LANMP安全配置之Nginx安全配置

标签: geek | 发表时间:2019-06-20 00:00 | 作者:
出处:http://itindex.net/relian

0x00 前言

比起前几篇的 Apache安全配置PHP安全配置Mysql安全配置,对Nginx的了解巨少,没怎么用过除了知道Nginx解析漏洞就啥也不知道了
好了,开始学习
在这里插入图片描述

0x01 账户权限管理

1.1 更改默认用户名
nginx默认nobody,可更改默认用户名防止他人利用

1.2 新增用户
(1)新增组
groupadd -g 108 -r nginx
(2)新增用户
useradd -u 108 -r -g 108 nginx
(3)id nginx

1.3 限制账户目录权限
防止某账户权限过大,可提前设置,步骤如下:
(1)chmod o-r -R / 让该账户失去所有权限
(2)chmod o-r -R html/ 单独赋予Web目录权限
(3)执行命令 chmod 776 /bin/sh 限制账户命令执行权限
nginx默认 nobody,没有访问目录权限,设置网站目录对于nobody的权限为可读、可执行。上传目录和写入目录给读取和写入权限,不要给执行权限!
在这里插入图片描述

0x02 限制IP访问

打开配置文件,按下图设置语法来设置禁止访问IP和允许访问IP
在这里插入图片描述

0x03 文件目录设置

3.1 文件权限
通过 chmod命令将web目录设置成可执行脚本,但不可以写入。一个目录不能同时有写入和执行权限。

3.2 目录访问限制
打开nginx配置文件
在这里插入图片描述
autoindex on; //添加此行 目录列表展示

3.3 目录执行权限
打开nginx配置文件,以上传目录为例,加入下面代码对上传目录加以限制。
在这里插入图片描述

3.4 限制TXT文件被访问
这里是指具体的文件被禁止访问,你也可以设置成其他文件
在这里插入图片描述
同时设置多个文件语法:

   location ~* \.(txt|doc)$             //表示禁止访问*.txt和*.doc文件

0x04 日志文件设置

4.1 开启日志默认配置
error_log前的“#”去掉,记录错误日志
在这里插入图片描述
access_loglog_format前的“#”去掉,记录访问日志

  • 补充:Nginx访问日志主要有两个参数控制
  • log_format #用来定义记录日志的格式(可以定义多种日志格式,取不同名字即可)
  • access_log #用来指定日至文件的路径及使用的何种日志格式记录日志

详细访问日志设置参考: https://www.cnblogs.com/xuyuQAQ/p/8728773.html
在这里插入图片描述
4.2 日志文件限制
具体设置格式同上一条txt文件

4.3 访问日志的权限设置
假如日志目录为/app/logs,则授权方法如下:

   chown -R root.root /app/logs
chown -R 700 /app/logs

0x05 关闭报错信息

关闭Nginx版本号
打开配置文件,插入如下代码
在这里插入图片描述

0x06 WAF扩展

Nginx有三个常见的漏洞防御模式, modsecurityNaxsingx_lua_waf,可通过安装这些模块来提升安全性
emmmm留个坑之后再学

相关 [lanmp 安全 nginx] 推荐:

LANMP安全配置之Nginx安全配置

- - IT瘾-geek
比起前几篇的 Apache安全配置、 PHP安全配置、 Mysql安全配置,对Nginx的了解巨少,没怎么用过除了知道Nginx解析漏洞就啥也不知道了. 1.1 更改默认用户名. nginx默认nobody,可更改默认用户名防止他人利用. 1.3 限制账户目录权限. 防止某账户权限过大,可提前设置,步骤如下:.

Nginx安全防范配置

- - IT瘾-geek
经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞. ssl on: 开启https. ssl_certificate: 配置nginx ssl证书的路径. ssl_certificate_key: 配置nginx ssl证书key的路径.

20个Nginx Web服务器最佳安全实践

- - Gsion's Blog
Nginx是一个轻量级,高性能的Web服务器/反向代理和电子邮件代理(IMAP/POP3),它可以运行在UNIX,GNU/Linux,BSD变种,MAC OS X,Solaris和Microsoft . 根据Netcraft的调查数据显示,互联网上6%的域名都使用了Nginx Web服务器. Nginx是解决C10K问题的服务器之一,与传统服务器不一样,Nginx不依赖于线程处理请求,相反,它使用了一个更具扩展性的事件驱动(异步)架构.

如何用Nginx搭建一个安全的、快速的微服务架构

- - IT瘾-geek
本文改编自Chris Stetson发表在nginx.conf 上的一个有关如今的微服务以及如何使用Nginx构建一个快速的、安全的网络系统的演讲,. Chris Stetson:Hi,我的名字是Chris Stetson,我在Nginx带领专业服务部门,同时也领导微服务实践. 今天我们要谈论微服务以及如何使用Nginx构建一个快速的、安全的网络系统.

nginx配置ssl

- - 邢红瑞的blog
先生成网关证书 ,仿照CA模式.

Nginx安装

- - 企业架构 - ITeye博客
nginx可以使用各平台的默认包来安装,本文是介绍使用源码编译安装,包括具体的编译参数信息. 正式开始前,编译环境gcc g++ 开发库之类的需要提前装好,这里默认你已经装好. ububtu平台编译环境可以使用以下指令. centos平台编译环境使用如下指令. 一般我们都需要先装pcre, zlib,前者为了重写rewrite,后者为了gzip压缩.

Nginx GZip 压缩

- - 开心平淡对待每一天。热爱生活
  Nginx GZip 模块文档详见: http://wiki.nginx.org/HttpGzipModule 常用配置片段如下:. # 压缩比例,比例越大,压缩时间越长. 默认是1 gzip_types. text/css text/javascript; # 哪些文件可以被压缩 gzip_disable.

Nginx 限流

- - 鸟窝
电商平台营销时候,经常会碰到的大流量问题,除了做流量分流处理,可能还要做用户黑白名单、信誉分析,进而根据用户ip信誉权重做相应的流量拦截、限制流量. Nginx自身有的请求限制模块 ngx_http_limit_req_module、流量限制模块 ngx_stream_limit_conn_module基于令牌桶算法,可以方便的控制令牌速率,自定义调节限流,实现基本的限流控制.

NGINX的流媒体插件 nginx-rtmp-module

- - 开源软件 - ITeye博客
战斗民族俄罗斯人民开发的一款NGINX的流媒体插件,除了直播发布音视频流之外具备流媒体服务器的常见功能. 基于HTTP的FLV/MP4 VOD点播. HLS (HTTP Live Streaming) M3U8的支持. 基于http的操作(发布、播放、录制). 可以很好的协同现有的流媒体服务器以及播放器一起工作.

Nginx content cache Nginx内容缓存

- - CSDN博客推荐文章
原文地址: http://nginx.com/resources/admin-guide/caching/. When caching is enabled NGINX saves responses in the cache on the disk and uses them to respond to clients without proxying the requests..