoindex,避免目录浏览减少安全隐患问题影响通过了解目录结构从而攻击系统实施步骤编辑nginx配置文件在http模块添加autoindex off;重启Nginx回退方案恢复nginx配置文件确认方法确保nginx.conf配置文件上禁用autoindex即autoindex off或者没有配置autoindex。实施风险中适用说明2.4 关闭服务器标记名称关闭服务器标记说明关闭服务器标记,避免显示服务器版本信息实施目的关闭服务器标记,避免显示服务器版本信息问题影响如果开启的话(默认情况下)所有的错误页面都会显示服务器的版本和信息实施步骤在nginx.conf配置文件中http模块中添加 server_tokens off;重启Nginx回退方案恢复配置文件确认方法查看错误页面http 返回头中server字段值中已经没有了服务器版本信息实施风险高适用说明2.5 设置timeout名称设置timeout说明设置timeout设低来防御DOS攻击实施目的设置timeout设低来防御DOS攻击问题影响DOS攻击拖垮服务器实施步骤编辑nginx配置文件在http模块中添加以下参数client_body_timeout 10;client_header_timeout 30;keepalive_timeout 30 30;send_timeout 10;重启Nginx回退方案恢复nginx配置文件确认方法访问Nignx网站查看返回头中已经包含了超时时间配置实施风险高适用说明2.6 设置NGINX缓冲区名称设置NGINX缓冲区说明设置NGINX缓冲区实施目的防止缓冲区溢出攻击问题影响缓冲区溢出实施步骤编辑nginx配置文件在server模块中需要限制的location中添加以下参数client_body_buffer_size 1K; client_header_buffer_size 1k;client_max_body_size 1k;large_client_header_buffers 2 1k;重启Nginx回退方案恢复nginx配置文件确认方法查看配置文件实施风险高适用说明2.7 限制nginx请求方法名称限制nginx请求方法说明限制nginx请求方法,仅允许常用的get post head实施目的限制nginx请求方法,仅允许常用的get post head问题影响通过请求漏洞攻击服务器实施步骤编辑nginx配置文件在每个server模块中添加if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; }回退方案恢复Nignx配置文件确认方法使用put/delete等请求返回444响应码实施风险高适用说明2.8 日志配置名称日志配置说明统一使用规定好的日志格式实施目的统一使用规定好的日志格式问题影响日志不规范问题排查难度倍增实施步骤编辑nginx配置文件,在http模块中添加如下参数log_format main $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for;access_log logs/host.access.log main;重启nginx服务即可回退方案恢复配置文件确认方法查看logs/host.access.log文件验证日志格式是否与如上配置的一致实施风险高适用说明2.9 Nginx日志切割名称Nginx日志切割说明Nginx日志切割实施目的切割nginx日志避免日志文件过大问题影响日志文件过大影响查看实施步骤新建日志切割脚本 如下:#!/bin/bash#设置日志文件存放目录logspath/usr/local/nginx/logs/#设置pid文件pidpath/usr/local/nginx/nginx.pid#重命名日志文件mv ${logspath}access.log ${logspath}access$(date -d yesterday %Y%m%d).log#向nginx主进程发信号重新打开日志kill -USR1 cat ${pidpath}配置定时任务每日凌晨执行脚本回退方案删除定时任务确认方法第二天查看日志目录发现日志自动切割实施风险低适用说明2.10 限制访问IP名称限制访问IP说明限制访问IP,仅允许指定ip访问指定资源实施目的限制访问IP,仅允许指定ip访问指定资源问题影响服务器不安全性增加实施步骤编辑nging配置文件,在每个server模块中的location添加需求的限制,示例如下deny 192.168.1.1;allow 192.168.1.0/24;allow 10.1.1.0/16;allow 2001:0db8::/32;deny all;执行nginx -s reload 动态更新配置文件回退方案恢复nginx配置文件确认方法使用限制的IP地址访问nginx 提示403实施风险高适用说明2.11 限制仅允许域名访问名称限制仅允许域名访问说明限制仅允许域名访问实施目的限制仅允许域名访问,跳过ip扫描问题影响ip扫描到网站后会针对性攻击实施步骤编辑nging配置文件,新建一个sever,示例如下server { listen 80 default; server_name _; return 403; }执行nginx -s reload 动态更新配置文件(如果有其他端口同样加入其他端口的server)回退方案恢复nginx配置文件确认方法使用IP地址访问nginx 提示403实施风险高适用说明2.12 错误页面重定向名称错误页面重定向说明错误页面重定向实施目的nginx默认错误页面包含服务器版本信息使用自定义错误页面避免版本信息泄露问题影响避免通过错误页面获取服务器信息实施步骤新建错误页面,放到静态目录中,编辑Nignx配置文件在http模块中添加如下参数:fastcgi_intercept_errors on; errorpage 401 /401.html;errorpage 402 /402.html; errorpage 403 /403.html; errorpage 404 /404.html; errorpage 405 /405.html;errorpage 500 /500.html重启nginx服务回退方案恢复配置文件确认方法访问不存在的url重定向到我们配置的的错误页面实施风险中适用说明2.13 限制并发和速度名称限制并发和速度说明nginx客户端并发和速度实施目的限制用户连接数及速度来预防DOS攻击问题影响通过连接数来攻击nginx服务器实施步骤编辑Nignx配置文件,在Http模块中添加如下参数limit_zone one $binary_remote_addr 60m;在server模块的location中需要限制的location中添加如下参数:limit_conn one 50; limit_rate 100k;重启nginx服务回退方案恢复配置文件确认方法单个Ip建立尝试建立多个连接失败实施风险高适用说明2.14 nginx配置防盗链名称nginx配置防盗链说明nginx配置防盗链实施目的防止第三方引用链接访问我们的图片消耗服务器资源和网络流量问题影响资源被第三放流量消耗实施步骤编辑nginx配置文件在server模块中添加如下实例server { listen 80;server_name www.myine.com; root /usr/share/nginx/html;location ~*.(gif|jpg|jpeg|png|bmp|swf)$ {validreferers none blocked www.myine.com; if ($invalidreferer) { return 403;} } }validreferers: 指定资源访问是通过以下几种方式为合法即白名单。none允许缺失的头部访问。blocked允许referer没有对应值的请求。Server_names若referer站点域名与servername中本机配的域名一样允许访问回退方案恢复配置文件确认方法新建个人页面,图片引用使用nginx中的图片,访问个人页面图片提示403实施风险高适用说明2.15 限制php执行权限名称限制php执行权限说明限制php执行权限实施目的限制php执行权限问题影响通过执行php脚本入侵服务器实施步骤编辑nignx配置文件,在需要限制的server模块中添加如下代码:location ~ /(attachments|upload)/.*.(php|php5)?$ {deny all;}以上的配置文件代码需要放到 location ~ .php{...}上面,相关目录需要写相对目录,重启nginx回退方案恢复配置文件确认方法nginx网站指定目录php文件不能执行、访问实施风险高适用说明2.16 nginx配置WAF模块名称nginx配置waf模块说明nginx配置waf模块实施目的nginx配置waf模块提升服务器的安全性问题影响无实施步骤下载waf模块wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip配置waf相关Lua规则、目录、脚本等(nginx需要加载nginx_lua_module模块)编辑nginx配置文件在http模块中添加如下参数:lua_package_path “/usr/local/nginx/conf/waf/?.lua”;lua_shared_dict limit 10m;init_by_lua_file /usr/local/nginx/conf/waf/init.lua;access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;新建攻击日志目录mkdir -p /data/logs/hack/ chown -R nobody:nobody /data/logs/hack/ chmod -R 755 /data/logs/hack/重启Nignx服务回退方案删除配置文件的中的waf配置确认方法查看目录/data/logs/hack/ 中的日志实施风险高适用说明2.17 安装官方补丁更新名称安装官方补丁更新说明为nginx安装最新安全补丁实施目的防止攻击者利用nginx漏洞进行攻击问题影响系统安全性下降实施步骤查看当前nginx版本nginx -v官网下载最新的安全补丁回退方案无确认方法登陆用户查看nginx版本信息实施风险高适用说明
