设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
快捷导航
发布信息
搜索
搜索
首页
优惠促销
云服务器
独立服务器
站群服务器
母鸡服务器
服务器托管
全球云服务器
技术文档
联系
每日签到
本版
文章
帖子
用户
主机测评网
»
论坛
›
技术文档
›
其他教程
›
终极指南:提高Nginx服务器硬度的12个技巧 ...
返回列表
发新帖
终极指南:提高Nginx服务器硬度的12个技巧
[复制链接]
|
主动推送
46
|
0
|
2024-9-11 18:20:51
|
显示全部楼层
|
阅读模式
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,本文将介绍用来提高Nginx服务器的安全性,稳定性和性能的12种操作。
1: 保持Nginx的及时升级
目前Nginx的稳定版本为1.14.0,最好升级到最新版本,看官方的release note你会发现他们修复了很多bug,任何一款产品的生产环境都不想在这样的bug风险下运行的。
另外,虽然安装包安装比通过源代码编译安装更容易,但后一个选项有两个优点:1)它允许您将额外的模块添加到Nginx中(如more_header,mod_security),2)它总是提供比安装包更新的版本,在Nginx网站上可看release note。
2: 去掉不用的Nginx模块
在编译安装时,执行./configure方法时加上以下配置指令,可以显式的删除不用的模块:
./configure --without-module1 --without-module2 --without-module3
例如:
./configure --without-http_dav_module --withouthttp_spdy_module
#注意事项:配置指令是由模块提供的。确保你禁用的模块不包含你需要使用的指令!在决定禁用模块之前,应该检查Nginx文档中每个模块可用的指令列表。
3: 在Nginx配置中禁用server_tokens项
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。
只需要在nginx.conf中http模块设置server_tokens off即可,例如:
server {
listen 192.168.0.25:80;
Server_tokens off;
server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;
access_log /var/www/logs/tecmintlovesnginx.access.log;
error_log /var/www/logs/tecmintlovesnginx.error.log error;
root /var/www/tecmintlovesnginx.com/public_html;
index index.html index.htm;
}
#重启Nginx后生效:
4: 禁止非法的HTTP User Agents
User Agent是HTTP协议中对浏览器的一种标识,禁止非法的User Agent可以阻止爬虫和扫描器的一些请求,防止这些请求大量消耗Nginx服务器资源。
为了更好的维护,最好创建一个文件,包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下内容:
map $http_user_agent $blockedagent {
default 0;
~*malicious 1;
~*bot 1;
~*backdoor 1;
~*crawler 1;
~*bandit 1;
}
然后将如下语句放入配置文件的server模块内:
include /etc/nginx/blockuseragents.rules;
并加入if语句设置阻止后进入的页面:
5: 禁掉不需要的 HTTP 方法
例如一些web站点和应用,可以只支持GET、POST和HEAD方法。
在配置文件中的server模块加入如下方法可以阻止一些欺骗攻击
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 444;
}
6: 设置缓冲区容量上限
这样的设置可以阻止缓冲区溢出攻击(同样是Server模块)
client_body_buffer_size 1k;
client_header_buffer_size 1k;
client_max_body_size 1k; large_
client_header_buffers 2 1k;
#设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了。
7: 限制最大连接数在http模块内,server模块外设置limit_conn_zone,可以设置连接的IP在http,server或location模块设置limit_conn,可以设置IP的最大连接数
例如:
limit_conn_zone $binary_remote_addr zone=addr:5m; l
imit_conn addr 1;
8: 设置日志监控
上面的截图中已经有了,如何设置nginx日志
你或许需要拿一下因为第7点的设置访问失败的日志
grep addr /var/www/logs/tecmintlovesnginx.error.log --color=auto
同时你在日志中还可以筛选如下内容:客户端IP浏览器类型HTTP请求方法请求内容服务器相应
9: 阻止图片外链自你的服务器
这样做显然会增加你服务器的带宽压力。
假设你有一个img目录用来存储图片,你自己的IP是192.168.0.25,加入如下配置可以防止外链
location /img/ {
valid_referers none blocked 192.168.0.25;
if ($invalid_referer) {
return 403;
}
}
10: 禁止 SSL 并且只打开 TLS
只要可以的话,尽量避免使用SSL,要用TLS替代,以下设置可以放在Server模块内:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
11: 做证书加密(HTTPS)
首先生成密钥和整数,用以下哪种都可以:
# openssl genrsa -aes256 -out tecmintlovesnginx.key 1024
# openssl req -new -key tecmintlovesnginx.key -out tecmintlovesnginx.csr
# cp tecmintlovesnginx.key tecmintlovesnginx.key.org
# openssl rsa -in tecmintlovesnginx.key.org -out tecmintlovesnginx.key
# openssl x509 -req -days 365 -in tecmintlovesnginx.csr -
signkey tecmintlovesnginx.key -out tecmintlovesnginx.crt
#然后配置Server模块
server {
listen 192.168.0.25:443 ssl;
server_tokens off;
server_name tecmintlovesnginx.com www.tecmintlovesnginx.com;
root /var/www/tecmintlovesnginx.com/public_html;
ssl_certificate /etc/nginx/sites-enabled/certs/tecmintlovesnginx.crt;
ssl_certificate_key /etc/nginx/sites-enabled/certs/tecmintlovesnginx.key;
ssl_protocols TLSv1 TLSv1.
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
六月清晨搅
140
主题
0
回帖
10
积分
新手上路
新手上路, 积分 10, 距离下一级还需 40 积分
新手上路, 积分 10, 距离下一级还需 40 积分
积分
10
加好友
发消息
回复楼主
返回列表
网络技术教程
软件使用教程
Windows教程
Centos教程
Ubuntu教程
Linux其他教程
综合教程
其他教程
其他文档
服务器商家推荐
华夏互联
蓝速云
米图云
全球云
文章
1
苹果电脑MAC系统登录Windows远程桌面
2
Debian拓展硬盘工具。cloud-utils-growpart、xfsprogs
3
安卓Android手机怎么使用V2rayNG?
4
WINDOWS系统电脑怎么使用WINXRAY?
5
notepad++.8.5.7编辑器,代码编辑器
6
DirectX修复工具增强版_V4.3.0.40864版本DLL修复工具C++安装
7
Visual C++运行库合集包完整版VisualCppRedist_AIO_x86_x64
8
ChromeSetup谷歌浏览器一键安装