Nginx
Nginx入门系列
Nginx字典
Nginx原理说明
Nginx结构原理全解析
Nginx 架构基础
Nginx安装部署
centos7源码安装Nginx-1.6
Nginx配置文件
Nginx变量
Nginx日志分析脚本
Nginx状态码和日志
Nginx配置文件
Nginx HTTP块配置
Nginx SERVER块配置
Nginx LOCATOIN块配置
Nginx中指令
Nginx 中 location 的匹配顺序
Nginx服务维护
Nginx平滑升级版本
Nginx命令
Nginx安全检查
Nginx模块管理
Nginx模块之nginx_upstream_check_module
Nginx模块之stub_status
Nginx模块之Nginx-echo
Nginx添加新模块
Nginx编译添加新模块
Nginx模块之ngx_http_gzip_module
Nginx模块之limit_conn & limit_req
Nginx新闻
Nginx使用案例
Nginx区分环境配置
Nginx配置动静分离
Nginx区分浏览器
Nginx区分PC和手机
Nginx区分搜索引擎
Nginx区分内部与外部
Nginx配置负载均衡
Nginx配置伪静态
Nginx配置反向代理
Nginx配置正向代理
Nginx配置缓存
Nginx配置重定向
Nginx开启php_info
Nginx配置访问黑名单
Nginx配置FTP
Nginx支持php
Nginx配置用户认证
Nginx配置虚拟主机
Nginx防盗链
Nginx压测和并发预估
Nginx开启https
本文档使用 MrDoc 发布
-
+
home page
Nginx安全检查
1.检查是否配置Nginx账号锁定策略 描述 1.执行系统命令`passwd -S nginx`来查看锁定状态 出现Password locked证明锁定成功 如:nginx LK ..... (Password locked.)或nginx L .... 2.默认符合,修改后才有(默认已符合) 3.执行系统命令passwd -l nginx进行锁定 加固建议 配置Nginx账号登录锁定策略: Nginx服务建议使用非root用户(如nginx,nobody)启动,并且确保启动用户的状态为锁定状态。可执行`passwd -l <Nginx启动用户> 如passwd -l nginx `来锁定Nginx服务的启动用户。命令 `passwd -S <用户> 如passwd -S nginx`可查看用户状态。 修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody; 如果您是docker用户,可忽略该项(或添加白名单) 2.检查Nginx进程启动账号 描述 Nginx进程启动账号状态,降低被攻击概率 加固建议 修改Nginx进程启动账号: 1、打开conf/nginx.conf配置文件; 2、查看配置文件的user配置项,确认是非root启动的; 3、如果是root启动,修改成nobody或者nginx账号; 4、修改完配置文件之后需要重新启动Nginx。 3.Nginx后端服务指定的Header隐藏状态 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server; 4.隐藏Nginx服务的Banner 描述 Nginx服务的Banner隐藏状态 加固建议 Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态: 1、打开conf/nginx.conf配置文件; 2、在server栏目下,配置server_tokens项 server_tokens off; 如出现多项不支持,执行`ln <conf_path> /etc/nginx/nginx.conf` 5.针对Nginx SSL协议进行安全加固 描述 Nginx SSL协议的加密策略进行加固 加固建议 Nginx SSL协议采用TLSv1.2: 1、打开conf/nginx.conf配置文件(或主配置文件中的inlude文件); 2、配置 ```python server { ... ssl_protocols TLSv1.2; ... } ``` 备注:配置此项请确认nginx支持OpenSSL,运行nginx -V 如果返回中包含built with OpenSSL则表示支持OpenSSL。 如不支持,可能需要增加配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 如果尚未配置ssl协议,请尽快配置(参考连接https://www.nginx.cn/doc/optional/ssl.html) 6.Nginx的WEB访问日志记录状态 描述 应为每个核心站点启用access_log指令。默认情况下启用。 加固建议 开启Nginx的WEB访问日志记录: 1、打开conf/nginx.conf配置文件,含主配置文件中include项包含的子配置文件; 2、在http下配置access_log项access_log logs/host.access.log main; 3、并在主配置文件,及主配置文件下的include文件中 删除off项或配置为适当值 7.确保NGINX配置文件权限为644 描述 把控配置文件权限以抵御外来攻击 加固建议 修改Nginx配置文件权限: 执行`chmod 644 <conf_path>`来限制Nginx配置文件的权限;(`<conf_path>`为配置文件的路径,如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 8.确保已禁用自动索引模块 描述 自动索引模块处理以斜杠字符结尾的请求。此功能启用目录列表,这在攻击者侦察中可能很有用,因此应将其禁用。 加固建议 执行以下操作以禁用自动索引模块: 搜索NGINX配置文件(NGINX.conf和任何包含的配置文件)以查找autoindex指令。 `egrep -i '^\s*autoindex\s+' <main_config_path> egrep -i '^\s*autoindex\s+' <sub_config_path> `在location下删除或者修改为 autoindex off;
日行一善
April 27, 2021, 10:30 a.m.
Share documents
Collection documents
Last
Next
Scan wechat
Copy link
Scan your mobile phone to share
Copy link
关于 MrDoc
觅思文档MrDoc
是
州的先生
开发并开源的在线文档系统,其适合作为个人和小型团队的云笔记、文档和知识库管理工具。
如果觅思文档给你或你的团队带来了帮助,欢迎对作者进行一些打赏捐助,这将有力支持作者持续投入精力更新和维护觅思文档,感谢你的捐助!
>>>捐助鸣谢列表
微信
支付宝
QQ
PayPal
QQ粉丝交流群:882382311
Markdown文件
share
link
type
password
Update password
