Nginx-安全加固/安全基线
[TOC]
网络安全的重要性不言而喻。
那么小伙伴们有没有在日常使用 Nginx 的时候,特意去关注下它的安全配置呢?
今天松哥和小伙伴们讨论一下如何安全的使用 Nginx,给大伙几个建议。
一 使用最新版
建议使用最新版的 Nginx,对于已经部署的 Nginx,要及时更新到最新版本,以确保所有已知的安全漏洞都已修补。
Nginx 下载地址:https://nginx.org/en/download.html
二 限制连接数量
Nginx 可以通过 limit_conn_zone 和 limit_conn 两个组件来对客户端访问目录和文件的访问频率和次数进行限制,两个模块都能够对客户端访问进行限制,具体如何使用要结合公司业务环境进行配置。
举个简单的例子:
1 | http { |
这里涉及到三个配置项:
- limit_zone: 是针对每个 IP 定义一个存储 session 状态的容器,这个示例中定义了一个 10m 的容器,假设每个 session 的大小是 32bytes,那么可以处理 327680 个 session。
- limit_conn ops 1:限制每个 IP 只能发起一个并发连接。
- limit_rate 300k: 对每个连接限速 300k. 注意,这里是对连接限速,而不是对 IP 限速。如果一个 IP 允许两个并发连接,那么这个 IP 就是限速
limit_rate × 2
。
三 限制请求频率
Nginx 可以通过限制请求频率来防止服务器过载,最常见的场景就是登录请求,可以通过限制请求频率防止账号暴力破解。
Nginx 官方版本限制 IP 的连接和并发分别有两个模块:
- limit_req_zone:用来限制单位时间内的请求数,即速率限制,采用的漏桶算法 “leaky bucket”。
- limit_req_conn 用来限制同一时间连接数,即并发限制。
举个栗子:
1 | http { |
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
- 第一个参数:$binary_remote_addr 表示通过 remote_addr 这个标识来做限制,“binary_” 的目的是缩写内存占用量,是限制同一客户端 ip 地址。
- 第二个参数:zone=mylimit:10m 表示生成一个大小为 10M,名字为 mylimit 的内存区域,用来存储访问的频次信息。
- 第三个参数:rate=1r/s 表示允许相同标识的客户端的访问频次,这里限制的是每秒 1 次,还可以有比如 30r/m 的。
limit_req zone=mylimit burst=5 nodelay;
- 第一个参数:zone=one 设置使用哪个配置区域来做限制,与上面 limit_req_zone 里的 name 对应。
- 第二个参数:burst=5,重点说明一下这个配置,burst 爆发的意思,这个配置的意思是设置一个大小为 5 的缓冲区,当有大量请求(爆发)过来时,超过了访问频次限制的请求可以先放到这个缓冲区内。
- 第三个参数:nodelay,如果设置,超过访问频次而且缓冲区也满了的时候就会直接返回 503,如果没有设置,则所有请求会等待排队。
四 防止目录遍历
在 Nginx 配置中设置 autoindex off
来防止目录遍历攻击。
这个一般是如果你要做文件服务器,根据自己的实际需求,有需要的话这个功能可以打开,否则将之关闭即可。
1 | location / { |
五 隐藏 Nginx 版本号
攻击者如果能够确定服务器使用的 Nginx 版本,可能会利用这个信息来寻找和利用已知的漏洞进行攻击。因此,隐藏版本信息可以提高服务器的安全性,使攻击者难以通过版本信息推断出服务器可能存在的安全漏洞。
要隐藏 Nginx 版本号,有三个办法,一般来说我们使用第一种方式就可以了。
修改配置文件
在 Nginx 的配置文件中,在 http
块中添加以下配置:
1 | server_tokens off; |
这样设置后,Nginx 将不会在错误页面上显示版本号。
配置完成之后,保存配置文件并重新加载 Nginx 以应用更改:
1 | nginx -t # 测试配置文件是否正确 |
这种方法可以隐藏错误页面上的版本信息,但可能无法完全隐藏所有响应头中的版本信息 。
修改 Nginx 源码
如果想要从根源上修改 Nginx 版本信息,需要重新编译 Nginx,步骤如下:
- 修改
src/core/nginx.h
文件中的版本定义。 - 修改
src/http/ngx_http_header_filter_module.c
文件中的服务器字符串。 - 修改
src/http/ngx_http_special_response.c
文件中的错误页面底部信息。
修改完这些文件后,需要重新编译 Nginx。这样编译安装后,Nginx 的版本信息将被彻底修改 。
使用第三方模块
如果需要动态修改响应头中的版本信息,可以使用如 headers-more-nginx-module
模块。这个模块允许你动态地添加、修改或删除 Nginx 的响应头。通过这个模块,可以完全控制 Server
响应头的内容 。
选择哪种方法取决于你的具体需求和环境。
如果你只是想简单地隐藏版本信息,修改配置文件可能是最简单的方法。如果你需要更彻底地控制版本信息,可能需要考虑修改源码并重新编译 Nginx。
六 设置超时时间
设置 Nginx 的超时配置是非常重要的,因为它可以影响服务器的性能和资源的有效利用。
比较常见的超时配置有四个:
- keepalive_timeout:这个指令设置了与客户端的
keep-alive
连接超时时间。如果连接在指定时间内没有数据传输,Nginx 将关闭该连接。默认值通常是 75 秒。这个设置对于频繁访问的站点尤其重要,因为它减少了连接建立和断开的开销。 - client_body_timeout:这个指令指定了客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。默认值通常是 60 秒。
- client_header_timeout:这个指令指定了客户端向服务端发送一个完整的 request header 的超时时间。如果在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。默认值通常是 60 秒。
- send_timeout:这个指令设置了服务端向客户端传输数据的超时时间。如果在指定时间内客户端没有接收到任何数据,连接将被关闭。默认值通常是 60 秒。
针对这四个比较常见的超时配置,松哥这里也给大家一个配置案例。
keepalive_timeout
这个指令控制了客户端与服务器之间的连接保持活动状态的时间。这对于减少 TCP 连接的开销非常有用,特别是在高流量的网站上。
1 | http { |
在这个配置中,keepalive_timeout
被设置为 60 秒,意味着如果 60 秒内没有数据传输,连接将被关闭。
client_body_timeout
这个指令设置了客户端发送请求体到服务器的超时时间。
1 | http { |
在这个配置中,client_body_timeout
被设置为 10 秒,适用于上传大文件的场景,确保如果客户端在 30 秒内没有完成文件上传,请求将被终止。
client_header_timeout
这个指令控制了客户端发送完整的 HTTP 请求头到服务器的超时时间。
1 | http { |
在这个配置中,client_header_timeout
被设置为 5 秒,意味着如果客户端在 5 秒内没有发送完整的 HTTP 请求头,服务器将终止连接。
send_timeout
这个指令设置了服务器发送响应到客户端的超时时间。
1 | http { |
在这个配置中,send_timeout
被设置为 10 秒,适用于后端服务响应慢的场景,确保如果后端服务在 10 秒内没有发送数据,客户端将收到超时响应。
七 仅允许域名访问
限制仅允许域名访问可以防止未授权的 IP 直接访问服务器,减少未备案域名解析到服务器 IP 导致的安全风险。
这个也有三种不同的配置方式,我们逐一来看。
使用两个 server
块
在 Nginx 配置文件中,你可以设置一个默认的 server 块,它将捕获所有不明确的域名请求,并返回 403 错误。然后,为特定的域名设置 server 块。
1 | server { |
在这个配置中,第一个 server
块会拦截所有不明确域名的请求,并返回 403 错误。第二个 server
块则是为特定域名 www.javaboy.org
提供服务的配置。
这个配置有两点需要注意:
- 如果没有显式声明 default server 则第一个 server 会被隐式的设为 default server。
- server_name 中的
_;
,并不是重点__
也可以,___
也可以。
使用 if
语句
还可以在特定的 server
块中使用 if
语句来检查 $host
变量,如果它不匹配你的域名,则返回 403 错误。
1 | server { |
这种方法允许你在特定域名的 server 块中直接控制访问权限,只有当 $host
变量与你的域名匹配时,才会允许访问。
直接禁止 IP
1 | http { |
这样配置后,只有通过指定的域名才能访问网站,直接通过 IP 地址访问将会受到限制。
八 限制 Nginx 请求方法
通过限制特定的 HTTP 请求方法,可以减少服务器受到自动化攻击的风险,并且可以防止某些类型的 Web 漏洞,如 SQL 注入或跨站脚本(XSS)攻击。
有两种配置方式,松哥来和大家逐一说明。
只允许 GET 和 POST
在 server
或 location
块中,使用 if
语句来检查请求方法,并返回 403 错误码以拒绝其他方法。
1 | server { |
这种方法会拒绝所有非 GET 和 POST 的请求方法。
使用 map 模块
对于更复杂的限制逻辑,可以使用 Nginx 的 map
模块来动态设置请求方法的限制。
1 | http { |
在这个例子中,所有 POST 和 PUT 请求都会被拒绝。
九 错误页面重定向
在 Nginx 中配置错误页面重定向,除了安全因素之外,还有很多好处,比如:
- 提升用户体验:通过提供更友好的错误页面,可以减少用户在遇到错误时的困惑和挫败感。
- 增强 SEO 效果:自定义错误页面可以帮助搜索引擎更好地理解网站结构,避免因错误页面导致的 SEO 问题。
- 维护品牌形象:错误页面是网站的一部分,通过自定义错误页面,可以保持品牌一致性,提升专业形象。
- 提供错误信息:自定义错误页面可以提供有用的错误信息或解决方案,帮助用户理解问题所在。
在 Nginx 配置文件中,可以使用 error_page
指令来定义特定错误代码的重定向页面。例如,将 404 错误重定向到自定义的 404 页面:
1 | server { |
在这个配置中,当 Nginx 返回 404 错误时,它会显示位于 /path/to/error/pages/404.html
的自定义错误页面,而不是默认的错误页面。internal
指令确保这个页面只对 Nginx 内部请求可见,不会被外部直接访问 。
当然,上面这个配置也可以同时枚举多个错误状态码:
1 | error_page 500 502 503 504 /50x.html; |
这个配置会将所有 500 系列错误重定向到 /50x.html
,并显示位于 /usr/share/nginx/html/50x.html
的自定义错误页面 。
十 日志保留半年
保留 Nginx 日志半年的原因有很多,比如:
- 安全审计:日志文件可以用于安全审计,帮助分析和追踪潜在的攻击或异常行为。
- 故障排查:在系统出现故障时,日志文件是诊断问题的重要工具,可以帮助快速定位问题原因。
- 性能监控:通过分析日志,可以了解网站的访问情况和性能瓶颈,从而进行相应的优化。
- 合规性要求:某些行业法规可能要求保留一定期限的日志记录,以满足合规性检查。
要配置 Nginx 日志保留半年,通常需要使用 logrotate
工具来实现日志文件的定期轮换和压缩。
这个工具配置并不难,松哥给大家举个栗子。
在 /etc/logrotate.d/
目录下创建一个名为 nginx
的配置文件,内容如下:
1 | /var/log/nginx/*.log { |
这个配置会每天检查 Nginx 日志文件,并将它们保留 180 天(约 6 个月),然后自动压缩旧的日志文件。postrotate
部分的命令会在日志轮换后重新打开 Nginx 日志文件,以便继续记录新的日志信息。
通过这些配置,我们可以确保 Nginx 的日志文件被保留半年,同时旧的日志文件会被压缩以节省磁盘空间。
十一 设置缓冲区
Nginx 的缓冲区溢出攻击是一种常见的安全漏洞,它发生在程序试图向一个缓冲区写入超出其预分配大小的数据时。
这种攻击可能导致数据覆盖了相邻的内存区域,可能破坏程序的执行流程,甚至可以被恶意攻击者利用来执行恶意代码。
为了防止缓冲区溢出类攻击事件,可以设置客户端请求体、请求头和客户端最大请求体的缓冲区大小。
配置方式如下:
1 | client_body_buffer_size 1K; |
这四行配置含义如下:
client_body_buffer_size 1K;
:这条指令设置了 Nginx 用来读取客户端请求体(比如 POST 请求中的数据)的缓冲区大小。在这个例子中,缓冲区大小被设置为 1KB。如果请求体的大小超过了这个缓冲区的大小,Nginx 会使用磁盘来暂存超出部分的数据。client_header_buffer_size 1k;
:这条指令定义了 Nginx 用来读取客户端 HTTP 请求头部的缓冲区大小。这里设置的大小是 1KB。如果请求头部的大小超过了这个缓冲区的大小,Nginx 会使用large_client_header_buffers
定义的缓冲区。client_max_body_size 1k;
:这条指令限制了 Nginx 服务器愿意接收的最大请求体大小。如果客户端发送的请求体超过了这个大小(在这个例子中是 1KB),Nginx 将返回一个 413(Request Entity Too Large)错误。large_client_header_buffers 2 1k;
:这条指令定义了 Nginx 用于处理大于client_header_buffer_size
指定大小的请求头的缓冲区数量和大小。这里配置了 2 个大小为 1KB 的缓冲区。当请求头的大小超过了client_header_buffer_size
定义的缓冲区大小时,Nginx 会使用这两个额外的缓冲区来处理请求头。
这些配置对于防止缓冲区溢出攻击和处理大请求都是非常重要的。
十二 使用普通用户启动
在 Linux 系统中,只有 root 用户或者具有特定权限的用户才能绑定 1024 以下的端口,如 80 端口(HTTP)和 443 端口(HTTPS)。
如果 Nginx 以 root 用户运行,它将拥有过高的权限,这可能会带来安全风险。因此,为了最小化权限,通常会创建一个普通用户来运行 Nginx,以减少潜在的安全漏洞。
配置方式如下:
- 创建用户
首先,你需要创建一个普通用户和用户组,例如 nginx
。
1 | groupadd nginx |
这里创建了一个名为 nginx
的用户和组,并设置了用户的家目录。
- 授权访问
确保新用户有权访问 Nginx 的配置文件、日志文件和服务器文件。
1 | chown -R nginx:nginx /usr/local/nginx/ |
这条命令将 Nginx 目录及其所有子目录和文件的所有权更改为新创建的 nginx
用户和组。
- 配置Nginx
编辑 Nginx 配置文件(通常位于 /etc/nginx/nginx.conf
),设置 user
指令以指定 Nginx 工作进程的用户。
1 | user nginx; |
这行配置指定 Nginx 应该以 nginx
用户的身份运行。
- 设置权限
如果需要,可以使用 setcap
命令赋予 Nginx 监听 1024 以下端口的能力,而不需要以 root 用户运行。
1 | setcap cap_net_bind_service=+ep /usr/local/nginx/sbin/nginx |
这个命令允许 Nginx 以普通用户身份绑定到 80 和 443 端口。
- 启动Nginx
使用普通用户启动 Nginx。
1 | su - nginx |
这里首先切换到 nginx
用户,然后启动 Nginx 服务。
- 验证
检查 Nginx 是否以普通用户启动。
1 | ps -ef | grep nginx |
这条命令将显示 Nginx 的进程信息,你可以验证它是否以 nginx
用户运行。
好啦,小伙伴们还有哪些 Nginx 安全配置建议?欢迎留言讨论。