优化提升常见网络服务的安全性

优化Nginx服务的安全配置

Nginx安全优化包括:修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。

优化Nginx服务的安全配置

 修改版本信息,并隐藏具体的版本号

默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。

如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号


1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. … …
3.  
4. http{

5. server_tokens off;                            #在http下面手动添加这么一行
6.  
7. … …
8. }
9. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload       #重启服务
10. [root@proxy ~]# curl -I http://192.168.4.5     #查看服务器响应的头部信息

限制并发量

DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。

Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:


1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. … …
3. http{

4. … …
5. limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
6.     server {

7.         listen 80;
8.         server_name localhost;
9.    limit_req zone=one burst=5;
10.      }
11. }
12. #limit_req_zone语法格式如下:limit_req_zone key zone=name:size rate=rate;
13. #上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
14. #1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
15. #每秒中仅接受1个请求,多余的放入漏斗
16. #漏斗超过5个则报错
17. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

客户端使用ab测试软件测试效果:

[root@client ~]# ab -c 100 -n 100 http://192.168.4.5/

 拒绝非法的请求

网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post

                                                 具体HTTP请求方法的含义

nginx 安全基线_Nginx

未修改服务器配置前,客户端使用不同请求方法测试:


1. [root@client ~]# curl -i -X GET http://192.168.4.5            #正常
2. [root@client ~]# curl -i -X HEAD http://192.168.4.5            #正常
  1. curl命令选项说明:
  2. -i选项:访问服务器页面时,显示HTTP的头部信息
  3. -X选项:指定请求服务器的方法

通过如下设置可以让Nginx拒绝非法的请求方法:


1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. http{

3. server {

4.      listen 80;
5. #这里,!符号表示对正则取反,~符号是正则匹配符号
6. #如果用户使用非GET或POST方法访问网站,则retrun返回错误信息
7. if ($request_method !~ ^(GET|POST)$ ) {
8. return 444;
9.  }    
10.            }
11. }
12. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

修改服务器配置后,客户端使用不同请求方法测试:


1. [root@client ~]# curl -i -X GET http://192.168.4.5            #正常
2. [root@client ~]# curl -i -X HEAD http://192.168.4.5            #报错   ----因为配置文件不允许别的访问

防止buffer溢出

当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。

如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。

修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。


1. [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
2. http{

3. client_body_buffer_size 1k;
4. client_header_buffer_size 1k;
5. client_max_body_size 1k;
6. large_client_header_buffers 2 1k;
7. … …
8. }
9. [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload