目录
1. 删除不需要的模块
Nignx是模块化设计的软件,需要什么功能与模块以及不需要哪些模块,都可以在编译安装软件时自定义,使用--with参数可以开启某些模块,使用--without可以禁用某些模块。最小化安装永远都是对的方案!
下面是禁用某些模块的案例,
- [root@proxy ~]# tar -xf nginx-1.12.tar.gz
- [root@proxy ~]# cd nginx-1.12
- [root@proxy nginx-1.12]# ./configure \
- >--without-http_autoindex_module \ //禁用自动索引文件目录模块
- >--without-http_ssi_module //禁用SSI模块
- [root@proxy nginx-1.12]# make
- [root@proxy nginx-1.12]# make install
- [root@proxy nginx-1.12]#nginx -V //查看当前安装或禁用的模块
2. 修改版本信息,并隐藏具体的版本号
默认Nginx会显示版本信息以及具体的版本号,这些信息给攻击者带来了便利性,便于他们找到具体版本的漏洞。按F12或鼠标右键选中检查进入后台模式,点击Network,可以看到网页的服务器版本。
如果需要屏蔽版本号信息,执行如下操作,可以隐藏版本号。
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- http{
- server_tokens off; //在http下面手动添加这么一行
- … …
- }
- [root@proxy ~]# nginx -s reload
效果如下
但服务器还是显示了使用的软件为nginx,通过如下方法可以修改该信息。
- [root@proxy nginx-1.12]# vim +48 src/http/ngx_http_header_filter_module.c
- //注意:vim这条命令必须在nginx-1.12源码包目录下执行!!!!!!
- //该文件修改前效果如下:
- static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
- static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
- static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
- //下面是我们修改后的效果:
- static u_char ngx_http_server_string[] = "Server: Jacob" CRLF;
- static u_char ngx_http_server_full_string[] = "Server: Jacob" CRLF;
- static u_char ngx_http_server_build_string[] = "Server: Jacob" CRLF;
- //修改完成后,再去编译安装Nignx,版本信息将不再显示为Nginx,而是Jacob
- [root@proxy nginx-1.12]# ./configure
- [root@proxy nginx-1.12]# make && make install
- [root@proxy nginx-1.12]# killall nginx
- [root@proxy nginx-1.12]# /usr/local/nginx/sbin/nginx //启动服务
如下
3.限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- … …
- http{
- … …
- limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
- server {
- listen 80;
- server_name localhost;
- limit_req zone=one burst=5;
- }
- }
- //备注说明:
- //limit_req_zone语法格式如下:
- //limit_req_zone key zone=name:size rate=rate;
- //上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
- //1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
- //每秒中仅接受1个请求,多余的放入漏斗
- //漏斗超过5个则报错
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
客户端使用ab测试软件测试效果:
- [root@client ~]# ab -c 100 -n 100 http://192.168.4.5/
并发量级别为100,当总数达到5时,服务器端自动中断连接,所以测到的总数仅为5(漏斗数为5)
4. 拒绝非法的请求
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
具体HTTP请求方法的含义如表所示。
未修改服务器配置前,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
- //curl命令选项说明:
- //-i选项:访问服务器页面时,显示HTTP的头部信息
- //-X选项:指定请求服务器的方法
通过如下设置可以让Nginx拒绝非法的请求方法:
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- server {
- listen 80;
- #这里,!符号表示对正则取反,~符号是正则匹配符号
- #如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
- if ($request_method !~ ^(GET|POST)$ ) {
- return 444;
- }
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
修改服务器配置后,客户端使用不同请求方法测试:
- [root@client ~]# curl -i -X GET http://192.168.4.5 //正常
- [root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
5. 防止buffer溢出
当客户端连接服务器时,服务器会启用各种缓存,用来存放连接的状态信息。
如果攻击者发送大量的连接请求,而服务器不对缓存做限制的话,内存数据就有可能溢出(空间不足)。
修改Nginx配置文件,调整各种buffer参数,可以有效降低溢出风险。
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- http{
- #指定缓冲区大小,如果请求大于缓冲区大小,请求将被写为临时文件,默认的缓存区大小为网页大小的2倍
- client_body_buffer_size 1K;
- #指定Header头缓冲区大小,一般1k足够,如果cookie较大可以加大该值
- client_header_buffer_size 1k;
- #指定客户端可以请求内容的最大值,如果超过这个大小会报413 Request Entity Too Large。如果服务器上传了一个100m的文件,则应该调大这个值,否则客户端无法下载。
- client_max_body_size 1k;
- #设置可以请求的头缓冲区大小,客户端的请求页面的头信息不能大于这个值,否则会报Request URI Too Large 414 或 Bad Request 400 错误
- large_client_header_buffers 2 1k;
- … …
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload