中国建设银行山西分行招聘网站企业全网推广公司

SCG WS nginx - OWASP

概括

这提供了 NginX 安全配置强化指南。配置指南侧重于 NginX 本身。因此，Linux 操作系统配置加固不在此处介绍。

它包括以下主题： 2.1 缓冲区溢出保护 2.2 删除不必要的备份文件 2.3 删除版本号 2.4 缓解缓慢的 HTTP DoS 攻击 2.5 仅允许访问指定域 2.6 限制 IP 客户端访问 2.7 SSL/TLS 配置 2.8 SSL 模块 2.9 HTTP 安全标头 2.10限制 HTTP 方法

安全配置

缓冲区溢出保护

    ## Size Limits & Buffer Overflows## the size may be configured based on the needs. client_body_buffer_size  1024K;client_header_buffer_size 1024K;client_max_body_size 512m;large_client_header_buffers 4 256k;

有关每个配置值的详细信息，请参阅此处。 http://nginx.org/en/docs/http/ngx_http_core_module.html

基于 CIS Appache 配置指南

• 将 Http 请求头的大小限制为 1024 字节或更小
• 将请求正文中允许的字节数限制为 102400 或更少

删除不必要的备份文件

使用以下命令搜索是否有任何不必要的备份文件要删除。

find /usr/local/nginx -name '.?*' -not -name .ht* -or -name '*~' -or -name '*.bak*' -or -name '*.old*'find /usr/local/nginx/html/ -name '.?*' -not -name .ht* -or -name '*~' -or -name '*.bak*' -or -name '*.old*'

删除版本号

# 显示nginx版本号错误或http头可能导致黑客搜索已知漏洞。 
# 因此，应该为每个 http 响应删除版本号。

server_tokens off;

缓解慢速 HTTP DoS 攻击

    ## Timeouts definition ##client_body_timeout   15s;client_header_timeout 15s;keepalive_timeout     1800;send_timeout          15s;## End ##

• client_body_timeout：定义读取客户端请求正文的超时时间。超时仅在两次连续读取操作之间设置，而不是为整个请求正文的传输设置。如果客户端在此时间内没有传输任何内容，则向客户端返回 408（请求超时）错误。
• client_header_timeout：定义读取客户端请求头的超时时间。如果客户端在这段时间内没有传输整个标头，则向客户端返回 408（请求超时）错误。
• keepalive_timeout：第一个参数设置一个超时时间，在此期间，客户端连接将在服务器端保持打开状态。零值禁用保持活动客户端连接。可选的第二个参数在“Keep-Alive: timeout=time”响应头字段中设置一个值。两个参数可能不同。Mozilla 和 Konqueror 可以识别“Keep-Alive: timeout=time”标头字段。MSIE 在大约 60 秒内自行关闭保持连接。
• send_timeout：设置向客户端发送响应的超时时间。超时仅在两个连续的写操作之间设置，而不是为整个响应的传输而设置。如果客户端在这段时间内没有收到任何内容，则关闭连接。

有关每个配置值的详细信息，请参阅此处。 http://nginx.org/en/docs/http/ngx_http_core_module.html

只允许访问指定域

##  i.e. abc.com, images.abc.com and www.abc.comif ($host !~ ^(abc.com|www.abc.com|images.abc.com)$ ) {return 444;}
##

限制 IP 客户端访问

仅将特定文件夹限制为某些源 IP 客户端。

   ## the docs folder is only allowed specific IP range in 192.168.1.0/24location /docs/ {## block one workstationdeny    192.168.1.1;## allow anyone in 192.168.1.0/24allow   192.168.1.0/24;## drop rest of the worlddeny    all;
}

SSL/TLS 配置

禁用 SSLv3（自 nginx 0.8.19 起默认启用）

server {# SSL protocols TLS v1~TLSv1.2 are allowed. Disabed SSLv3ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

有关 SSL 模块配置的更多详细信息，请参阅http://wiki.nginx.org/NginxHttpSslModule

SSL 模块

server {# enables server-side protection from BEAST attacksssl_prefer_server_ciphers on;# Disabled insecure ciphers suite. For example, MD5, DES, RC4, PSKssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:@STRENGTH";# -!MEDIUM：exclude encryption cipher suites using 128 bit encryption.# -!LOW：   exclude encryption cipher suites using 64 or 56 bit encryption algorithms # -!EXPORT： exclude export encryption algorithms including 40 and 56 bits algorithms.# -!aNULL：  exclude the cipher suites offering no authentication. This is currently the anonymous DH algorithms and anonymous ECDH algorithms.   # These cipher suites are vulnerable to a "man in the middle" attack and so their use is normally discouraged.# -!eNULL：exclude the "NULL" ciphers that is those offering no encryption. # Because these offer no encryption at all and are a security risk they are disabled unless explicitly included.# @STRENGTH：sort the current cipher list in order of encryption algorithm key length.	}

HTTP 安全标头

    # X-Frame-Options is to prevent from clickJacking attackadd_header X-Frame-Options SAMEORIGIN;#  disable content-type sniffing on some browsers.add_header X-Content-Type-Options nosniff;# This header enables the Cross-site scripting (XSS) filteradd_header X-XSS-Protection "1; mode=block";# This will enforce HTTP browsing into HTTPS and avoid ssl stripping attackadd_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

参考https://www.owasp.org/index.php/List_of_useful_HTTP_headers

限制 HTTP 方法

## Only GET, Post, PUT are allowed##if ($request_method !~ ^(GET|PUT|POST)$ ) {return 444;}
## In this case, it does not accept other HTTP method such as HEAD, DELETE, SEARCH, TRACE ##

在大多数情况下，建议禁用 TRACE 方法。

一，为什么要做连接超时设置?

nginx在保持着与客户端的连接时，要消耗cpu/内存/网络等资源，

如果能在超出一定时间后自动断开连接，

则可以及时释放资源，起到优化性能、提高效率的作用

说明：刘宏缔的架构森林是一个专注架构的博客，地址：刘宏缔的架构森林 - 博客园

         对应的源码可以访问这里获取： liuhongdi (刘宏缔) · GitHub

说明：作者:刘宏缔 邮箱: 371125307@qq.com

二，keepalive的超时时长:keepalive_timeout 

1,keepalive的作用：

HTTP 的 KeepAlive 模式:

webserver 在处理完一个请求后保持这个 TCP 连接的状态仍然是打开。

如果再次接收到来自此客户端的其它请求，

服务端会使用这个未关闭的连接，而不是再新建一个连接

2，keepalive的配置:

keepalive_timeout  60 45;

两个参数分别是:

nginx服务的超时时间（默认值是75s,建议设置为60秒）

nginx在给浏览器的响应header信息中的超时时间

注意，第二个参数设置之后才会在浏览器端出现keepalive一项:

如图:

3,nginx给header的超时信息并不是肯定会得到浏览器的执行

4,keepalive_timeout的值应该大于client_body_timeout

三，客户端header的超时时长：client_header_timeout

client_header_timeout         15s;

默认值是60s

客户端向服务端发送一个完整的 request header 的超时时间

如果60s内没有收到完整的http request header,则为超时

如果客户端超时，Nginx 返回 HTTP 408（Request Timed Out）。

四，客户端body的超时时长：client_body_timeout

client_body_timeout            15s;

默认值是60s

客户端向服务端发送 request body 的超时时间

如果连续的60s内没有收到客户端的1个字节，则表示超时

如果客户端超时，Nginx 返回 HTTP 408（Request Timed Out）。

五，向客户端发送数据超时时长：send_timeout

send_timeout                  15s;

默认值是60s

send_timeout 指定客户端的响应超时时间。

这个设置指的是在这段时间内，客户端没有读取任何数据，nginx就会关闭连接.

六，如果有大文件上传时需配置哪个指定？

有大文件上传时，需要指定body的最大值

client_max_body_size          50m;

这个指定的默认值是1M,基本上不可能满足使用需求

如果需要上传较大的文件，在这里指定一个最大值

这里指定文件最大是50MB