阅读量:2
隐藏版本信息与敏感标识
通过server_tokens off;指令禁用Nginx响应头中的版本号显示,避免攻击者根据版本信息针对性发起攻击;进一步可使用headers-more-nginx-module模块彻底移除Server: nginx标识,降低服务器指纹识别风险。
严格访问控制与权限管理
- IP黑白名单配置:使用
allow/deny指令限制敏感接口(如/admin)的访问范围,例如仅允许可信IP段访问,拒绝其他所有IP; - 非root用户运行:通过
user指令指定低权限系统用户(如nginx)启动Nginx进程,避免进程被攻破后直接获取root权限; - 目录与文件防护:禁用自动目录索引(
autoindex off;)防止敏感文件泄露,通过location指令限制对.conf、.log、.bak等敏感文件的访问(如location ~* \.(conf|log|bak)$ { deny all; })。
强化SSL/TLS加密配置
- 协议与加密套件优化:禁用SSLv2、SSLv3等不安全协议,启用TLS 1.3(
ssl_protocols TLSv1.3 TLSv1.2;);配置强加密套件(如ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; ssl_prefer_server_ciphers on;),提升数据传输安全性; - 证书管理:使用Let’s Encrypt等免费CA颁发有效证书(有效期建议≤1年),强制HTTP跳转HTTPS(
return 301 https://$host$request_uri;),并启用HSTS头部(add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";)强制客户端使用HTTPS。
请求频率与防DDoS防护
- 连接数与请求速率限制:通过
limit_conn_zone(如limit_conn_zone $binary_remote_addr zone=addr:10m;)定义IP地址连接数限制(如limit_conn addr 10;,单IP最大10个并发连接);使用limit_req_zone(如limit_req_zone $binary_remote_addr zone=req_limit:10m rate=1r/s;)限制请求速率(如每秒1个请求,允许突发5个),防止CC攻击或DDoS导致服务器资源耗尽; - 超时设置:调整
client_body_timeout(请求体超时)、client_header_timeout(请求头超时)、keepalive_timeout(长连接超时)等参数(如均设为10秒内),快速释放闲置连接,降低服务器负载。
防恶意请求与注入攻击
- HTTP方法过滤:使用
limit_except指令仅允许必要的HTTP方法(如GET、POST),拒绝TRACE、DELETE等危险方法(如limit_except GET POST { deny all; }); - URL与参数过滤:通过
if语句匹配恶意字符串(如SQL注入的union.*select、XSS的jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证: 粤B1-20215235 |
粤公网安备 44070302000974号
违法和不良信息举报中心 24 小时违法和不良信息举报热线:4006783389,举报邮箱:jubao@jindouyun.cn
