- 综合排序
- 最热优先
- 最新优先
- 来自专栏后端技术探索
确保nginx安全的10个技巧
下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。 1. 在配置文件中小心使用"if" 它是重写模块的一部分,不应该在任何地方使用。 IfIsEvil:http://wiki.nginx.org/IfIsEvil 2. 将每个~ .php$请求转递给PHP 我们上周发布了这个流行指令的潜在安全漏洞介绍。 client_body_timeout 10; client_header_timeout 10; keepalive_timeout 5 5; send_timeout 10; 8. 试着避免使用HTTP认证 HTTP认证默认使用crypt,它的哈希并不安全。如果你要用的话就用MD5(这也不是个好选择但负载方面比crypt好) 。 10. 保持与最新的Nginx安全更新 转自:http://www.levigross.com/post/4488812448/10-tips-for-securing-nginx 个人觉得在防止DDOS攻击这方面
82320发布于 2018-08-09 - 来自专栏技术杂记
nginx基础10
启动nginx [root@h102 logs]# /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf [root@h102 logs]# 两种方法查看进程号 1.使用 ps 2.使用 pid 文件 [root@h102 logs]# ps fuax | grep nginx root 11761 0.0 0.0 Ss 15:23 0:00 nginx: master process /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf ]# cat /usr/local/nginx/logs/nginx.pid 11756 [root@h102 logs]# 此刻就可以使用浏览器进行访问了 Note: 本地要打开防火墙 -A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPThttp://soft.dog/2015/10/09/nginx-basic/
26810编辑于 2022-05-12 - 来自专栏UQUQ
Nginx安全规则
|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) { return 444; } #下载欺骗 让他拉10G php)|(config)|(\')|(\.bak)") { return 301 http://lg-dene.fdcservers.net/10GBtest.zip; }
83910编辑于 2023-05-11 - 来自专栏咻一咻
Nginx安全基线检查
Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf | 身份鉴别 描述 1.执行系统命令passwd -S nginx来查看锁定状态 出现Password locked证明锁定成功 如:nginx LK … (Password locked.)或nginx L … 2.默认符合,修改后才有(默认已符合) 3.执行系统命令passwd -l nginx进行锁定 加固建议 配置Nginx账号登录锁定策略: 1、Nginx服务建议使用非root用户( 2、可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。 3. 或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 操作时建议做好记录或备份 针对Nginx SSL协议进行安全加固 | 服务配置 描述 Nginx SSL协议的加密策略进行加固
3.3K30发布于 2020-05-29 - 来自专栏首富手记
Nginx的安全配置
nginx的安全配置 Nginx_auth_basic_module 简单认证 用"http basic authentication(简单的认证)"来限制用户的访问 一般的用法 location / { auth_basic string; auth_basic_user_file /etc/nginx/conf.d/htpasswd; } Syntax: auth_basic string
97130发布于 2019-03-14 - 来自专栏木子墨的前端日常
Nginx实践--安全升级
之前写了一些nginx的东西,这次继续,主要使用upstream针对proxy_pass转发做个处理 一般情况下我们在使用nginx反向代理的时候,都是如下配置, ... location /api 如果我们可以反向代理,如果别人也知道了我们的接口域名也不是可以自己搭一个nginx服务器就可以代理到我们的接口服务器上去???是不是感觉很危险,是的。。。 详细的配置内容还是建议大家参考Nginx upstream官方文档。 此外,除了安全性方面,使用内网ip进行接口转发也省去了转发中的DNS重新解析的过程,有利于大幅提升接口转发效率。 综上,在proxy_pass转发中我们使用了两种方案来对安全性做一些提升 proxy_pass转发到外网域名,同时在接口服务器上添加访问来源白名单,把nginx服务器的ip写进去 proxy_pass转发到内网域名 这样在安全和效率高上就都能得到一定的提升。 如有错误,欢迎大家指正 好好学习,天天向上~~
1.2K30发布于 2018-12-18 - 来自专栏后端技术探索
nginx安全加固心得
nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。 本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。 在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。 head> <body bgcolor="white">
400 Bad Request
nginx 10、目录只读 如果没有上传需求,完全可以把网站根目录弄成只读的,加固安全。 做了一点小动作,给网站根目录搞了一个只读的挂载点。 4.2K71发布于 2018-08-10 - 来自专栏开源部署
Nginx安全的配置
安全无小事,安全防范从nginx配置做起。 隐藏版本号http { server_tokens off;}经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 MD5;}ssl on:开启https;ssl_certificate:配置nginx ssl证书的路径ssl_certificate_key:配置nginx ssl证书key的路径ssl_protocols : 指定客户端建立连接时使用的ssl协议版本,如果不需要兼容TSLv1,直接去掉即可ssl_ciphers: 指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法;添加黑白名单白名单配置location ;client_header_timeout 10;keepalive_timeout 5 5;send_timeout 10;client_body_timeout:表示读取请求
1.7K10编辑于 2022-06-08 - 来自专栏腾讯云安全的专栏
nginx安全配置小技巧
nginx官网下载地址为:http://nginx.org/en/download.html 2.消除目录浏览漏洞:nginx默认不允许目录浏览,请检查目录浏览的相关配置,确保没有目录浏览漏洞:检查各个配置文件 autoindex off 3.开启访问日志:开启日志有助于在发生安全事件后回溯分析事件的原因和定位攻击者。默认情况下,nginx已经开启日志访问功能。 access_log /backup/nginx_logs/access.log combined; 4.目录安全配置:nginx应该严格保证用户上传文件的目录没有执行脚本的权限,如取消upload (php|php5)$ { deny all; } 5.管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,nginx限制白名单ip访问的配置日下: location ~ ^ Nginx存在默认目录: ? 删除如下配置信息。
1.8K40发布于 2018-06-12 - 来自专栏凯哥Java
win10上安装nginx
win10上安装nginx 我本地环境:win10-64位。 1. d盘根目录下,如下图所示: 图片 图片 进入window的cmd窗口,输入如下图所示的命令,进入到nginx目录(D:/nginx-1.8.1),使用“start nginx.exe ”进行nginx 的安装,如下图所示: 图片 安装成功后,在“任务管理器”中会看到“nginx.exe”进程,如下图所示: 图片 在浏览器地址栏输入:127.0.0.1,会看到如下图所示的nginx欢迎界面 图片 nginx.exe -s stop //停止nginx nginx.exe -s reload //重新加载nginx nginx.exe -s quit //退出nginx 注:以上的命令中,.exe 可以去掉 相应命令的操作如下图所示: 图片 nginx配置文件 nginx配置文件为nginx.conf,相应操作如下图所示: 图片 nginx配置文件解析: http://www.2cto.com
1K30编辑于 2022-12-16 - 来自专栏ops技术分享
Nginx结构原理全解析(10)
4 reload 流程 1)向master进程发送HUP信号(reload命令) 2)master进程校验配置语法是否正确 3)master进行打开新的监听端口 4)master进程用新配置启动新的worker子进程 5)master进程向老worker子进程发送QUIT信号 6)老worker进程关闭监听句柄,处理完当前连接后结束进程 image.png
30330发布于 2021-05-11 - 来自专栏性能与架构
Nginx 配置文件安全分析
简介 Gixy 是一个 Nginx 配置文件的分析工具,主要目标是防止由于不当的配置带来的安全问题 Gixy 是进行静态分析,只需要指定配置文件的路径,不需要启动任何环境 使用示例 配置文件 t.conf v1/see%20below%0d%0ax-crlf-header:injected.json 这个请求可以匹配上面的 location,响应信息为: HTTP/1.1 200 OK Server: nginx Gixy 可以对配置文件中 include 的其他文件也一起进行分析,例如主配置文件 nginx.conf 引入了其他的配置: include servers/*; 使用 gixy 分析 nginx.conf Referer 验证中允许为空 (7)响应头中使用多行形式 安装 Gixy 发布在 PyPI 上,安装非常简单: pip install gixy 安装后就可以执行 gixy 命令 小结 Gixy 简单实用,我对安全方面了解不多 ,用 gixy 检查一遍会感觉踏实很多,建议使用 Nginx 的朋友都试一下 Gixy 发布时间不长,但已经有了4千多个星,项目地址: https://github.com/yandex/gixy
1.3K90发布于 2018-04-04 - 来自专栏区块链入门
【NGINX入门】10.Nginx代理smtp、pop等邮件服务
摘要 本文讲解Nginx代理smtp、pop等邮件服务的配置和样例代码。 环境需要: 1、需要一台nginx做mail的反向代理 2、需要一台做认证的php环境 3、一台测试客户机(测试邮件发送采用sendEmail) 整个流程: 客户机发邮件---->nginx- 部署实践 2.1 部署nginx 这里基本就一笔带过了。最简单的编译参数即可。 但需保证有--with-mail wget http://nginx.org/download/nginx-1.0.4.tar.gz tar -zxf nginx-1.0.4.tar.gz cd nginx /configure –prefix=/usr/local/nginx –with-mail –without-http make && make install 2.2 配置nginx 直接上配置。
10.5K31发布于 2021-02-04 - 来自专栏Yangsh888的专栏
WordPress 网站安全:Nginx 规则配置
只需简单设置 Nginx 规则,就能提高 WordPress 网站的安全性,比如限制访问 XMLRPC、限制请求类型、禁止直接访问 PHP 文件和禁止访问某些敏感文件等。 将如下代码,放到 WordPress 站点所使用的 Nginx 配置文件 server {} 内即可。 2.限制请求类型 大多数情况下,您的网站可能只执行两种类型的请求: GET - 从你的网站上检索数据 POST - 将数据提交到你的网站 所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。 为了更安全,最好禁用对这些文件的直接访问。 location ~ /\.
1.8K20编辑于 2022-03-24 - 来自专栏kali blog
Nginx 安全攻防利器 Nginxpwner
Nginx是一款轻量级的高性能 HTTP 服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。它在处理高并发连接方面表现出色,占用系统资源少,被广泛应用于各种 Web 项目中。 但攻击者可根据其相关安全版本缺陷,制定相应的攻击策略。nginxpwner这是这样一款工具,让我们一起来看看! 主要功能 检查网站是否使用PHP,并建议针对PHP网站的一些Nginx特定测试。
40710编辑于 2025-07-28 - 来自专栏搜狗测试
初识Nginx性能安全优化
方案一:配置Nginx gzip压缩提升性能 Nginx gzip压缩模块提供了压缩文件内容的功能,用户请求的内容在发送到客户端之前,Nginx服务器会根据一些具体的策略实施压缩,以节约网站出口带宽,同时加快数据传输效率 keepalive_timeout 65;default_type application/octet-stream;limit_conn_zone $binary_remove_addr zone=addr:10m root html;index index.html index.htm;limit_conn addr 1; # 设置单IP连接数为1 }}} 在客户端使用ab测试工具进行测试: ab -c 2 -n 10 http://127.0.0.1/ 模拟并发连接2,访问服务器10次,可看到状态码200和503间隔是1:1 说明nginx已经做了并发连接的限制,对超时连接做出了503响应。 所以当我们在做需求的时候,除了基本的“测试保障”,同时也需要了解架构实现细节,优化安全与效率性,切实测出一个可用、平稳、高效的线上产品。
75910发布于 2019-06-20 - 来自专栏JAVA乐园
Nginx系列:安全下载模块
输出nginx所有已安装模块,检查是否有ngx_http_secure_link_module,因为这个模块没有默认编译,在编译Nginx时,必须使用明确的配置参数 --with-http_secure_link_module /configure --prefix=/usr/local/nginx --user=nginx \ --group=nginx --with-http_secure_link_module \ - -with-http_stub_status_module 执行mak编译nginx make make之后的操作需要注意,如果nginx第一次安装,直接执行make install即可 make install 如果单纯添加模块,不需要install,而是执行以下操作,将打过补丁的nginx二进制文件覆盖/usr/local/nginx/sbin/目录中的文件即可 #备份之前的nginx mv /usr/local /nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak #拷贝新的nginx到sbin目录 cp /nginx源码目录/objs/nginx /usr/
1.1K20发布于 2020-08-31 - 来自专栏陶辉笔记
10分钟快速认识Nginx
在Nginx诞生之初,它的下游协议仅支持HTTP/1协议,但随着版本的不断迭代,现在下游还支持HTTP/2、MAIL邮件、TCP协议、UDP协议等等。 Web场景面向的是公网,所以非常强调信息安全。 而Nginx对TLS/SSL协议的支持也非常彻底,它可以轻松的对下游或者上游装载、卸载TLS协议,并通过Openssl支持各种安全套件。 4个方面: 通过多路复用、事件驱动等技术,Nginx可以轻松支持C10M级别的并发; 由C语言编写,与操作系统紧密结合的Nginx(紧密结合到什么程度呢? Security安全问题的升级,比如15.6版本就修复了CVE-2018-16843等3个安全问题。 Nginx是集静态资源与负载均衡与一身的Web服务器,它支持C10M级别的并发连接,也通过与操作系统的紧密结合,能够高效的使用系统资源。
74820发布于 2020-12-18 - 来自专栏陶辉笔记
10分钟快速认识Nginx
在Nginx诞生之初,它的下游协议仅支持HTTP/1协议,但随着版本的不断迭代,现在下游还支持HTTP/2、MAIL邮件、TCP协议、UDP协议等等。 Web场景面向的是公网,所以非常强调信息安全。 而Nginx对TLS/SSL协议的支持也非常彻底,它可以轻松的对下游或者上游装载、卸载TLS协议,并通过Openssl支持各种安全套件。 4个方面: 通过多路复用、事件驱动等技术,Nginx可以轻松支持C10M级别的并发; 由C语言编写,与操作系统紧密结合的Nginx(紧密结合到什么程度呢? Security安全问题的升级,比如15.6版本就修复了CVE-2018-16843等3个安全问题。 Nginx是集静态资源与负载均衡与一身的Web服务器,它支持C10M级别的并发连接,也通过与操作系统的紧密结合,能够高效的使用系统资源。
78420发布于 2020-12-18 - 来自专栏小工匠聊架构
Nginx - 安全基线配置与操作指南
同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性 中间件安全基线配置手册 1. 概述 1.1 目的 本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。 编辑nginx.conf,在http模块中添加: client_body_timeout 10; client_header_timeout 30; keepalive_timeout 30 30; send_timeout 10; 2.7 设置 NGINX 缓冲区 防止缓冲区溢出攻击。 查看当前 Nginx 版本: nginx -v 官网下载最新的安全补丁:Nginx 下载。
1.2K00编辑于 2024-05-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号