Linux運維Nginx軟體優化之安全優化

阿新 • • 發佈：2018-12-17

一、Nginx優化分類

安全優化(提升網站安全性配置)

效能優化(提升使用者訪問網站效率)

二、Nginx安全優化

2.1 隱藏nginx版本資訊優化

官方引數：

Syntax: server_tokens on | off | build | string;

Default: server_tokens on;

Context: http, server, location

配置舉例：

[[email protected] ~]# cat /application/nginx/conf/nginx.conf

worker_processes 1;

events {

worker_connections 1024;

}

http {

include mime.types;

default_type application/octet-stream;

sendfile off;

keepalive_timeout 65;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

server {

listen 80;

server_name www.oldboyedu.com;

server_tokens off;

location / {

root html/www;

index index.html index.htm;

}

access_log logs/access_www.log main;

}

測試結果：

[[email protected] ~]# curl -I 10.0.0.8

HTTP/1.1 200 OK

Server: nginx

Date: Wed, 01 Nov 2017 18:32:40 GMT

Content-Type: text/html

Content-Length: 10

Last-Modified: Wed, 25 Oct 2017 01:20:56 GMT

Connection: keep-alive

ETag: "59efe6f8-a"

Accept-Ranges: bytes

2.2 修改nginx版本資訊

修改版本資訊需要修改程式原始檔資訊

修改核心資訊

[[email protected] nginx-1.10.2]# vim src/core/nginx.h

# ···

13 #define NGINX_VERSION "1.0"

14 #define NGINX_VER "oldboy/" NGINX_VERSION

22 #define NGINX_VAR "oldboy"

# ···

修改頭部資訊

[[email protected] nginx-1.10.2]# vim src/http/ngx_http_header_filter_module.c

# ···

49 static char ngx_http_server_string[] = "Server: oldboy" CRLF;

# ···

修改錯誤頁顯示

[[email protected] nginx-1.10.2]# vim src/http/ngx_http_special_response.c

# ···

# 此處可以不修改

21 static u_char ngx_http_error_full_tail[] =

22 "<hr><center>" NGINX_VER "</center>" CRLF

23 "</body>" CRLF

24 "</html>" CRLF

25 ;

# ···

28 static u_char ngx_http_error_tail[] =

29 "<hr><center>oldboy</center>" CRLF

30 "</body>" CRLF

31 "</html>" CRLF

32 ;

# ···

修改完成後重新編譯

1	`[[email protected] nginx-1.10.2]# ./configure --prefix=/application/nginx-1.10.2 --user=www --group=www --with-http_stub_status_module --with-http_ssl_module`

重啟服務

1	`[[email protected] nginx-1.10.2]# /etc/init.d/nginx restart`

訪問測試是否修改成功

[[email protected] ~]# curl -I 127.0.0.1

HTTP/1.1 200 OK

Server: oldboy

Date: Wed, 01 Nov 2017 19:05:43 GMT

Content-Type: text/html

Content-Length: 10

Last-Modified: Wed, 25 Oct 2017 01:20:56 GMT

Connection: keep-alive

ETag: "59efe6f8-a"

Accept-Ranges: bytes

2.3 修改worker程序的使用者

第一種方法：利用編譯安裝配置引數，設定nginx預設worker程序使用者

1 2	`useradd` `-s` `/sbin/nologin` `-M www` `./configure` `--user=www --group=www`

第二種方式：編寫nginx服務配置檔案，設定nginx預設worker程序使用者

Syntax:user user [group];

Default: user nobody nobody;

Context: main

配置舉例：

[[email protected] conf]# cat nginx.conf

user www www; # 主區塊新增user引數

worker_processes 1;

events {

worker_connections 1024;

}

檢視是否生效

[[email protected] nginx-1.10.2]# ps -ef|grep nginx

root 16987 1 0 15:14 ? 00:00:00 nginx: master process nginx

oldboy 18484 16987 0 15:22 ? 00:00:00 nginx: worker process

root 18486 9593 0 15:22 pts/0 00:00:00 grep --color=auto nginx

2.4 上傳檔案大小的限制(動態應用)

預設語法說明:

syntax：client_max_body_size size； #<==引數語法

default：client_max_body_size 1m； #<==預設值是1m

context：http，server，location #<==可以放置的標籤段

舉例配置：

http {

sendfile on;

keepalive_timeout 65;

client_max_body_size 8m; # 設定上傳檔案最大值8M

}

2.5 站點 Nginx站點目錄及檔案URL訪問控制

01. 根據目錄或副檔名，禁止使用者訪問指定資料資訊

location ~ ^/images/.*\.（php|php5|sh|pl|py|html）$

{

deny all;

}

location ~ ^/static/.*\.（php|php5|sh|pl|py）$

{

deny all;

}

location ~* ^/data/（attachment|avatar）/.*\.（php|php5）$

{

deny all;

}

02. 當訪問禁止的資料資訊時，進行頁面跳轉

Nginx下配置禁止訪問*.txt和*.doc檔案。

實際配置資訊如下：

location ~* \.（txt|doc）$ {

if （-f $request_filename）{

root /data/www/www;

#rewrite …..可以重定向到某個URL

break;

}

location ~* \.（txt|doc）${

root /data/www/www;

denyall;

}

03. 根據IP地址或網路進行訪問策略控制

location / {

deny 192.168.1.1;

allow 192.168.1.0/24;

allow 10.1.1.0/16;

deny all;

}

04. 採用if判斷方式，進行訪問控制

if （$remote_addr = 10.0.0.7 ）{

return 403;

}

2.6 配置Nginx，禁止非法域名解析訪問企業網站

第一種方式：配置一個server虛擬主機區塊，放置在所有server區塊最前面

server {

listen 80;

server_name - ;

return 501;

}

第二種方式：將計就計，通過你的域名訪問時候，自動跳轉到我的域名上

server {

listen 80 default_server;

server_name _;

rewrite ^（.*） http://www.oldboyedu.com/$1 permanent;

}

if （$host !~ ^www\.oldboyedu\.com$）

{

rewrite ^（.*） http://www.oldboyedu.com/$1 permanent;

}

2.7 Nginx圖片及目錄防盜鏈解決方案

什麼是資源盜鏈 ?

簡單地說，就是某些不法網站未經許可，通過在其自身網站程式裡非法呼叫其他網站的資源，然後在自己的網站上顯示這些呼叫的資源，達到填充自身網站的效果。

實現盜鏈過程：

01. 真正的合法網站(盜鏈的目標) web01 www.oldboyedu.com www站點目錄有一個oldboy.jpg圖片

# 配置靜態虛擬主機

server {

listen 80;

server_name www.oldboyedu.com;

location / {

root html/www;

index index.html index.htm;

}

# 確認生成盜鏈檔案

02. 不合法的網站(真正盜鏈網站) www.daolian.com

# 編寫一個html盜鏈檔案

<html>

<head>

<title>老男孩IT教育</title>

</head>

<body bgcolor=green>

老男孩IT教育的部落格！

<br>我的部落格是

<a

href="http://www.oldboyedu.com" target="_blank">部落格地址

</a>

<img src="http://www.oldboyedu.com/oldboy.jpg">

</body>

</html>

編寫盜鏈虛擬主機

server {

listen 80;

server_name www.daolian.org;

location / {

root html;

index index.html index.htm;

}

至此就實現了盜鏈。

03 常見防盜鏈解決方案的基本原理

1) 根據HTTP referer實現防盜鏈

利用referer，並且針對副檔名rewrite重定向，下面的程式碼為利用referer且針對副檔名rewrite重定向，即實現防盜鏈的Nginx配置。

location ~* /\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {

root html/www;

valid_referers none blocked *.oldboyedu.com oldboyedu.com;

if （$invalid_referer）{

rewrite ^/ http://www.oldboyedu.com/img/nolink.jpg;

}

設定expires的方法如下：

[[email protected] www]# cat /application/nginx/conf/extra/www.conf

server {

listen 80;

server_name www.oldboyedu.com;

root html/www;

index index.html index.htm;

access_log logs/www_access.log main;

#Preventing hot linking of images and other file types

location ~* ^.+\.（gif|jpg|png|swf|flv|rar|zip）$ {

valid_referers none blocked server_names *.oldboyedu.com oldboyedu.com;

if （$invalid_referer）{

rewrite ^/ http：//www.oldboyedu.com/img/nolink.jpg;

}

access_log off;

root html/www;

expires 1d;

break;

}

2) 根據cookie防盜鏈

3) 通過加密變換訪問路徑實現防盜鏈

4) 在所有網站資源上新增網站資訊，讓盜鏈人員幫你做推廣宣傳

2.8 NGINX錯誤頁面友好顯示

範例1：對錯誤程式碼403實行本地頁面跳轉，命令如下：

###www

server {

listen 80;

server_name www.oldboyedu.com;

location / {

root html/www;

index index.html index.htm;

}

error_page 403 /403.html; #<==當出現403錯誤時，會跳轉到403.html頁面

}

# 上面的/403.html是相對於站點根目錄html/www的。

範例2：50x頁面放到本地單獨目錄下，進行優雅顯示。

# redirect server error pages to the static page /50x.html

error_page 500 502 503 504 /50x.html;

location = /50x.html {

root /data0/www/html;

}

範例3：改變狀態碼為新的狀態碼，並顯示指定的檔案內容，命令如下：

error_page 404 =200 /empty.gif;

server {

listen 80;

server_name www.oldboyedu.com;

location / {

root /data0/www/bbs;

index index.html index.htm;

fastcgi_intercept_errors on;

error_page 404 =200 /ta.jpg;

access_log /app/logs/bbs_access.log commonlog;

}

範例4：錯誤狀態碼URL重定向，命令如下：

server {

listen 80;

server_name www.oldboyedu.com;

location / {

root html/www;

index index.html index.htm;

error_page 404 https://oldboy.cnblogs.com;

#<==當出現404錯誤時，會跳轉到指定的URL https://oldboy.cnblogs.com頁面顯示給使用者，這個URL一般是企業另外的可用地址

access_log /app/logs/bbs_access.log commonlog;

}

2.9 Nginx站點目錄檔案及目錄許可權優化

2.10 Nginx防爬蟲優化

範例1：阻止下載協議代理，命令如下：

## Block download agents ##

if （$http_user_agent ~* LWP：：Simple|BBBike|wget）

{

return 403;

}

範例2：新增內容防止N多爬蟲代理訪問網站，命令如下：

這些爬蟲代理使用“|”分隔，具體要處理的爬蟲可以根據需求增加或減少，新增的內容如下：

{

return 403;

}

2.11 利用Nginx限制HTTP的請求方法

#Only allow these request methods

if （$request_method ！~ ^（GET|HEAD|POST）$ ） {

return 501;

}

#Do not accept DELETE，SEARCH and other methods

2.12 使用普通使用者啟動nginx

1、切換到普通使用者家目錄下，建立nginx所需檔案

[[email protected] ~]$ mkdir -p blog/{conf,logs,html}

[[email protected] ~]$ cd blog/

[[email protected] blog]$ cp /application/nginx/conf/nginx.conf.default ./conf/

[[email protected] blog]$ grep -vE "^$|#" conf/nginx.conf.default > conf/nginx.conf

[[email protected] blog]$ cp /application/nginx/conf/mime.types conf/

2、編寫配置檔案

[[email protected] ~]$ cat blog/conf/nginx.conf

worker_processes 4;

worker_cpu_affinity 0001 0010 0100 1000;

worker_rlimit_nofile 65535;

error_log /home/nginx/blog/logs/error.log;

user inca inca;

pid /home/nginx/blog/logs/nginx.pid;

events {

use epoll;

worker_connections 1024;

}

http {

include mime.types;

default_type application/octet-stream;

sendfile on;

keepalive_timeout 65;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

server {

listen 8080;

server_name www.etiantian.org;

root /home/nginx/blog/html;

location / {

index index.html index.htm;

}

access_log /home/nginx/blog/logs/web_blog_access.log main;

}

注意：普通使用者不能使用知名埠，需要使用其他埠啟動服務

3、檢查配置檔案語法，並啟動nginx服務

/application/nginx/sbin/nginx -t -c /home/nginx/blog/conf/nginx.conf

或

/application/nginx/sbin/nginx -c /home/nginx/blog/conf/nginx.conf &>/dev/null &

注意：忽略一些不正確的輸出資訊

Linux運維Nginx軟體優化之安全優化

一、Nginx優化分類安全優化(提升網站安全性配置) 效能優化(提升使用者訪問網站效率) 二、Nginx安全優化 2.1 隱藏nginx版本資訊優化官方引數： 1 2 3 Syntax: server_toke

Linux運維Nginx軟體優化之日誌優化

1. 配置Nginx服務相關日誌操作 1) 進行日誌的切割 1 2 3 4 5 6 7 [[email protected] ~]# mkdir /server/scripts/ -p [[email&

Linux運維Nginx軟體優化之Nginx效能優化

1. 優化nginx worker進行個數 nginx服務主要有兩個重要程序： 01) master程序：可以控制nginx服務的啟動停止或重啟 02) worker程序：處理使用者請求資訊，幫助使用者向後端服務進行請求(php mysql) 新增worker程序方法

Linux運維常用shell指令碼之使用者管理例項

1、用shell指令碼批量建立Linux使用者實現要求：建立使用者student1到student50,指定組為student組！而且每個使用者需要設定一個不同的密碼！ #!/bin/bash for i in `seq 1 50` do useradd -G

Linux運維Nginx訪問日誌（access_log）配置實戰

Nginx訪問日誌（access_log） Nginx訪問日誌介紹 Nginx軟體會把每個使用者訪問網站的日誌資訊記錄到指定的日誌檔案裡，供網站提供者分析使用者的瀏覽行為等，此功能由ngx_http_log_module模組負責。對應的官方地址為：htt

Linux運維之道之ENGINEER1.2(HTTP服務基礎，網頁內容訪問，安全web）

達內 linux運維engineer ENGINEER1.2HTTP服務基礎基於B/S架構的網頁服務----服務端提供頁面；----瀏覽器下載並顯示頁面；--------------------------------------------------------------------------

Linux運維之docker虛擬化部署nginx

pre 完全 uname bin fire 17. details label auto 一、Docker的概念 Docker 是一個開源的應用容器引擎，讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中，然後發布到任何流行的 Linux 機器上，也可以實現虛擬化。容

Linux運維之道-軟體管理(yum.rpm,make)

轉載於：https://blog.csdn.net/liulong1010/article/details/84726331 軟體管理目前流行的軟體包格式: 可直接執行的RPM與DEB、原始碼形式的gzip與bzip2壓縮包 RPM軟體包管理 rpm rpm [選項

Linux運維之道-軟體管理

文章目錄軟體管理 RPM軟體包管理 rpm YUM安裝軟體包設定YUM源 YUM 原始碼編譯安裝軟體常見問題分析 1、軟

Linux運維學習筆記之十七：LNMP的WEB架構深度優化之效能優化

第二十七章LNMP的WEB架構深度優化之效能優化一、Nginx效能優化-配置Nginx的worker程序個數 1、worker的作用和初始設定 worker_processes就是worker角色的程序個數，也就是nginx啟動後有多少個worker處理http請求。ma

盤點Linux運維常用工具(二)-web篇之nginx

1.nginx的概述 1、nginx是一個開源的、支援高效能、高併發的WWW服務和代理服務軟體 2、是由俄羅斯人Igor Sysoev開發的，具有高併發、佔用系統資源少等特性 3、官網：http://nginx.org #特點 1、支援高併發：能支援幾萬併發連線 2、資源消耗少：在3萬併發

Linux運維學習筆記之二：常用命令2

linux 運維筆記71、passwd：修改用戶密碼語法passwd [參數]username選項-k --keep-tokens ：保留即將過期的用戶在期滿後仍能使用-l --lock ：鎖定用戶無權更改其密碼，只能root才能操作-u --unlock ：解除鎖定-S --status ：查看用戶狀

20170825L08-05老男孩linux實戰運維培訓-Lamp系列之-Apache服務生產實戰應用指南02

apache這一節說Apache的安裝目錄文件具體介紹了一些重要文件的配置tree -L 1 /usr/local/apache[[email protected] extra]# tree -L 1 /usr/local/apache/usr/local/apache├── apache ->

20170830L08-06老男孩linux實戰運維培訓-Lamp系列之-Apache服務生產實戰應用指南03

apache還是說的apache的設置這一次說的是虛擬主機主要配置文件httpd.confhttpd-vhhsots.confhttpd.conf主要控制目錄的訪問httpd-vhosts.conf控制域名的轉換，要別名，日誌的路徑對於實驗中的訪問主機中要設置 hosts文件<Directory "/v

linux運維、架構之路-linux文件屬性

增加軟連接 ext4 源文件 linux文件屬性屬性 sys dump 剩余空間 1、查看文件屬性 ls -lhi 文件屬性詳細說明 1. 第一列： inode索引節點編號 2. 第二列：文件類型及權限 3. 第三列：硬鏈接數 4. 第四列：

linux運維、架構之路-dnsmasq+Stunnel+sniproxy加密代理

安裝配置 mkdir 國外之路 ipv6 nobody gettext build 1、環境介紹 [[email protected] ~]# cat /etc/redhat-release CentOS release 6.8 (Final) [[ema

Linux運維學習之數組

數組 2107/9/15 周五今天我給大家分享一波數組，那麽數組是什麽呢？數組是存儲多個元素的連續的內存空間，相當於多個變量的集合，數組包括數組名和索引，當我們新建了一個數組之後就可以使用其中的索引來搞一波事情，既然有索引有編號，數組又是連續的，那麽無序的數組就叫做稀疏數組，而且我

linux運維、架構之路-shell編程入門

if語句 blog exp chkconfig 問題架構之路判斷目錄 cal 常用一、shell編程入門必備基礎 1、vim編輯器的命令，vimrc設置 2、150個linux基礎命令 3、linux中基礎的系統服務crond，ssh網絡服務，nfs,rsync,in

Linux運維學習之cobbler自動安裝系統

cobbler 自動本篇博文是使用cobbler的小工具來實現我們的系統的自動安裝，說這個工具小吧，其實它其中包含了很多的工具，當然了我們需要使用epel源來實現我們的安裝，epel的源的修改地址在/etc/yum.repos.d/下，我們可以把自己想配置的epel源或者本地倉庫的修改文件放在這下面，

從苦逼到牛逼，詳解Linux運維工程師的打怪升級之路

locking syn 主從復制自動緩沖器 agen 知識 ssa del 做運維也快四年多了，就像遊戲打怪升級，升級後知識體系和運維體系也相對變化挺大，學習了很多新的知識點。運維工程師是從一個呆逼進化為苦逼再成長為牛逼的過程，前提在於你要能忍能幹能拼，還要具有敏銳

Linux運維Nginx軟體優化之安全優化

相關推薦