- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
4.Nginx安全加固与性能调优最佳指南
网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固; 本次进行Nginx服务调优加固主要从以下几个部分: 模块性能优化 系统内核优化 编译安装优化 性能参数优化 安全加固配置 1.2 安全配置 描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。 对Nginx进行安全配置可以有效的防范一些常见安全问题,按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行; Nginx安全配置项: 0.隐藏nginx服务及其版本 网站服务器高性能的同时下,为了保证其安全稳定运行,我们需要对nginx服务进行调优与加固; 本次进行Nginx服务调优加固主要从以下几个部分,模块性能优化,系统内核优化,编译安装优化,性能参数优化,安全加固配置 , 可以帮助安全开发运维者加速进行Nginx服务器相关优化。
4.4K21编辑于 2022-09-29 - 来自专栏技术杂记
nginx基础4
.. found checking for TCP_FASTOPEN ... not found checking for TCP_INFO ... found checking for accept4( ) ... found checking for eventfd() ... found checking for int size ... 4 bytes checking for long size checking for uint64_t ... found checking for sig_atomic_t ... found checking for sig_atomic_t size ... 4 path prefix: "/usr/local/nginx" nginx binary file: "/usr/local/nginx/sbin/nginx" nginx configuration prefix: "/usr/local/nginx/conf" nginx configuration file: "/usr/local/nginx/conf/nginx.conf" nginx
43910编辑于 2022-05-12 - 来自专栏UQUQ
Nginx安全规则
网站配置文件添加即可 #禁止下载以 XXX 后缀的文件 location ~ \.(zip|rar|sql|bak|gz|7z)$ { return 444; } #访问链接里含有 test 直接跳转到公安网 if ($request_uri ~* test=) { return 301 https://www.mps.gov.cn; } #防止SB爬虫 if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|Ahrefs
83910编辑于 2023-05-11 - 来自专栏咻一咻
Nginx安全基线检查
Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf 2、可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。 3. 4、 修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody; 如果您是docker用户,可忽略该项(或添加白名单) 操作时建议做好记录或备份 检查Nginx进程启动账号 root启动的; 3、如果是root启动,修改成nobody或者nginx账号; 备注: 4、修改完配置文件之后需要重新启动Nginx。 或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 操作时建议做好记录或备份 针对Nginx SSL协议进行安全加固 | 服务配置 描述 Nginx SSL协议的加密策略进行加固
3.3K30发布于 2020-05-29 - 来自专栏首富手记
Nginx的安全配置
nginx的安全配置 Nginx_auth_basic_module 简单认证 用"http basic authentication(简单的认证)"来限制用户的访问 一般的用法 location / { auth_basic string; auth_basic_user_file /etc/nginx/conf.d/htpasswd; } Syntax: auth_basic string
97130发布于 2019-03-14 - 来自专栏木子墨的前端日常
Nginx实践--安全升级
之前写了一些nginx的东西,这次继续,主要使用upstream针对proxy_pass转发做个处理 一般情况下我们在使用nginx反向代理的时候,都是如下配置, ... location /api 如果我们可以反向代理,如果别人也知道了我们的接口域名也不是可以自己搭一个nginx服务器就可以代理到我们的接口服务器上去???是不是感觉很危险,是的。。。 详细的配置内容还是建议大家参考Nginx upstream官方文档。 此外,除了安全性方面,使用内网ip进行接口转发也省去了转发中的DNS重新解析的过程,有利于大幅提升接口转发效率。 综上,在proxy_pass转发中我们使用了两种方案来对安全性做一些提升 proxy_pass转发到外网域名,同时在接口服务器上添加访问来源白名单,把nginx服务器的ip写进去 proxy_pass转发到内网域名 这样在安全和效率高上就都能得到一定的提升。 如有错误,欢迎大家指正 好好学习,天天向上~~
1.2K30发布于 2018-12-18 - 来自专栏后端技术探索
nginx安全加固心得
nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。 本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。 在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。 /(.*)$ $host permanent; } 知名程序,比如phpmyadmin location /(admin|phpadmin|status) { deny all; } 4、 10、目录只读 如果没有上传需求,完全可以把网站根目录弄成只读的,加固安全。 做了一点小动作,给网站根目录搞了一个只读的挂载点。
4.2K71发布于 2018-08-10 - 来自专栏开源部署
Nginx安全的配置
安全无小事,安全防范从nginx配置做起。 隐藏版本号http { server_tokens off;}经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。 设定保存各个键(例如$binary_remote_addr)状态的共享内存空间的参数,zone=空间名字:大小大小的计算与变量有关,例如$binary_remote_addr变量的大小对于记录IPV4地址是固定的 4 bytes,而记录IPV6地址时固定的16 bytes,存储状态在32位平台中占用32或者64 bytes,在64位平台中占用64 bytes。 413)错误,通常在上传文件到服务器时会受到限制large_client_header_buffers 表示一些比较大的请求头使用的缓冲区数量和大小,默认一个缓冲区大小为操作系统中分页文件大小,通常是4k
1.7K10编辑于 2022-06-08 - 来自专栏dotnet & java
Nginx-4.Nginx如何处理请求
基于server_name 的虚拟站点 Nginx首先需要确定使用哪个server来处理请求。 . } 第三个,监听80端口,为com站点 server { listen 80; server_name example.com www.example.com; } 因为端口一样,所以这个Nginx 如果过来的Host和3个都不匹配,或者说请求中没有Host头,那么nginx会使用默认的server。没有指定就是第一个。也可以通过default_server这个参数来指定。 一个简单的php站点配置 我们来看看Nginx如何确定php站点请求的文件地址。 Nginx只会检查url部分,不会考虑地址后面的参数。因为参数顺序不定。 举几个简单的例子: /logo.gif,先匹配第一个location,然后也匹配第二个,所以用第二个。
55210发布于 2020-02-29 - 来自专栏腾讯云安全的专栏
nginx安全配置小技巧
nginx官网下载地址为:http://nginx.org/en/download.html 2.消除目录浏览漏洞:nginx默认不允许目录浏览,请检查目录浏览的相关配置,确保没有目录浏览漏洞:检查各个配置文件 autoindex off 3.开启访问日志:开启日志有助于在发生安全事件后回溯分析事件的原因和定位攻击者。默认情况下,nginx已经开启日志访问功能。 access_log /backup/nginx_logs/access.log combined; 4.目录安全配置:nginx应该严格保证用户上传文件的目录没有执行脚本的权限,如取消upload (php|php5)$ { deny all; } 5.管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,nginx限制白名单ip访问的配置日下: location ~ ^ Nginx存在默认目录: ? 删除如下配置信息。
1.8K40发布于 2018-06-12 - 来自专栏区块链入门
【NGINX入门】4.Nginx location 匹配规则详细解说
摘要 本文介绍Nginx的location匹配规则和正则表达式说明入门。 2. location修饰符类型说明 Nginx 的 location 实现了对请求的细分处理,有些 URI 返回静态内容,有些分发到后端服务器等,今天来彻底弄懂它的匹配规则。 return 702; } } curl http://website.com/document HTTP/1.1 701 第一个前缀匹配^~命中以后不会再搜寻正则匹配,所以会第一个命中 案例 4 4. 参考 (1)Nginx系列教程(6)Nginx location 匹配规则详细解说[+正则表达式] https://developer.aliyun.com/article/753379 (2)正则表达式
5.9K40发布于 2021-02-04 - 来自专栏ops技术分享
Nginx结构原理全解析(4)
Nginx的基本功能 1.处理静态文件 2.反向代理加速 3.通过fastcgi,简单的负载均衡和容错。 4.SSL 支持 5.模块化 .Nginx应用场景 1.静态请求 2.反向代理 3.负载均衡 4.资源缓存 5.安全防护 6.访问限制IP 7.访问认证 Nginx代理 1.Nginx的正向代理 正向代理换言之 ,就是客户端知道目标主机地址,目标服务器只需要知道哪个代理服务器,不清楚来自哪个具体的客户端,正向代理屏蔽了或隐藏了真实客户端信息 2.Nginx的反向代理服务器 客户端请求的是代理服务器,并不住地后端的目标服务器
26620发布于 2021-05-11 - 来自专栏summerking的专栏
nginx点播mp4模块
如何通过浏览器直接播放MP4呢? 换句话说就是使nginx增加一个可以播放MP4的模块----模块ngx_http_mp4_module为H.264/AAC文件,主要是以 .mp4、.m4v、和.m4a为扩展名的文件,提供伪流媒体服务端支持 --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf 版本是1.16 包含有--with-http_mp4_module模块,检查如果没有可下载源码包从新编译添加 # 配置conf location ~ \.mp4 { root root root 2589760 Dec 15 09:58 123asd.mp4 # 验证
2.1K20编辑于 2022-10-27 - 来自专栏性能与架构
Nginx 配置文件安全分析
简介 Gixy 是一个 Nginx 配置文件的分析工具,主要目标是防止由于不当的配置带来的安全问题 Gixy 是进行静态分析,只需要指定配置文件的路径,不需要启动任何环境 使用示例 配置文件 t.conf Gixy 可以对配置文件中 include 的其他文件也一起进行分析,例如主配置文件 nginx.conf 引入了其他的配置: include servers/*; 使用 gixy 分析 nginx.conf servers 下的配置文件一起检查了,非常方便 可以分析出哪些问题 (1)ssrf 服务端请求伪造 (2)HTTP Splitting 响应拆分 (3)错误的 referrer/origin 验证 (4) Referer 验证中允许为空 (7)响应头中使用多行形式 安装 Gixy 发布在 PyPI 上,安装非常简单: pip install gixy 安装后就可以执行 gixy 命令 小结 Gixy 简单实用,我对安全方面了解不多 ,用 gixy 检查一遍会感觉踏实很多,建议使用 Nginx 的朋友都试一下 Gixy 发布时间不长,但已经有了4千多个星,项目地址: https://github.com/yandex/gixy
1.3K90发布于 2018-04-04 - 来自专栏Yangsh888的专栏
WordPress 网站安全:Nginx 规则配置
只需简单设置 Nginx 规则,就能提高 WordPress 网站的安全性,比如限制访问 XMLRPC、限制请求类型、禁止直接访问 PHP 文件和禁止访问某些敏感文件等。 将如下代码,放到 WordPress 站点所使用的 Nginx 配置文件 server {} 内即可。 2.限制请求类型 大多数情况下,您的网站可能只执行两种类型的请求: GET - 从你的网站上检索数据 POST - 将数据提交到你的网站 所以,只允许我们的网站执行这两种请求类型,也是增强安全性的做法。 wp-content|wp-includes|akismet)/.*.php$ { deny all; access_log off; log_not_found off; } 4. 为了更安全,最好禁用对这些文件的直接访问。 location ~ /\.
1.8K20编辑于 2022-03-24 - 来自专栏kali blog
Nginx 安全攻防利器 Nginxpwner
Nginx是一款轻量级的高性能 HTTP 服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。它在处理高并发连接方面表现出色,占用系统资源少,被广泛应用于各种 Web 项目中。 但攻击者可根据其相关安全版本缺陷,制定相应的攻击策略。nginxpwner这是这样一款工具,让我们一起来看看! 主要功能 检查网站是否使用PHP,并建议针对PHP网站的一些Nginx特定测试。
40710编辑于 2025-07-28 - 来自专栏JAVA乐园
Nginx系列:安全下载模块
/configure --prefix=/usr/local/nginx --user=nginx \ --group=nginx --with-http_secure_link_module \ - /nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak #拷贝新的nginx到sbin目录 cp /nginx源码目录/objs/nginx /usr/ (mp4)$){ #直接下载防止打开文件 格式: (mp4|txt|jpg) add_header Content-Disposition 'attachment;'; "; final static String F = "/"; final static String WARN = "path参数最好带上 \"/\" ,例: \"/abc.mp4\ md5=YO4diAmlVa8NfHlMBCMFaw&expires=1598071052 执行访问 ? 如果没有带参数访问 ? 超过20s访问,不在有权限访问 ?
1.1K20发布于 2020-08-31 - 来自专栏搜狗测试
初识Nginx性能安全优化
方案一:配置Nginx gzip压缩提升性能 Nginx gzip压缩模块提供了压缩文件内容的功能,用户请求的内容在发送到客户端之前,Nginx服务器会根据一些具体的策略实施压缩,以节约网站出口带宽,同时加快数据传输效率 gzip_buffers 4 16k;压缩缓冲区大小。表示申请4个单位为16K的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。 实际参数优化配置如下: gzip on;gzip_min_length 1k;gzip_buffers 4 32k;gzip_comp_level 5;gzip_types text/plain 实际配置文件如下: [root@Nginx conf]# cat nginx.confworker_processes 4;events {worker_connections 20480;}http 所以当我们在做需求的时候,除了基本的“测试保障”,同时也需要了解架构实现细节,优化安全与效率性,切实测出一个可用、平稳、高效的线上产品。
75910发布于 2019-06-20 - 来自专栏∑小熊猫的博客
Nginx系列(4) —— 反向代理的配置
Nginx 配置 —— 反向代理 反向代理相关概念 与反向代理所对应的是正向代理。正向代理中最为常见的例子就是vpn。 同时也要准备一个 Nginx服务器, Nginx 服务器的域名为 www.123.com. 时会自动切换到 127.0.0.1:8080 server { listen 80; server_name www.123.com; # 一般是nginx http://127.0.0.1:8080; index index.html index.htm index.jsp } } 反向代理的配置示例2: 在现实配置中,Nginx 使用 nginx 反向代理,根据访问的路径跳转到不同端口的服务中nginx 监听端口为 9001, 最终实现是: 访问 http://127.0.0.1:9001/edu/ 直接跳转到 127.0.0.1
1.8K10发布于 2020-11-25 - 来自专栏小工匠聊架构
Nginx - 安全基线配置与操作指南
概述 我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。 同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性 中间件安全基线配置手册 1. 概述 1.1 目的 本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。 Nginx基线配置 2.1 版本说明 使用Nginx官方稳定版本,当前提供下列版本: Nginx 1.22.1 Nginx 1.24.0 2.2 安装目录 /opt/nginx-{version} 2.3 查看当前 Nginx 版本: nginx -v 官网下载最新的安全补丁:Nginx 下载。
1.2K00编辑于 2024-05-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号