1. <acronym id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></acronym>
        1. <tt id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></tt>
          <rt id="pirhh"></rt> <code id="pirhh"><object id="pirhh"></object></code>
            <listing id="pirhh"><object id="pirhh"><tr id="pirhh"></tr></object></listing>
            <code id="pirhh"></code>

            20步打造最安全的Nginx Web服务器之一

            Nginx是一个轻量级的,高性能的Web服务器以及反向代理和邮箱(IMAP/POP3)代理服务器。它运?#24615;赨NIX,GNU/Linux,BSD各种版本,Mac OS X,Solaris和Windows。根据调查统计,6%的网站使用Nginx Web服务器。Nginx是少数能处理C10K问题的服务器之一。跟传统的服务器不同,Nginx不依赖线程?#21019;?#29702;请求。相反,它使用了更多的可扩展的?#24405;?#39537;动(异步)架构。Nginx为一些高流量的网站提供动力,比如WordPress,人人网,腾讯,网易等。这篇文章主要是介绍如何提高运?#24615;贚inux或UNIX系统的Nginx Web服务器的安全性。

            默认配置文件和Nginx端口

            /usr/local/nginx/conf/ – Nginx配置文件目录,/usr/local/nginx/conf/nginx.conf是主配置文件

            /usr/local/nginx/html/ – 默认网站文件位置

            /usr/local/nginx/logs/ – 默认日志文件位置

            Nginx HTTP默认端口 : TCP 80

            Nginx HTTPS默认端口: TCP 443

            你可以使用以下命令来测试Nginx配置文件准确性。

            /usr/local/nginx/sbin/nginx -t 
            

            将会输出。

            the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

            configuration file /usr/local/nginx/conf/nginx.conf test is successful

            执行以下命令来重?#24405;?#36733;配置文件。

            /usr/local/nginx/sbin/nginx -s reload 
            

            执行以下命令来停止服务器。

            /usr/local/nginx/sbin/nginx -s stop 
            

            一、配置SELinux

            安全增强型Linux(SELinux)的是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。它可以大部分的攻击。下面我们来看如何启动基于CentOS/RHEL系统的SELinux。

            安装SELinux

            rpm -qa | grep selinux 
            

            libselinux-1.23.10-2

            selinux-policy-targeted-1.23.16-6

            如果没有返回任何结果,代表没有安装 SELinux,如果返回了类似上面的结果,则说明系统安装了 SELinux。

            布什值锁定

            运行命令getsebool -a来锁定系统。

            getsebool -a | less 
            getsebool -a | grep off 
            getsebool -a | grep o 
            

            二、通过分区?#20197;?#20801;许最少特权

            服务器上的网页/html/php文件单独分区。例如,新建一个分区/dev/sda5(第一逻辑分区),并且?#20197;?#22312;/nginx。确保/nginx是以noexec, nodev and nosetuid的权限?#20197;亍?#20197;下是我的/etc/fstab的?#20197;?nginx的信息:

            LABEL=/nginx /nginx ext3 defaults,nosuid,noexec,nodev 1 2

            注意:你需要使用fdisk和mkfs.ext3命令创建一个新分区。

            三、配置/etc/sysctl.conf强化Linux安全

            你可以通过编辑/etc/sysctl.conf来控制和配置Linux内核、网络设置。

            # Avoid a smurf attack 
            net.ipv4.icmp_echo_ignore_broadcasts = 1 
              
            # Turn on protection for bad icmp error messages 
            net.ipv4.icmp_ignore_bogus_error_responses = 1 
              
            # Turn on syncookies for SYN flood attack protection 
            net.ipv4.tcp_syncookies = 1 
              
            # Turn on and log spoofed, source routed, and redirect packets 
            net.ipv4.conf.all.log_martians = 1 
            net.ipv4.conf.default.log_martians = 1 
              
            # No source routed packets here 
            net.ipv4.conf.all.accept_source_route = 0 
            net.ipv4.conf.default.accept_source_route = 0 
              
            # Turn on reverse path filtering 
            net.ipv4.conf.all.rp_filter = 1 
            net.ipv4.conf.default.rp_filter = 1 
              
            # Make sure no one can alter the routing tables 
            net.ipv4.conf.all.accept_redirects = 0 
            net.ipv4.conf.default.accept_redirects = 0 
            net.ipv4.conf.all.secure_redirects = 0 
            net.ipv4.conf.default.secure_redirects = 0 
              
            # Don't act as a router 
            net.ipv4.ip_forward = 0 
            net.ipv4.conf.all.send_redirects = 0 
            net.ipv4.conf.default.send_redirects = 0 
              
            # Turn on execshild 
            kernel.exec-shield = 1 
            kernel.randomize_va_space = 1 
              
            # Tuen IPv6 
            net.ipv6.conf.default.router_solicitations = 0 
            net.ipv6.conf.default.accept_ra_rtr_pref = 0 
            net.ipv6.conf.default.accept_ra_pinfo = 0 
            net.ipv6.conf.default.accept_ra_defrtr = 0 
            net.ipv6.conf.default.autoconf = 0 
            net.ipv6.conf.default.dad_transmits = 0 
            net.ipv6.conf.default.max_addresses = 1 
              
            # Optimization for port usefor LBs 
            # Increase system file descriptor limit 
            fs.file-max = 65535 
              
            # Allow for more PIDs (to reduce rollover problems); may break some programs 32768 
            kernel.pid_max = 65536 
              
            # Increase system IP port limits 
            net.ipv4.ip_local_port_range = 2000 65000 
              
            # Increase TCP max buffer size setable using setsockopt() 
            net.ipv4.tcp_rmem = 4096 87380 8388608 
            net.ipv4.tcp_wmem = 4096 87380 8388608 
              
            # Increase Linux auto tuning TCP buffer limits 
            # min, default, and max number of bytes to use 
            # set max to at least 4MB, or higher if you use very high BDP paths 
            # Tcp Windows etc 
            net.core.rmem_max = 8388608 
            net.core.wmem_max = 8388608 
            net.core.netdev_max_backlog = 5000 
            net.ipv4.tcp_window_scaling = 1 
            

            四、删除所有不需要的Nginx模块

            你需要直接通过编译Nginx?#21019;?#30721;使模块数量最少化。通过限制只允许web服务器访问模块把风险降到最低。你可以只配置安装nginx你所需要的模块。例如,禁用SSL和autoindex模块你可以执行以下命令:

            ./configure --without-http_autoindex_module --without-http_ssi_module 
             make 
             make install 
            

            通过以下命令来查看当编译nginx服务器时哪个模块能开户或关闭:

            ./configure --help | less 
            

            禁用你用不到的nginx模块。

            (可选项)更改nginx版本名称。

            编辑文件/http/ngx_http_header_filter_module.c:

            vi +48 src/http/ngx_http_header_filter_module.c 
            

            ?#19994;?#34892;:

            static char ngx_http_server_string[] = "Server: nginx" CRLF; 
            static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF; 
            

            按照以下行修?#27169;?/p>

            static char ngx_http_server_string[] = "Server: Ninja Web Server" CRLF; 
            static char ngx_http_server_full_string[] = "Server: Ninja Web Server" CRLF; 
            

            保存并关闭文件。现在你可以编辑服务器了。增加以下代码到nginx.conf文件来关闭nginx版本号的?#20801;盡?/p>

            server_tokens off

            五、使用mod_security

            只适合后端Apache服务器

            mod_security为Apache提供一个应用程序级的防火墙。为后端Apache Web服务器安装mod_security,这会阻止很多注入式攻击。

            六、安装SELinux策略

            默认的SELinux不会保护Nginx Web服务器,但是你可以安装和编译保护软件。

            1、安装编译SELinux所需环境支持

            yum -y install selinux-policy-targeted selinux-policy-devel 
            

            2、下载SELinux策略以强化Nginx Web服务器。

            cd /opt 
            wget 'http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.gz?use_mirror=nchc' 
            

            3、解压文件

            tar -zxvf se-ngix_1_0_10.tar.gz 
            

            4、编译文件

            cd se-ngix_1_0_10/nginx  
            make 
            

            将会输出如下:

            Compiling targeted nginx module

            /usr/bin/checkmodule: loading policy configuration from tmp/nginx.tmp

            /usr/bin/checkmodule: policy configuration loaded

            /usr/bin/checkmodule: writing binary representation (version 6) to tmp/nginx.mod

            Creating targeted nginx.pp policy package

            rm tmp/nginx.mod.fc tmp/nginx.mod 
            

            5、安装生成的nginx.pp SELinux模块:

            /usr/sbin/semodule -i nginx.pp 
            

            七、基于Iptables防火墙的限制

            下面的防火墙脚本阻止任何除了允许:

            来自HTTP(TCP端口80)的请求

            来自ICMP ping的请求

            ntp(端口123)的请求输出

            smtp(TCP端口25)的请求输出

            #!/bin/bash 
            IPT="/sbin/iptables" 
              
            #### IPS ###### 
            # Get server public ip 
            SERVER_IP=$(ifconfig eth0 | grep 'inet addr:' | awk -F'inet addr:' '{ print $2}' | awk '{ print $1}') 
            LB1_IP="204.54.1.1" 
            LB2_IP="204.54.1.2" 
              
            # Do some smart logic so that we can use damm script on LB2 too 
            OTHER_LB="" 
            SERVER_IP="" 
            [[ "$SERVER_IP" == "$LB1_IP" ]] && OTHER_LB="$LB2_IP" || OTHER_LB="$LB1_IP" 
            [[ "$OTHER_LB" == "$LB2_IP" ]] && OPP_LB="$LB1_IP" || OPP_LB="$LB2_IP" 
              
            ### IPs ### 
            PUB_SSH_ONLY="122.xx.yy.zz/29" 
              
            #### FILES ##### 
            BLOCKED_IP_TDB=/root/.fw/blocked.ip.txt 
            SPOOFIP="127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 169.254.0.0/16 0.0.0.0/8 240.0.0.0/4 255.255.255.255/32 168.254.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 192.0.2.0/24" 
            BADIPS=$( [[ -f ${BLOCKED_IP_TDB} ]] && egrep -v "^#|^$" ${BLOCKED_IP_TDB}) 
              
            ### Interfaces ### 
            PUB_IF="eth0"   # public interface 
            LO_IF="lo"      # loopback 
            VPN_IF="eth1"   # vpn / private net 
              
            ### start firewall ### 
            echo "Setting LB1 $(hostname) Firewall..." 
              
            # DROP and close everything 
            $IPT -P INPUT DROP 
            $IPT -P OUTPUT DROP 
            $IPT -P FORWARD DROP 
              
            # Unlimited lo access 
            $IPT -A INPUT -i ${LO_IF} -j ACCEPT 
            $IPT -A OUTPUT -o ${LO_IF} -j ACCEPT 
              
            # Unlimited vpn / pnet access 
            $IPT -A INPUT -i ${VPN_IF} -j ACCEPT 
            $IPT -A OUTPUT -o ${VPN_IF} -j ACCEPT 
              
            # Drop sync 
            $IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP 
              
            # Drop Fragments 
            $IPT -A INPUT -i ${PUB_IF} -f -j DROP 
              
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL ALL -j DROP 
              
            # Drop NULL packets 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " NULL Packets " 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -j DROP 
              
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP 
              
            # Drop XMAS 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " XMAS Packets " 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP 
              
            # Drop FIN packet scans 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " Fin Packets Scan " 
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -j DROP 
              
            $IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP 
              
            # Log and get rid of broadcast / multicast and invalid 
            $IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j LOG --log-prefix " Broadcast " 
            $IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j DROP 
              
            $IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j LOG --log-prefix " Multicast " 
            $IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j DROP 
              
            $IPT  -A INPUT -i ${PUB_IF} -m state --state INVALID -j LOG --log-prefix " Invalid " 
            $IPT  -A INPUT -i ${PUB_IF} -m state --state INVALID -j DROP 
              
            # Log and block spoofed ips 
            $IPT -N spooflist 
            for ipblock in $SPOOFIP 
            do 
                     $IPT -A spooflist -i ${PUB_IF} -s $ipblock -j LOG --log-prefix " SPOOF List Block " 
                     $IPT -A spooflist -i ${PUB_IF} -s $ipblock -j DROP 
            done 
            $IPT -I INPUT -j spooflist 
            $IPT -I OUTPUT -j spooflist 
            $IPT -I FORWARD -j spooflist 
              
            # Allow ssh only from selected public ips 
            for ip in ${PUB_SSH_ONLY} 
            do 
                    $IPT -A INPUT -i ${PUB_IF} -s ${ip} -p tcp -d ${SERVER_IP} --destination-port 22 -j ACCEPT 
                    $IPT -A OUTPUT -o ${PUB_IF} -d ${ip} -p tcp -s ${SERVER_IP} --sport 22 -j ACCEPT 
            done 
              
            # allow incoming ICMP ping pong stuff 
            $IPT -A INPUT -i ${PUB_IF} -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -m limit --limit 30/sec  -j ACCEPT 
            $IPT -A OUTPUT -o ${PUB_IF} -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
              
            # allow incoming HTTP port 80 
            $IPT -A INPUT -i ${PUB_IF} -p tcp -s 0/0 --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 
            $IPT -A OUTPUT -o ${PUB_IF} -p tcp --sport 80 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
              
            # allow outgoing ntp 
            $IPT -A OUTPUT -o ${PUB_IF} -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT 
            $IPT -A INPUT -i ${PUB_IF} -p udp --sport 123 -m state --state ESTABLISHED -j ACCEPT 
              
            # allow outgoing smtp 
            $IPT -A OUTPUT -o ${PUB_IF} -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT 
            $IPT -A INPUT -i ${PUB_IF} -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT 
              
            ### add your other rules here #### 
              
            ####################### 
            # drop and log everything else 
            $IPT -A INPUT -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " DEFAULT DROP " 
            $IPT -A INPUT -j DROP 
              
            exit 0 
            
            ?#20381;?#35780;几句
            登录后评论

            已发表评论数()

            相关站点

            +订阅
            热门文章
            天辰线上娱乐

            1. <acronym id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></acronym>
                  1. <tt id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></tt>
                    <rt id="pirhh"></rt> <code id="pirhh"><object id="pirhh"></object></code>
                      <listing id="pirhh"><object id="pirhh"><tr id="pirhh"></tr></object></listing>
                      <code id="pirhh"></code>

                      1. <acronym id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></acronym>
                            1. <tt id="pirhh"><pre id="pirhh"><dd id="pirhh"></dd></pre></tt>
                              <rt id="pirhh"></rt> <code id="pirhh"><object id="pirhh"></object></code>
                                <listing id="pirhh"><object id="pirhh"><tr id="pirhh"></tr></object></listing>
                                <code id="pirhh"></code>