Linux服务器下nginx的安全配置详解
Nginx是一个轻量级,高性能的Web服务器/反向代理和电子邮件代理(IMAP/POP3),它可以运行在UNIX,GNU/Linux,BSD变种,MACOSX,Solaris和MicrosoftWindows上。根据Netcraft的调查数据显示,互联网上6%的域名都使用了NginxWeb服务器。Nginx是解决C10K问题的服务器之一,与传统服务器不一样,Nginx不依赖于线程处理请求,相反,它使用了一个更具扩展性的事件驱动(异步)架构。Nginx在很多高流量网站上得到了应用,如WordPress,Hulu,Github和SourceForge。
1、一些常识
- linux下,要读取一个文件,首先需要具有对文件所在文件夹的执行权限,然后需要对文件的读取权限。
- php文件的执行不需要文件的执行权限,只需要nginx和php-fpm运行账户的读取权限。
- 上传木马后,能不能列出一个文件夹的内容,跟php-fpm的运行账户对文件夹的读取权限有关,木马执行命令的权限跟php-fpm的账户权限有关。
- 如果木马要执行命令,需要php-fpm的账户对相应的sh有执行权限。
- 读取一个文件夹内的文件,是不需要对文件夹有读取权限的,只需要对文件夹有执行权限。
1、顶部配置
#定义Nginx运行的用户和用户组 usernginx; #进程文件 pid/var/run/nginx.pid; #错误日志位置和级别,debug、info、notice、warn、error、crit error_log/var/log/nginx/error.logwarn; #Nginxworker的进程数,一般可设置为可用的CPU内核数。 worker_processes8; #每个worker打开文件描述符的最大数量限制。理论值应该是最多打开文件数(系统的值ulimit-n)与nginx进程数相除,但是nginx分配请求并不均匀,所以建议与ulimit-n的值保持一致。 worker_rlimit_nofile65535;
2、Events模块
events{ #设置一个worker进程同时打开的最大连接数 worker_connections2048; #告诉nginx收到一个新连接通知后接受尽可能多的连接 multi_accepton; #设置用于复用客户端线程的轮询方法。如果你使用Linux2.6+,你应该使用epoll。如果你使用*BSD,你应该使用kqueue。 useepoll; }
3、HTTP模块
http{ #隐藏Nginx的版本号,提高安全性。 server_tokensoff; #开启高效文件传输模式,sendfile指令指定Nginx是否调用sendfile函数来输出文件,对于普通应用设为on,如果用来进行下载等应用磁盘IO重负载应用,可设置为off,以平衡磁盘与网络I/O处理速度,降低系统的负载。 sendfileon; #是否开启目录列表访问,默认关闭。 autoindexoff; #告诉Nginx在一个数据包里发送所有头文件,而不一个接一个的发送 tcp_nopushon; #告诉Nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。Nginx默认会始终工作在tcpnopush状态下。但是当开启前面的sendfileon;时,它的工作特点是nopush的最后一个包会自动转转换到nopushoff。为了减小那200ms的延迟,开启nodelayon;将其很快传送出去。结论就是sendfileon;开启时,tcp_nopush和tcp_nodelay都是on是可以的。 tcp_nodelayon; #日志格式设定 log_formatmain'$remote_addr-$remote_user[$time_local]"$request"' '$status$body_bytes_sent"$http_referer"' '"$http_user_agent""$http_x_forwarded_for"'; #定义访问日志,设置为off可以关闭日志,提高性能 access_log/var/log/nginx/access.logmain; #连接超时时间,单位是秒 keepalive_timeout120; #读取HTTP头部的超时时间,默认值60。客户端与服务器建立连接后将开始接收HTTP头部,在这个过程中,如果在一个时间间隔(超时时间)内没有读取到客户端发来的字节,则认为超时,并向客户端返回408("Requesttimedout")响应。 client_header_timeout60; #默认值60。与client_header_timeout相似,只是这个超时时间只在读取HTTP包体时才有效。 client_body_timeout10; #发送响应的超时时间,默认值60。即Nginx服务器向客户端发送了数据包,但客户端一直没有去接收这个数据包。如果某个连接超过send_timeout定义的超时时间,那么Nginx将会关闭这个连接。 send_timeout60; #连接超时后将通过向客户端发送RST包来直接重置连接。这个选项打开后,Nginx会在某个连接超时后,不是使用正常情形下的四次握手关闭TCP连接,而是直接向用户发送RST重置包,不再等待用户的应答,直接释放Nginx服务器上关于这个套接字使用的所有缓存(如TCP滑动窗口)。相比正常的关闭方式,它使得服务器避免产生许多处于FIN_WAIT_1、FIN_WAIT_2、TIME_WAIT状态的TCP连接。注意,使用RST重置包关闭连接会带来一些问题,默认情况下不会开启。 reset_timedout_connectionoff; #要限制连接,必须先有一个容器对连接进行计数,"zone="是给它一个名字,可以随便叫,这个名字要跟下面的limit_conn一致。$binary_remote_addr用二进制来储存客户端的地址,1m可以储存32000个并发会话。 limit_conn_zone$binary_remote_addrzone=addr:5m; #给定的key设置最大连接数。这里key是addr,我们设置的值是100,也就是说我们允许每一个IP地址最多同时打开有100个连接。 limit_connaddr100; #对每个连接限速100k。这如果一个IP允许两个并发连接,那么这个IP就是限速200K。 limit_rate100k; #include是一个在当前文件中包含另一个文件内容的指令。这里我们使用它来加载文件扩展名与文件类型映射表。nginx根据映射关系,设置http请求响应头的Content-Type值。当在映射表找不到时,使用nginx.conf中default-type指定的默认值。 include/etc/nginx/mime.types; #设置文件使用的默认的MIME-type default_typetext/html; #默认编码 charsetUTF-8; #该模块可以读取预先压缩的gz文件,这样可以减少每次请求进行gzip压缩的CPU资源消耗。该模块启用后,nginx首先检查是否存在请求静态文件的gz结尾的文件,如果有则直接返回该gz文件内容。 gzip_staticoff; #开启gzip压缩。 gzipon; #禁用客户端为IE6时的gzip功能。 gzip_disable"msie6"; #Nginx做为反向代理的时候启用。可选值:off|expired|no-cache|no-sotre|private|no_last_modified|no_etag|auth|any gzip_proxiedany; #设置允许压缩的页面最小字节数,页面字节数从header头中的Content-Length中进行获取。建议设置成大于1k的字节数,小于1k可能会越压越大。 gzip_min_length1024; #设置数据的压缩等级。这个等级可以是1-9之间的任意数值,9是最慢但是压缩比最大的。 gzip_comp_level5; #设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流。例如44k代表以4k为单位,按照原始数据大小以4k为单位的4倍申请内存。如果没有设置,默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。 gzip_buffers416k; #设置需要压缩的数据格式。Nginx默认只对text/html进行压缩。 gzip_typestext/plaintext/cssapplication/jsonapplication/x-javascripttext/xmlapplication/xmlapplication/xml+rsstext/javascript; #为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。 open_file_cachemax=65535inactive=30s; #多长时间检查一次缓存的有效信息 open_file_cache_valid30s; #open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的。出现Last-Modified不变的情况,就是因为当nginx对一个静态文件缓存后,如果30s内还在访问它,那么它的缓存就一直存在,直到30s内你不访问了为止。 open_file_cache_min_uses2; #是否记录cache错误 open_file_cache_errorson; include/etc/nginx/conf.d/*.conf; include/etc/nginx/sites-enabled/*; }
4、SERVER模块
server{ #监听端口,nginx会根据请求的HOST来决定使用哪个SERVER段的配置。如果没有匹配的server_name,则默认使用配置文件中第一个。加上default_server则可以以指定没有匹配时的默认规则。 #listen80; listen80default_server; #域名可以有多个,用空格隔开 server_namewww.test.comtest.com; root/user/share/nginx/html/test; #404页面配置 error_page404/404.html; #配置ssl,有需要时开启。 sslon; ssl_certificate/etc/nginx/ssl/server.crt; ssl_certificate_key/etc/nginx/ssl/server.key; location/{ indexindex.htmlindex.php; } #图片缓存时间设置 location~.*.(gif|jpg|jpeg|png|bmp|swf)${ expires10d; } #JS和CSS缓存时间设置 location~.*.(js|css)?${ expires1h; } location~[^/]\.php(/|$){ fastcgi_indexindex.php; #开启PATH_INFO支持,作用就是把参数按照给定的正则表达式分割成$fastcgi_script_name和$fastcgi_path_info。 #例如:请求index.php/id/1不加此行配置时,fastcgi_script_name是/index.php/id/1,fastcgi_path_info是空。 #加上之后,fastcgi_script_name是index.php,fastcgi_path_info是/id/1 fastcgi_split_path_info^(.+\.php)(.*)$; #此值即是PHP中$_SERVER['SCRIPT_FILENAME']的值 fastcgi_paramSCRIPT_FILENAME$document_root$fastcgi_script_name; fastcgi_paramPATH_INFO$fastcgi_path_info; fastcgi_paramPATH_TRANSLATED$document_root$fastcgi_path_info; #指定FastCGI服务器监听端口与地址。须和PHP-FPM的设置相同。 #fastcgi_pass127.0.0.1:9000; fastcgi_passunix:/var/run/php5-fpm.sock; includefastcgi_params; } }
二、常见的方式
- 让木马上传后不能执行:针对上传目录,在nginx配置文件中加入配置,使此目录无法解析php
- 让木马执行后看不到非网站目录文件:取消php-fpm运行账户对于其他目录的读取权限
- 木马执行后命令不能执行:取消php-fpm账户对于sh的执行权限
- 命令执行后权限不能过高:php-fpm账户不要用root或者加入root组
三、具体的配置
1、禁止php文件的访问及执行
location~/(attachments|upload)/.*\.(php|php5)?${ denyall; }
2、禁止IP的访问
//禁止的写法 deny10.0.0.0/24; //允许的写法 allow10.0.0.0/24; denyall;
3、根据用户的真实IP做连接限制
##这里取得原始用户的IP地址 map$http_x_forwarded_for$clientRealIp{ ""$remote_addr; ~^(?P<firstAddr>[0-9\.]+),?.*$$firstAddr; } ##针对原始用户IP地址做限制 limit_conn_zone$clientRealIpzone=TotalConnLimitZone:20m; limit_connTotalConnLimitZone50; limit_conn_log_levelnotice; ##针对原始用户IP地址做限制 limit_req_zone$clientRealIpzone=ConnLimitZone:20mrate=10r/s; #limit_reqzone=ConnLimitZoneburst=10nodelay; limit_req_log_levelnotice; ##具体服务器配置 server{ listen80; location~\.php${ ##最多5个排队,由于每秒处理10个请求+5个排队,你一秒最多发送15个请求过来,再多就直接返回503错误给你了 limit_reqzone=ConnLimitZoneburst=5nodelay; fastcgi_pass127.0.0.1:9000; fastcgi_indexindex.php; includefastcgi_params; } }
4、经过多层CDN之后取得原始用户的IP地址,nginx配置
map$http_x_forwarded_for$clientRealIp{ ##没有通过代理,直接用remote_addr ""$remote_addr; ##用正则匹配,从x_forwarded_for中取得用户的原始IP ##例如X-Forwarded-For:202.123.123.11,208.22.22.234,192.168.2.100,... ##这里第一个202.123.123.11是用户的真实IP,后面其它都是经过的CDN服务器 ~^(?P<firstAddr>[0-9\.]+),?.*$$firstAddr; } ##通过map指令,我们为nginx创建了一个变量$clientRealIp,这个就是原始用户的真实IP地址, ##不论用户是直接访问,还是通过一串CDN之后的访问,我们都能取得正确的原始IP地址
5、隐藏版本信息
server_tokensoff; proxy_hide_headerX-Powered-By; //或者编译的时候修改源代码
6、禁用非必要的方法
if($request_method!~^(GET|HEAD|POST)$){ return444; }
7、禁用扩展名
location~*.(txt|doc|sql|gz|svn|git)${ denyall; }
8、合理配置响应头
add_headerStrict-Transport-Security"max-age=31536000"; add_headerX-Frame-Optionsdeny; add_headerX-Content-Type-Optionsnosniff; add_headerContent-Security-Policy"default-src'self';script-src'self''unsafe-inline''unsafe-eval'https://a.disquscdn.com;img-src'self'data:https://www.google-analytics.com;style-src'self''unsafe-inline';frame-srchttps://disqus.com";
Strict-Transport-Security(简称为HSTS)可以告诉浏览器,在指定的max-age内,始终通过HTTPS访问
X-Frame-Options用来指定此网页是否允许被iframe嵌套,deny就是不允许任何嵌套发生
9、拒绝一些User-Agents
if($http_user_agent~*LWP::Simple|BBBike|wget){ return403; }
10、防止图片盗链
valid_referersblockedwww.example.comexample.com; if($invalid_referer){ rewrite^/images/uploads.*\.(gif|jpg|jpeg|png)$http://www.examples.com/banned.jpglast } 11、控制缓冲区溢出攻击 client_body_buffer_size1K; client_header_buffer_size1k; client_max_body_size1k; large_client_header_buffers21k; client_body_timeout10; client_header_timeout10; keepalive_timeout55; send_timeout10;
解释说明
1、client_body_buffer_size1k-(默认8k或16k)这个指令可以指定连接请求实体的缓冲区大小。如果连接请求超过缓存区指定的值,那么这些请求实体的整体或部分将尝试写入一个临时文件。
2、client_header_buffer_size1k-指令指定客户端请求头部的缓冲区大小。绝大多数情况下一个请求头不会大于1k,不过如果有来自于wap客户端的较大的cookie它可能会大于1k,Nginx将分配给它一个更大的缓冲区,这个值可以在large_client_header_buffers里面设置。
3、client_max_body_size1k-指令指定允许客户端连接的最大请求实体大小,它出现在请求头部的Content-Length字段。如果请求大于指定的值,客户端将收到一个”RequestEntityTooLarge”(413)错误。记住,浏览器并不知道怎样显示这个错误。
4、large_client_header_buffers-指定客户端一些比较大的请求头使用的缓冲区数量和大小。请求字段不能大于一个缓冲区大小,如果客户端发送一个比较大的头,nginx将返回”RequestURItoolarge”(414)
1、client_body_timeout10;-指令指定读取请求实体的超时时间。这里的超时是指一个请求实体没有进入读取步骤,如果连接超过这个时间而客户端没有任何响应,Nginx将返回一个”Requesttimeout”(408)错误。
2、client_header_timeout10;-指令指定读取客户端请求头标题的超时时间。这里的超时是指一个请求头没有进入读取步骤,如果连接超过这个时间而客户端没有任何响应,Nginx将返回一个”Requesttimeout”(408)错误。
3、keepalive_timeout55;–参数的第一个值指定了客户端与服务器长连接的超时时间,超过这个时间,服务器将关闭连接。参数的第二个值(可选)指定了应答头中Keep-Alive:timeout=time的time值,这个值可以使一些浏览器知道什么时候关闭连接,以便服务器不用重复关闭,如果不指定这个参数,nginx不会在应答头中发送Keep-Alive信息。(但这并不是指怎样将一个连接“Keep-Alive”)参数的这两个值可以不相同。
4、send_timeout10;指令指定了发送给客户端应答后的超时时间,Timeout是指没有进入完整established状态,只完成了两次握手,如果超过这个时间客户端没有任何响应,nginx将关闭连接。
12、控制并发连接
limit_zoneslimits$binary_remote_addr5m; limit_connslimits5;
13、sysctl.conf配置
#Avoidasmurfattack net.ipv4.icmp_echo_ignore_broadcasts=1 #Turnonprotectionforbadicmperrormessages net.ipv4.icmp_ignore_bogus_error_responses=1 #TurnonsyncookiesforSYNfloodattackprotection net.ipv4.tcp_syncookies=1 #Turnonandlogspoofed,sourcerouted,andredirectpackets net.ipv4.conf.all.log_martians=1 net.ipv4.conf.default.log_martians=1 #Nosourceroutedpacketshere net.ipv4.conf.all.accept_source_route=0 net.ipv4.conf.default.accept_source_route=0 #Turnonreversepathfiltering net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.default.rp_filter=1 #Makesurenoonecanaltertheroutingtables net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.conf.all.secure_redirects=0 net.ipv4.conf.default.secure_redirects=0 #Don'tactasarouter net.ipv4.ip_forward=0 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.default.send_redirects=0 #Turnonexecshild kernel.exec-shield=1 kernel.randomize_va_space=1 #TuenIPv6 net.ipv6.conf.default.router_solicitations=0 net.ipv6.conf.default.accept_ra_rtr_pref=0 net.ipv6.conf.default.accept_ra_pinfo=0 net.ipv6.conf.default.accept_ra_defrtr=0 net.ipv6.conf.default.autoconf=0 net.ipv6.conf.default.dad_transmits=0 net.ipv6.conf.default.max_addresses=1 #OptimizationforportuseforLBs #Increasesystemfiledescriptorlimit fs.file-max=65535 #AllowformorePIDs(toreducerolloverproblems);maybreaksomeprograms32768 kernel.pid_max=65536 #IncreasesystemIPportlimits net.ipv4.ip_local_port_range=200065000 #IncreaseTCPmaxbuffersizesetableusingsetsockopt() net.ipv4.tcp_rmem=4096873808388608 net.ipv4.tcp_wmem=4096873808388608 #IncreaseLinuxautotuningTCPbufferlimits #min,default,andmaxnumberofbytestouse #setmaxtoatleast4MB,orhigherifyouuseveryhighBDPpaths #TcpWindowsetc net.core.rmem_max=8388608 net.core.wmem_max=8388608 net.core.netdev_max_backlog=5000 net.ipv4.tcp_window_scaling=1
14、在防火墙级限制每个IP的连接数
/sbin/iptables-AINPUT-ptcp--dport80-ieth0-mstate--stateNEW-mrecent--set /sbin/iptables-AINPUT-ptcp--dport80-ieth0-mstate--stateNEW-mrecent--update--seconds60--hitcount15-jDROP
15、限制Nginx连接传出
/sbin/iptables-AOUTPUT-oeth0-mowner--uid-ownervivek-ptcp--dport80-mstate--stateNEW,ESTABLISHED-jACCEPT
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。