版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_25406669/article/details/81234733
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。 也许你听过以上关于Nginx的美妙的事情,您可能已经很喜欢它了,正在考虑如何提高Nginx服务器的安全性,稳定性,请看下面的一些小技巧。
在Nginx配置中禁用server_tokens项
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。
只需要在nginx.conf中http模块设置server_tokens off即可。
例如:
server {
listen 192.168.1.105:80;
Server_tokens off;
server_name mp.csdn.net mp.csdn.net;
access_log /var/www/logs/mp.csdn.net.access.log;
error_log /var/www/logs/mp.csdn.net.error.log error;
root /var/www/mp.csdn.net/public_html;
index index.html index.htm;
}
#重启Nginx后生效:
禁掉不需要的 HTTP 方法
例如一些web站点和应用,可以只支持GET、POST和HEAD方法。
在配置文件中的server模块加入如下方法可以阻止一些欺骗攻击
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 445;
}
- 设置缓冲区容量上限
这样的设置可以阻止缓冲区溢出攻击(同样是Server模块)
client_body_buffer_size 1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
#设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了。
- 限制最大连接数
在http模块内,server模块外设置limit_conn_zone,可以设置连接的IP
在http,server或location模块设置limit_conn,可以设置IP的最大连接数
例如
limit_conn_zone $binary_remote_addr zone=addr:5m;
limit_conn addr 1;
设置日志监控
如何设置nginx日志
禁止 SSL 并且只打开 TLS && 做证书加密(HTTPS)
只要可以的话,尽量避免使用SSL,要用TLS替代,以下设置可以放在Server模块内:
重定向HTTP请求到HTTPS
return 301 https://$server_name$request_uri;
如果有自己觉得不错的欢迎评论,我及时更新 谢谢大家。