成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

鴻蒙開發者社區

公眾號矩陣

移動端

視頻課免費課排行榜短視頻直播課軟考學堂

全部課程軟考信創認證華為認證廠商認證 IT技術 PMP項目管理免費題庫

文章資源問答課堂專欄直播

51CTO

鴻蒙開發者社區

51CTO技術棧

51CTO官微

51CTO學堂

51CTO博客

CTO訓練營

鴻蒙開發者社區訂閱號

51CTO軟考

51CTO學堂APP

51CTO學堂企業版APP

鴻蒙開發者社區視頻號

51CTO軟考題庫

賬號設置退出

Linux/VPS環境下Nginx安全配置小記

作者：王曄 2013-06-05 13:31:25

安全網站安全

關于Nginx介紹我就不多說了，本文主要記錄一下我所收集的一些有用的配置，多數是和服務器安全相關的。文中參考了nixCraft上的《Top 20 Nginx WebServer Best Security Practices》，這篇文章很有借鑒意義，詳細講解了Linux+Nginx服務器安全的方方面面。

關于Nginx介紹我就不多說了，下面主要記錄一下我所收集的一些有用的配置，多數是和服務器安全相關的。以下部分參考了nixCraft上的《Top 20 Nginx WebServer Best Security Practices》，這篇文章很有借鑒意義，詳細講解了Linux+Nginx服務器安全的方方面面，這篇文章的中譯版叫《20個Nginx Web服務器最佳安全實踐》。

1. 刪除不需要的Nginx模塊

我們可能根據我們的需要配置Nginx，當然在編譯時可以選擇某些不需要的模塊不編譯進去，比如精簡掉autoindex和SSI模塊，命令如下：

./configure --without-http_autoindex_module --without-http_ssi_module
make
make install

當然在編譯前可以通過下面的命令查看那些模塊是可以開啟或者關閉的：

./configure --help | less

2. 修改Nginx服務器名稱和版本號

著名的NETCRAFT網站可以很輕松的查到你服務器的操作系統和服務程序版本，或者HTTP Response Header也能向我們透露這些信息，很多情況下，這些信息將為黑客進行攻擊提供依據，因此我們需要對其進行偽裝。

編譯Nginx源文件src/http/ngx_http_header_filter_module.c，輸入以下命令：

vi +48 src/http/ngx_http_header_filter_module.c

找到下面兩行：

static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

改成如下，當然具體顯示什么你可以自己定義：

static char ngx_http_server_string[] = "Server: NOYB" CRLF;
static char ngx_http_server_full_string[] = "Server: NOYB" CRLF;

3. 修改Nginx配置文件

3.1 避免緩沖區溢出攻擊

修改nginx.conf并且為所有客戶端設置緩沖區大小限制：

vi /usr/local/nginx/conf/nginx.conf

編輯并且設置如下：

## Start: Size Limits & Buffer Overflows ##
  client_body_buffer_size  1K;
  client_header_buffer_size 1k;
  client_max_body_size 1k;
  large_client_header_buffers 2 1k;
## END: Size Limits & Buffer Overflows ##

當然也許你還需要配置下面的內容以便于改善服務器性能：

## Start: Timeouts ##
  client_body_timeout   10;
  client_header_timeout 10;
  keepalive_timeout     5 5;
  send_timeout          10;
## End: Timeouts ##

3.2 限制一些訪問

僅允許訪問我們指定的域名，避免有人掃描綁定當前IP的所有域名，或者避免直接的IP訪問以及惡意的域名綁定：

## Only requests to our Host are allowed
## i.e. nixcraft.in, images.nixcraft.in and www.nixcraft.in
  if ($host !~ ^(nixcraft.in|www.nixcraft.in|images.nixcraft.in)$ ) {
    return 444;
  }
##

當然，網上還流傳這么個寫法：

server {
  listen 80 default;
  server_name _;
  return 500;
}

限制一些方法，一般GET和POST已經夠我們用了，其實HTTP還定義有類似于DELETE、SEARCH等方法，用不到的話就拒絕這些方法訪問服務器：

## Only allow these request methods ##
  if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
  }
## Do not accept DELETE, SEARCH and other methods ##

下面這段參考了WordPress的官方Nginx配置。

3.3 全局的限制文件restrictions.conf

# Global restrictions configuration file.
# Designed to be included in any server {} block.</p>
location = /favicon.ico {
 log_not_found off;
 access_log off;
}
 
location = /robots.txt {
 allow all;
 log_not_found off;
 access_log off;
}
 
# Deny all attempts to access hidden files
# such as .htaccess, .htpasswd, .DS_Store (Mac).
location ~ /\. {
 deny all;
 access_log off;
 log_not_found off;
}

建立包含上述內容的文件，然后修改站點配置文件，比如說這里有個示例：

# Redirect everything to the main site.
server {
 server_name *.example.com;
 root /var/www/example.com;
 
 include restrictions.conf;
 
 // Additional rules go here.
}

責任編輯：藍雨淚來源：博客

Nginx安全配置 Nginx

51CTO技術棧公眾號

業務
速覽

媒體

51CTO CIOAge HC3i

社區

51CTO博客鴻蒙開發者社區 AI.x社區

教育

51CTO學堂精培企業培訓 CTO訓練營

主站蜘蛛池模板：国产日韩欧美一区二区 | 久久久久久国产精品免费 | 欧美日韩在线免费观看 | 日本在线视 | 国产激情视频网 | 99久久精品免费看国产免费软件 | 久久国产精品久久久久 | 中文字幕在线视频免费视频 | 欧美激情在线精品一区二区三区 | 精品一区国产 | 欧美激情一区二区 | 97久久国产| 国产精品美女www爽爽爽 | 久久国产精品久久久久 | 日韩成人一区二区 | 国产精品久久久久久久久免费樱桃 | 精品日韩 | 一区二区三区在线播放 | 欧美日韩亚洲三区 | 欧美色图另类 | 欧美一区二区三区久久精品 | 三级av在线 | 久久成人国产精品 | 亚洲成人网在线 | 亚洲狠狠 | 久久精品国产a三级三级三级 | 久久久精品 | 亚洲国产aⅴ成人精品无吗欧美激情欧美激情在线五月 | 国产精品美女一区二区三区 | 国产欧美日韩一区二区三区 | 日韩欧美字幕 | 午夜一级大片 | 日韩在线综合 | 日本精品久久久久 | 黑人巨大精品欧美一区二区免费 | 一级免费看片 | 久在线| 国户精品久久久久久久久久久不卡 | 日韩一区二区免费视频 | 欧美激情视频一区二区三区在线播放 | 午夜影院中文字幕 |