devbox
知新_RL
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Nginx常用安全加固措施+限速模块_nginx安全加固

作者:知新_RL | 2024-08-08 11:49:14

nginx安全加固

安全加固

1、禁止目录浏览/隐藏版本信息

编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启:

  1. autoindex off;      #禁止目录浏览
  2. server_tokens off;       #隐藏版本信息

2、限制http请求方法

  1. if ($request_method !~ ^(GET|HEAD|POST)$ ) {
  2.   return444
  3. }

3、限制IP访问

  1. location /
  2.   deny 192.168.1.1; #拒绝IP
  3.   allow 192.168.1.0/24; #允许IP 
  4.   allow 10.1.1.0/16; #允许IP 
  5.   deny all; #拒绝其他所有IP 
  6. }

4、限制并发和速度

  1. limit_zone one $binary_remote_addr 10m; 
  2. server {      
  3.   listen   80;      
  4.   server_name www.test.com;      
  5.   index index.html index.htm index.php;      
  6.   root  /usr/local/www;      #Zone limit;      
  7.   location / {          
  8.     limit_conn one 1;          
  9.     limit_rate 20k;      
  10.   } 
  11.   ……… 
  12. }

5、控制超时时间

  1. client_body_timeout 10;  #设置客户端请求主体读取超时时间 
  2. client_header_timeout 10;  #设置客户端请求头读取超时时间 
  3. keepalive_timeout 55;  #第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,它指定了消息头保持活动的有效时间 
  4. send_timeout10;  #指定响应客户端的超时时间

6、nginx降权

user nobody;

7、配置防盗链

  1. location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {     
  2.   valid_referers none blocked server_names *.test.com http://localhost baidu.com;
  3.   if ($invalid_referer) {         
  4.     rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img];         
  5.     # return403;     
  6.   } 
  7. }

8、针对SSL 策略进行加固(需ngnix版本支持)

  1. server { 
  2.  ssl_protocols TLSv1.2,TLSv1.3;
  3. }

9、确保NGINX配置文件权限为644

  1. 修改Nginx配置文件权限: 
  2. 执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,
  3. 如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)

10、更改源码隐藏软件名称及版本号

  1. 在nginx编译安装之前,先更改,之后再编译安装
  2.  
  3. 1.更改版本号
  4.  
  5. 修改nginx-1.6.4/src/core/nginx.h
  6. nginx-1.6.2/src/core# 
  7. sed -n '13,17p' nginx.h
  8. #修改为需要的版本号
  9. #将nginx修改为其他名称

11、Nginx后端服务指定的Header隐藏状态

当nginx作为反向代理时,会配置很多站点,为了不想泄露后端webserver主机信息,可以在http全局下配置隐藏Nginx后端服务X-Powered-By头。

隐藏Nginx后端服务X-Powered-By头

  1. 1、打开conf/nginx.conf配置文件; 
  2. 2、在http下配置proxy_hide_header项; 
  3.      增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;
  4.  
  5. http {
  6.        .....
  7.        proxy_hide_header X-Powered-By; 
  8.        proxy_hide_header Server;
  9.        ....
  10. }

12、Nginx解决跨域问题

复杂跨域的条件是:

①、非GET、HEAD、POST请求。

②、POST请求的Content-Type不是application/x-www-form-urlencoded, multipart/form-data, 或text/plain。

③、添加了自定义header,例如Token。

跨域请求浏览器会在Headers中添加Origin,通常情况下不允许用户修改其值。

  1. 在编辑状态下,在http节点下添加三条命令就行了,命令如下:
  2.  
  3. add_headerAccess-Control-Allow-Origin*;
  4. add_headerAccess-Control-Allow-MethodsGET,POST,OPTIONS;
  5. add_headerAccess-Control-Allow-HeadersX-Requested-With;

1、首先查看http头部有无origin字段;
2、如果没有,或者不允许,直接当成普通人请求处理,结束;
3、如果有并且是允许的,那么再看是否是preflight(method=OPTIONS);
4、如果是preflight,就返回Allow-Headers、Allow-Methods等,内容为空;
5、如果不是preflight,就返回Allow-Origin、Allow-Credentials等,并返回正常内容。

  1.   1 location /pub/(.+) {
  2.   2     if ($http_origin ~ <允许的域(正则匹配)>) {
  3.   3         add_header 'Access-Control-Allow-Origin' "$http_origin";
  4.   4         add_header 'Access-Control-Allow-Credentials' "true";
  5.   5         if ($request_method = "OPTIONS") {
  6.   6             add_header 'Access-Control-Max-Age' 86400;
  7.   7             add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE';
  8.   8             add_header 'Access-Control-Allow-Headers' 'reqid, nid, host, x-real-ip, x-forwarded-ip, event-type, event-id, accept, content-type';
  9.   9             add_header 'Content-Length' 0;
  10.  10             add_header 'Content-Type' 'text/plain, charset=utf-8';
  11.  11             return 204;
  12.  12         }
  13.  13     }
  14.  14     # 正常nginx配置
  15.  15     ......
  16.  16 }
方案1 *:通配符,全部允许,存在安全隐患(不推荐)。

一旦启用本方法,表示任何域名皆可直接跨域请求:

  1.   1     server {
  2.   2         ...
  3.   3         location / {
  4.   4             # 允许 所有头部 所有域 所有方法
  5.   5             add_header 'Access-Control-Allow-Origin' '*';
  6.   6             add_header 'Access-Control-Allow-Headers' '*';
  7.   7             add_header 'Access-Control-Allow-Methods' '*';
  8.   8             # OPTIONS 直接返回204
  9.   9             if ($request_method = 'OPTIONS') {
  10.  10                 return 204;
  11.  11             }
  12.  12         }
  13.  13         ...
  14.  14     }
方案2:多域名配置(推荐)

配置多个域名在map中 只有配置过的允许跨域:

  1.   1  map $http_origin $corsHost {
  2.   2         default 0;
  3.   3         "~https://zzzmh.cn" https://zzzmh.cn;
  4.   4         "~https://chrome.zzzmh.cn" https://chrome.zzzmh.cn;
  5.   5         "~https://bz.zzzmh.cn" https://bz.zzzmh.cn;
  6.   6     }
  7.   7     server {
  8.   8         ...
  9.   9         location / {
  10.  10             # 允许 所有头部 所有$corsHost域 所有方法
  11.  11             add_header 'Access-Control-Allow-Origin' $corsHost;
  12.  12             add_header 'Access-Control-Allow-Headers' '*';
  13.  13             add_header 'Access-Control-Allow-Methods' '*';
  14.  14             # OPTIONS 直接返回204
  15.  15             if ($request_method = 'OPTIONS') {
  16.  16                 return 204;
  17.  17             }
  18.  18         }
  19.  19         ...
  20.  20     }

Nginx限速模块

Nginx限流使用的是leaky bucket算法,如对算法感兴趣,可移步维基百科先行阅读。不过不了解此算法,不影响阅读本文。

空桶

我们从最简单的限流配置开始:

  1. limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
  2.  
  3. server {
  4.     location /login/ {
  5.         limit_req zone=ip_limit;
  6.         proxy_pass http://login_upstream;
  7.     }
  8. }
  9.

  • $binary_remote_addr 针对客户端ip限流;

  • zone=ip_limit:10m 限流规则名称为ip_limit,允许使用10MB的内存空间来记录ip对应的限流状态;

  • rate=10r/s 限流速度为每秒10次请求

  • location /login/ 对登录进行限流

限流速度为每秒10次请求,如果有10次请求同时到达一个空闲的nginx,他们都能得到执行吗?

图片

漏桶漏出请求是匀速的。10r/s是怎样匀速的呢?每100ms漏出一个请求。

在这样的配置下,桶是空的,所有不能实时漏出的请求,都会被拒绝掉。

所以如果10次请求同时到达,那么只有一个请求能够得到执行,其它的,都会被拒绝。

这不太友好,大部分业务场景下我们希望这10个请求都能得到执行。

Burst

我们把配置改一下,解决上一节的问题

  1. limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
  2.  
  3. server {
  4.     location /login/ {
  5.         limit_req zone=ip_limit burst=12;
  6.         proxy_pass http://login_upstream;
  7.     }
  8. }
  9.

  • burst=12 漏桶的大小设置为12

图片

逻辑上叫漏桶,实现起来是FIFO队列,把得不到执行的请求暂时缓存起来。

这样漏出的速度仍然是100ms一个请求,但并发而来,暂时得不到执行的请求,可以先缓存起来。只有当队列满了的时候,才会拒绝接受新请求。

这样漏桶在限流的同时,也起到了削峰填谷的作用。

在这样的配置下,如果有10次请求同时到达,它们会依次执行,每100ms执行1个。

虽然得到执行了,但因为排队执行,延迟大大增加,在很多场景下仍然是不能接受的。

NoDelay

继续修改配置,解决Delay太久导致延迟增加的问题

  1. limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
  2.  
  3. server {
  4.     location /login/ {
  5.         limit_req zone=ip_limit burst=12 nodelay;
  6.         proxy_pass http://login_upstream;
  7.     }
  8. }
  9.

  • nodelay 把开始执行请求的时间提前,以前是delay到从桶里漏出来才执行,现在不delay了,只要入桶就开始执行

图片

要么立刻执行,要么被拒绝,请求不会因为限流而增加延迟了。

因为请求从桶里漏出来还是匀速的,桶的空间又是固定的,最终平均下来,还是每秒执行了5次请求,限流的目的还是达到了。

但这样也有缺点,限流是限了,但是限得不那么匀速。以上面的配置举例,如果有12个请求同时到达,那么这12个请求都能够立刻执行,然后后面的请求只能匀速进桶,100ms执行1个。如果有一段时间没有请求,桶空了,那么又可能出现并发的12个请求一起执行。

大部分情况下,这种限流不匀速,不算是大问题。不过nginx也提供了一个参数才控制并发执行也就是nodelay的请求的数量。

  1. limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
  2.  
  3. server {
  4.     location /login/ {
  5.         limit_req zone=ip_limit burst=12 delay=4;
  6.         proxy_pass http://login_upstream;
  7.     }
  8. }
  9.

  • delay=4 从桶内第5个请求开始delay

图片

这样通过控制delay参数的值,可以调整允许并发执行的请求的数量,使得请求变的均匀起来,在有些耗资源的服务上控制这个数量,还是有必要的。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/947993
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号