2. 程式人生 > >Nginx優化實戰--基本安全優化

Nginx優化實戰--基本安全優化

阿新 發佈:2018-10-31

1.調整引數隱藏Nginx軟體版本號資訊

軟體的漏洞都和版本有關。因此我們應儘量隱藏或消除Web服務對訪問使用者顯示各類敏感資訊(如Web軟體名稱及版本號等資訊),這樣惡意的使用者就不會跟局軟體版本漏洞來攻擊,從而加強Web服務的安全性。

☁  ~  curl -I www.gzsteam.cn
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3   #<== 這裡很清晰地暴露了Web版本號以及軟體名稱 
Date: Tue, 30 May 2017 13:52:23 GMT
Content-Type: text/html
Content-Length: 185
 

Connection: keep-alive
Location: https://www.gzsteam.cn/

隱藏版本號的方法:在nginx.conf的http標籤段內加入server_tokens off 引數

http 
{
    ......
    server_tokens off
    ......
}

重啟nginx,執行結果如下:

☁  centstead [master] curl -I www.gzsteam.cn
HTTP/1.1 301 Moved Permanently
Server: nginx    #<== 這裡沒有版本號了
Date: Tue, 30
 
 May 2017 14:07:55 GMT
Content-Type: text/html
Content-Length: 178
Connection: keep-alive
Location: https://www.gzsteam.cn/

2.更改原始碼隱藏Nginx軟體名及版本號

  1. 第一步是修改依次修改3個Nginx原始碼檔案。
#nginx-1.12.0/src/core/nginx.h 13-17行左右

#define NGINX_VERSION   *1.12.0*  #<==修改成你想要顯示版本號如2.2.0
#define NGINX_VER       *nginx/* NGINX_VERSION #<==修改成想要的軟體名稱,如百度的bfe 自己隨便寫,如hank/*
 

#define NGINX_VAR       *NGINX*  #<==對應上面的修改hank

#nginx-1.12.0/src/http/ngx_http_header_filter_module.c 49行左右

static char ngx_http_server_string[] = "Server:nginx " CRLF; #<==修改成Server: hank " CRLF

#nginx-1.12.0/src/http/ngx_http_special_response.c

"<hr><center>" NGINX_VER"</center>" CRLF #<==此處修改" NGINX_VER"(http://[email protected]

"<hr><center>Nginx</center>" CRLF #<==此處修改成hank

2.修改後編譯軟體,使其生效

3.更改Nginx服務的預設使用者

nginx預設配置檔案是nginx.conf.default

[root@vultr conf]# grep "#user" nginx.conf
#user  nobody;

防止被攻擊者猜到這個Web服務使用者,我們需要修改成特殊的使用者名稱。如nginx

  • 為Nginx服務建立新使用者
useradd nginx -s /sbin/nologin -M
  • 配置Nginx服務,讓其使用剛建立的nginx使用者(nginx.conf)
user nginx nginx;

另外可以在編譯的時候,直接指定使用者和使用者組

./configure --user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module
  • 檢查更改使用者的效果

重新載入配置後,檢查Nginx服務程序的對應使用者

[root@vultr conf]# ps -ef|grep nginx|grep -v grep
root       911     1  0 323 ?       00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     2648   404  0 323 ?       00:00:13 php-fpm: pool www
nginx     6342   404  0 426 ?       00:00:04 php-fpm: pool www
nginx     9040   911  0 14:07 ?        00:00:00 nginx: worker process

相關推薦

Nginx優化實戰--基本安全優化

1.調整引數隱藏Nginx軟體版本號資訊 軟體的漏洞都和版本有關。因此我們應儘量隱藏或消除Web服務對訪問使用者顯示各類敏感資訊(如Web軟體名稱及版本號等資訊),這樣惡意的使用者就不會跟局軟體版本漏洞來攻擊,從而加強Web服務的安全性。 ☁ ~ curl -I www.gz

[Nginx] – 基礎安全優化 【一】

nginx基礎 安全 NGINX優化 nginx 逗哥自動化 Nginx基礎安全1,Nginx版本號信息隱藏所有軟件都在更新叠代,但是線上環境最主要的還是穩定,所以我們不會盲目最新,更願意選擇一個持續維護的穩定版,但沒個版本都會有漏洞,如果不更新軟件,又讓黑客知道了我們使用的版本,就等於把

Nginx優化實戰--引數優化

1.優化Nginx服務的worker程序個數 在nginx.conf配置中有worker_processes.優化策略,worker_processes引數大小的設定可以等於CPU核數。高併發場合也可以考慮提高至CPU核數*2 #該引數調整的是nginx服務的worker程序數,

JAVA架構師大型分散式高併發電商專案實戰,效能優化,叢集,億級高併發,web安全,快取架構實戰

現任58到家技術委員會主席,高階技術總監,負責企業,支付,營銷、客戶關係等多個後端業務部門。本質,技術人一枚。網際網路架構技術專家,“架構師之路”公眾號作者。曾任百度高階工程師,58同城高階架構師,58同城技術委員會主席,58同城C2C技術部負責人。 內容介紹 1.大資

SQL Server 效能優化實戰系列(一) SQL Server擴充套件函式的基本概念 使用SQL Server 擴充套件函式進行效能優化 SQL Server Url正則表示式 記憶體常駐 完美解決方案

資料庫伺服器主要用於儲存、查詢、檢索企業內部的資訊,因此需要搭配專用的資料庫系統,對伺服器的相容性、可靠性和穩定性等方面都有很高的要求。        下面是進行籠統的技術點說明,為的是讓大家有一個整體的概念,如果想深入可以逐個擊破;&n

Linux運維Nginx軟體優化安全優化

一、Nginx優化分類 安全優化(提升網站安全性配置) 效能優化(提升使用者訪問網站效率) 二、Nginx安全優化 2.1 隱藏nginx版本資訊優化 官方引數: 1 2 3 Syntax:  server_toke

hibernate基本配置優化

get org nat all finally span 配置優化 turn word 前面已經說過hibernate的基本配置了,現在對之前的基本配置進行代碼優化; 寫一個讀取配置工具 1 package tool; 2 3 import org.hiberna

Nginx常用功能配置及優化

nginx web服務器 優化----------------------------------------------------------------------------------------規範優化Nginx配置文件:--------------------------------------

Tomcat學習總結(11)——Linux下的Tomcat安全優化

app span must 以及 站點 with rip web.xml dev 1、web.xml配置及修改: 站點默認主頁: <welcome-file-list> <welcome-file>index.html</welcome-fil

PHP服務緩存加速優化實戰

php web 服務器 PHP服務緩存加速優化實戰:(1)操作碼介紹及緩存原理:當客戶端請求一個PHP程序的時候,服務器的PHP引擎會解析該PHP程序,並將其編譯為特定的操作碼(Operate Code)文件。該文件是執行PHP代碼後的一種二進制表示形式。默認情況下,這個編譯好的操作碼文件由PHP

tomcat安全優化

use bin 通用 關閉端口 web程序 su - home apach tar 1.1.1 tomcat.安全優化. 第一:關閉端口修改,關閉端口默認8005,修改默認關閉端口防止被入侵關閉. 第二:ajp連接端口是和apache的鏈接端口,沒用可以註釋8009 第三禁

QQ空間掉幀率優化實戰

app 面板 更多 授權 手遊 eal 遊戲開發者 表示 png 商業轉載請聯系騰訊WeTest獲得授權,非商業轉載請註明出處。 WeTest 導讀 空間新業務需求日益增多,在業務開發階段的疏忽,或者是受到其他業務的影響(比如一些非空間的業務網絡回包或者邏輯在主線程進行

nginx 服務器並發優化

rlimit ipv soc tengine recycle ipv4 打開 server 數量 apache 提供的 ab 可以對服務器進行壓力測試, 安裝 ab: apt-get install apache2-utils 安裝完後,ab 在目錄 /usr/bi

Tomcat配置安全優化

Tomcat1.刪除默認目錄安裝完tomcat後,刪除$CATALINA_HOME/webapps下默認的所有目錄文件rm -rf /usr/local/tomcat/webapps/*2.用戶管理如果不需要通過web部署應用,建議註釋或刪除tomcat-users.xml下用戶權限相關配置<!--

CentOS(5.8/6.4)linux生產環境若幹優化實戰

優化CentOS(5.8/6.4)linux生產環境若幹優化實戰CentOS系統安裝之後並不能立即投入生產環境使用,往往需要先經過我們運維人員的優化才行。在此講解幾點關於Linux系統安裝後的基礎優化操作。註意:本次優化都是基於CentOS(5.8/6.4)。關於5.8和6.4兩者優化時的小區別,我會在文中提

webpack性能優化-實戰

之一 size als window span 公司 除了 tsp utils 題外話:年初項目重構上線,項目技術棧使用vue+webpack,測試執行整個打包流程需要10分鐘,同時又因涉及三個渠道,部署好環境就需半個小時,這嚴重延誤了上線進度,因此提高webpack構建效

Apache 網頁與安全優化

Apache優化、緩存網頁壓縮:可以提升應用程序的速度且不需要任何成本。網頁緩存:將一部分經常不會改變或變動很少的頁面緩存,下次瀏覽器再次訪問這些頁面時,不需要再次去下載這些頁面,從而提高了用戶的訪問速度。實驗要求:需要兩臺虛擬機,一臺linux虛擬機、一臺windows虛擬機。linux虛擬機安裝Apach

知識點:Mysql 索引優化實戰(3)

set ... 存在 over order by select 字節 sele .com 知識點:Mysql 索引原理完全手冊(1) 知識點:Mysql 索引原理完全手冊(2) 知識點:Mysql 索引優化實戰(3) 索引原理知識回顧 索引的性能分析和優化 通過 E

Apache安全優化之防盜鏈

fcc DG ccf 技術 MF ESS usr log 實驗 通常防盜鏈是為了防止圖片,視頻等信息被盜用。下面我將利用一個小實驗模擬盜鏈與防盜鏈,實驗用到如下兩張圖片:提供網站服務的主機我做了DNS解析,是使用域名www.benet.com 進行訪問的客戶機IP地址:19

Nginx配置文件的優化

wait ade style 句柄 請求 避免 打印 生存 keepalive Nginx配置文件中需要優化的參數為以下幾項:worker_processes 8; Nginx配置文件進程數,可以按照cpu數目來指定,一般為它的倍數。worker_cpu_affinity