nginx安全配置

一键生成nginx配置的网站-中文在线配置

# my.conf
#关闭服务器标记
server_tokens off;

#设置自定义缓存以限制缓冲区溢出攻击
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;

client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k,但建议将此值设置为低至1k:client_body_buffer_size 1k
client_header_buffer_size 为客户端请求标头指定标头缓冲区大小。 设置为 1k 足以应付大多数请求。
client_max_body_size 为客户端请求指定可接受的最大正文大小。 设置为 1k 应该足够了,但是如果通过 POST方法接收文件上传,则需要增加它。
large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2,每个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据, large_client_header_buffers 2 1k

#timeout设低来防止DOS攻击
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

#限制用户连接数来预防DOS攻击
limit_zone slimits $binary_remote_addr 5m;
limit_conn slimits 5;

禁用所有不需要的 HTTP 方法

禁用所有不需要的 HTTP 方法,下面设置意思是只允许 GET、HEAD、POST 方法,过滤掉 DELETE 和 TRACE 等方法。

location / {
limit_except GET HEAD POST { deny all; }
}

另一种方法是在 server 块 设置,不过这样是全局设置的,要注意评估影响

if ( r e q u e s t m e t h o d !   ( G E T ∣ H E A D ∣ P O S T ) request_method !~ ^(GET|HEAD|POST) requestm​ethod! (GET∣HEAD∣POST) ) {
return 444; }

监控访问日志和错误日志

禁用不需要的 Nginx 模块

合理配置响应头

X-Frame-Options

可以使用 X-Frame-Options HTTP 响应头指示是否应允许浏览器在 或 中呈现页面。 这样可以防止点击劫持攻击。

配置文件中添加:

add_header X-Frame-Options “SAMEORIGIN”;

Strict-Transport-Security

HTTP Strict Transport Security,简称为 HSTS。它允许一个 HTTPS 网站,要求浏览器总是通过 HTTPS 来访问它,同时会拒绝来自 HTTP 的请求,操作如下:

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”;

CSP

Content Security Policy (CSP) 保护你的网站避免被使用如 XSS,SQL注入等手段进行攻击,操作如下:

add_header Content-Security-Policy “default-src ‘self’ http: https: data: blob: ‘unsafe-inline’” always;

配置 SSL 和 cipher suites
Nginx 默认允许使用不安全的旧 SSL 协议,ssl_protocols TLSv1 TLSv1.1 TLSv1.2,建议做如下修改:

ssl_protocols TLSv1.2 TLSv1.3;
此外要指定 cipher suites ,可以确保在 TLSv1 握手时,使用服务端的配置项,以增强安全性。

ssl_prefer_server_ciphers on

上一篇:Linux基础命令


下一篇:在上海乐字节学习的第三十五天