我要评论核心安全配置
编制安装nginx
安装支持软件
[root@localhost ^]# dnf install -y gcc make pcre-deve1 zlib-developenssl-devel perl-extutils-makemaker git wget tar
创建运行用户,组和日志目录
[root@localhost~]# useradd -m -s /sbin/nologin nginx [root@localhost~]# mkdir-p/var/log/nginx [root@localhost~]# chown -r nginx:nginx /var/log/nginx
编译安装
[root@localhost ^]# tar zxf nginx-1.26.3.tar.gz [root@localhost ^]# cd nginx-1.26.3 [root@localhost nginx-1.26.3]# ./configure\ --prefix=/usr/local/nginx --user=nginx\ --group=nginx --with-http_ssl_module \ --with-http_v2_module \ --with-http_realip_module \ --with-http_stub_status_module\ --with-http_gzip_static_module \ --with-pcre\ --with-stream [root@localhost nginx-1.26.3]# make & make install
为主程序 nginx创建链接文件
[root@localhost nginx-1.26.3]# in -s /usr/local/nginx/sbin/nginx/usr/local/sbin/
添加nginx系统服务
[root@localhost ^]# vi /lib/systemd/system/nginx.service [unit] description=the nginx http and reverse proxy server after=network.target [service] type=forking execstartpre=/usr/local/sbin/nginx -t execstart=/usr/local/sbin/nginx execreload=/usr/local/sbin/nginx -s reload execstop=/bin/kill -s quit $mainpid timeoutstopsec=5 killmode=process privatetmp=true user=root group=root [instal1] wantedby=multi-user.target [root@localhost^]# systemctl daemon-reload [root@localhost~]# systemctl start nginx [root@localhost^]# systemctl enable nginx
隐藏版本号
在生产环境中,需要隐藏nginx的版本号,以避免泄漏nginx白的版本,使攻击者不能针对特定版本进行攻击。
[root@localhost ~]# curl -i 192.168.10.101 http/1.1 200 ok server: nginx/1.26.3
修改配置文件
[root@localhost^]# vi /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off;
.......
[root@localhost^]#nginx -t
[root@localhost~]#nginx -s reload
[root@localhost~]# curl -i 192.168.10.101
http/1.1 200 ok
server: nginx限制危险请求方法
不安全的请求方式,是潜在的安全风险,trace(易引发xst攻击)、put/delete(文件修改风险)、connect(代理滥用),通过正则表达式匹配请求方法,非白名单方法返回444(无响应关闭连接)
修改配置文件
[root@localhost ^]# vi /usr/local/nginx/conf/nginx.conf
server {
($request_method !~ (get|head|post)$) {
return 444;
}
}验证
[root@localhost ^]# curl -xput -i 192.168.10.10] curl: (52) empty reply from server
请求限制(cc攻击防御)
cc攻击(challenge collapsar攻击)是一种常见的网络j攻击方式,通过大量合法或伪造的小流量请求来耗尽服务器资源,导致正常用户无去访问网站。要在nginx中有效防止cc攻击,可以采用多种策略和方法
cc攻击,也称为连接数攻击或请求速率限制攻击,通过模拟大量用户访问来消耗服务器资源,从而使得正常用户无法正常访问网站。为了防止此类攻击,可以使用nginx提供的模块来限制请求速率和并发连接数
使用nginx的limit_req模块限制请求速率
[root@localhost ^]# vi /usr/local/nginx/conf/nginx.conf
http {
limit_req_zone_$binary_remote_addr_zone=req_limit:10m rate=10r/s;
server {
location / {
root html;
index index.html index.php;
limit_req zone=req_limit burst=20 nodelay;
}
}
}压力测试验证
安装ab测试工具
[root@localhost ^]# dnf install httpd-tools -y [root@localhost~]# ab -n 300 -c 30 http://192.168.10.101/ [root@localhost ^]# tail -300 /usr/local/nginx/logs/access. log | grep -c 503 279
- -n 300:表示总请求数为300次,即模拟客户端向服务器发送300 次http请求
- -c 30:表示并发用户数为30,即同时有30个请求并行发送到服务器。
防盗链
防盗链是一种重要的安全设置,旨在防止未经授权的用户盗用网站(静态)资源。盗链行为不仅侵犯了内容创作者的版权,还可能导致原网站带宽和资源的过度消耗,影响正常用户的访问速度和体验。
修改 windows 的 c:\windows\system32 drivers\etc\hossts文件,设置域名和ip映射关系
192.168.10.101 www.aaa.com
192.168.10.102 www.bbb.com
修改两台openeuler的hosts文件,设置域名和ip映射关系。
192.168.10.101 www.aaa.com
192.168.10.102www.bbb.com
把图片kgc.png放到源主机(www.aaa.com的工作目录下
[root@localhost ^]# ls /usr/local/nginx/html index. html kgc.png
编辑原网站首页文件
[root@localhost ^]# vi /usr/local/nginx/html/index.html <html> <body> <h1>aaa it work!</h1> <img src="kgc.png"/> <body> </html>
使用浏览器访问进行验证即可
编辑盗链网站首页文件
[root@localhost ^]# dnf -y install httpd [root@localhost~]# vi /usr/local/nginx/html/index.html <html <body> <h1>bbb it work! </hl> <img src="http://www.aaa.com/kgc.png </body> </html> [root@localhost~]# systemctl stop firewalld [root@localhost`]# systemctl start httpd
测试访问盗链网站(使用浏览器)
配置nginx防盗链
[root@localhost ^]# vi /usr/local/nginx/conf/nginx.conf
location ^* \. (gif|jpg|jpeg|png|bmp|swf|flv|mp4|webp|ico)s{
root html;
valid_referers aaa.com *.aaa.com;
if($invalid referer){
return 403;
}
}
[root@localhost^]#nginx -t
[root@localhost~]#nginx -s reload测试访问盗链网站(盗链失败403)
高级防护
动态黑名单
动态黑名单是nginx中一种实时拦截恶意请求的安全机制,它允许在不重启服务的情况下,动态更新需要封禁的ip地址或网段。
相比静态配置的allow/deny指令,动态黑名单更灵活高效,适用于高并发、多变的攻击击防护场景。
编辑黑名单配置文件
[root@localhost ^]# vi /usr/local/nginx/conf/blockips.conf 192.168.1.0/24 1; 192.168.10.102 1;
编辑主配置文件
[root@localhost^]# vi /usr/local/nginx/conf/nginx.conf
http {
geo $block_ip {
default 0;
finclude /usr/local/nginx/conf/blockips.conf;
}
server
if
($block_ip) {
return 403;
}
}
}[root@localhost^]# nginx -t [root@localhost~]# nginx -s reload
使用封禁ip测试访问
[root@localhost ~]# curl 192.168.10.101 <html> <head><title>403 forbidden</title></head> <body> <center><h1>403 forbidden</h1></center> <hr><center>nginx</center> </body> </html>
自动添加黑名单
#!/bin/bash
#自动封禁访问超过100次的ip
awk '{print$1}'/var/log/nginx/access.log|sort|uniq -cəssort -nr | awk'{if($1>100) print $2"1;"}' >/usr/local/nginx/conf/bllockips.conf- uniq-c:统计连续出现的次数,并在行首显示次数
- sort-nr:按数值排序
nginx https配置
https概念
众所周知,http(超文本传输协议)是客户端浏览器与web服务器之间的通信协议,而https协议可以认为是http+ssl/tls,在http之下tcp之上加了ss1一层,用于对应用层数据的加解密。
如下所示:
httpssl/tsltcpip
http为什么不安全
http由于是明文传输,主要存在三大风险:窃 听风险、篡改区险、冒充风险。
- 窃 听风险
- 中间人可以获取到通信内容,由于内容是明文,所以获取明文后有安全风险
- 篡改风险
- 中间人可以篡改报文内容后再发送给对方,风险极大。
- 冒充风险
- 比如你以为是在和某宝通信,但实际上是在和一个钓鱼网站通信。
安全通信的四大原则
通信需要包括以下四个原则:机密性、完整性,身份认证和不可否认。
- 机密性:即对数据加密,解决了窃 听风险,因为即使被中间人窃 听,由于数据是加密的,他也拿不到明文:
- 完整性:指数据在传输过程中没有被篡改,不多不少,保持原样,中途如果哪怕改了一个标点符号,接收方也能识别出来,从来判定定接收报文不合法
- 身份认证:确认对方的真实身份,即证明"你妈是你妈"的问题,这样就解决了冒充风险,用户不用担心访问的是某宝结果却在和钓鱼网网站通信的问题:
- 不可否认:即不可否认已发生的行为,比如小明向小红借了1000元,但没打借条,或者打了借条但没有签名,就会造成小红的资金损失夫。
https通信原理简述
既然http是明文传输的,那我们给报文加密不就行了,既然要加密,我们肯定需要通信双方协商好密钥吧。一种是通信双方使用同一把密钥,即对称加密的方式来给报文进行加解密。
非对称加密即加解密双方使用不同的密钥,一把作为公钥,可以公开的,把作为私钥,不能公开,公钥加密的密文只有私钥可以解密,私钥签名的内容,也只有公钥可以验签。
数字证书,解决公钥传输信任问题
证书是由站点管理者向ca申请,申请的时候会提交域名、组织单位信息和公钥等数据(这些数据组成了certificate signing request证书签名请求简称csr),ca会根据这些信息生成证书
https总结
server传输ca颁发的证书给client,client收到证书后使用系统内置的ca证书的公钥来验签,验签通过证明证书是受信任的,证书受信任那么证书中的公钥也就是受信任的,这样的话就解决了公钥传输过程中被调包的风险。
nginx配置https证书
由于ssl证书需要向ca组织申购,实验采用自签名证书(也就是自己给自己签名并颁发证书,当然这种证书是不被信任的)
使用openssl 生成证书和私钥生成证书和私钥
创建证书存储目录
[root@localhost ^]# mkdir -p /etc/nginx/ssl
生成自签名证书
[root@localhost ^]# openssl req -x509 -nodes -days :365 -newkey rsa:2048 -keyout/etc/nginx/ssl/nginx-selfsigned.key -out/etc/nginx/ssl/nginx-selfsigned.crt\ -subj "/c=cn/st=beijing/l=beijing/0=myorg/cn=localhost
ps:
ca签名证书:
需要由受信任的第三方证书颁发机构(ca)签发。
流程如下:
- 1.用户生成私钥和csr(证书签名请求)。
- 2.将csr提交给ca(如let'sencrypt、digicert等)。
- 3.ca机构验证身份后,用ca的私钥对证书签名,生成最终证书。
自签名证书:
- 证书的颁发者(issuer)和主体(subject)是同一个实体((即自己)。
- 无需第三方ca参与,直接用工具(如0penssl)生成私钥和证书。
- 签名时使用自己的私钥,而不是ca的私钥。
- 适用于测试、内部环境或无需公开信任的场景。
nginx启用https
编辑nginx配置文件
[root@localhost ~]#vi /usr/local/nginx/conf/nginx.conf
server {
listen 443 ssl; #监听 https 端口
server_namelocalhost; #域名或ip
#指定证书和私钥路径
ssl_certificate
/etc/nginx/ssl/nginx-selfsigned.crt;
/etc/nginx/ssl/nginx-selfsigned.key;
issl_certificate_key
server {
listen 80;
server_name localhost;
return 301 https://$host$request_uri;
}[root@localhost ^]#nginx -t [root@localhost ^]#nginx -s reload
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。
发表评论