Nginx 安全&优化&日志输出规范详细配置

Posted by Yancy on 2016-04-05

##1.Nginx日志审计

① 参考配置操作

(1)编辑 nginx.conf 配置文件

将 error_log 前的“#”去掉,记录错误日志
将 access_log 前的“#”去掉,记录访问日志
(2)设置 access_log,修改配置文件如下:

1
2
3
4
log_format formatname '$remote_addr - $remote_user [$time_local] '
' "$request" $status $body_bytes_sent "$http_referer" '
' "$http_user_agent" "$http_x_forwarded_for"'; access_log
logs/access.log formantname; #formatname 是设置配置文件格式的名称

② 备注事项

查看 nginx.conf 配置文件中,error_log、access_log 前的“#”是否去掉
0x02 服务
1 限制 IP 访问
对网站或敏感目录的访问 IP 进行限制
① 参考配置操作
(1)修改配置文件

vi /usr/local/nginx/conf/nginx.conf

具体设置如下:

1
2
3
4
5
location / {
deny 192.168.1.1; #拒绝 IP
allow 192.168.1.0/24; #允许 IP
allow 10.1.1.0/16; #允许 IP
deny all; #拒绝其他所有 IP

(2)重新启动 nginx 服务

② 备注事项
根据应用场景,设置合适的 IP 地址,检查配置文件 #more /usr/local/nginx/conf/nginx.conf中的

2.控制超时时间

控制超时时间,提高服务器性能,降低客户端的等待时间

① 建议配置

(1)修改配置文件

vim /usr/local/nginx/conf/nginx.conf

具体设置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
client_body_timeout 10; #设置客户端请求主体读取超时时间
client_header_timeout 10; #设置客户端请求头读取超时时间
keepalive_timeout 5 5; #第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,它指定了消息头保持活动的有效时间
send_timeout 10; #指定响应客户端的超时时间
(2)重新启动 nginx 服务
② 备注事项
需要根据应用场景的需要选择合适的参数值。
1 、符合性判定依据
超时后,服务器返回相应的消息。
2 、参考检测方法
检查配置文件 #more /usr/local/nginx/conf/nginx.conf
3 下载限制并发和速度
限制客户端下载速度,保证服务器负载正常
① 建议配置
例如网站存放路径为/usr/local/nsfocus/ ,服务器名称为:down.nsfocus.com
(1)修改配置文件
#vi /usr/local/nginx/conf/nginx.conf
具体设置如下:
limit_zone one $binary_remote_addr 10m;
server
{
listen 80;
server_name down.nsfocus.com;
index index.html index.htm index.PHP;
oot /usr/local/nsfocus;
#Zone limit;
location / {
limit_conn one 1;
limit_rate 20k;
}
.....
}

(2)重新启动 nginx 服务

下载时,不会超过设计的并发连接数和速度限制,同时检查 nginx.conf 文件中的配置

其他事项

3.卸载不需要的模块

卸载不需要的 nginx 模块, 最大限度地将 nginx 加载的模块最小化

① 建议配置

(1)检查需要禁用的模块

在编译 nginx 服务器时,使用下面的命令查看哪些模块应该启用,哪些模应
该禁用:

# ./configure --help | less

一旦处选了要禁用的模块,需要与相关人员沟通确认,并经过测试不影响业
务运行。

(2)例如,要禁用 autoindex 和 SSI 模块,命令如下:

1
2
3
# ./configure --without-http_autoindex_module --without-http_ssi_module
# make
# make install

② 备注事项

Nginx 不包含不必要的模块或者输入 ./configure –help | less 进行检查

##4.防盗链设置
防止其他网站盗链本网站资源

① 建议配置

(1)修改配置文件

#vi /usr/local/nginx/conf/nginx.conf

具体设置如下:

1
2
3
4
5
6
7
8
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {
valid_referers none blocked server_names *.nsfocus.com
http://localhost baidu.com;
if ($invalid_referer) {
rewrite ^/ [img]http://www.ihaozhuo.com/images/default/logo.gif[/img];
# return 403;
}
}

根据应用场景,设置合适的域名
(2)Nginx -t 检查配置是否有没有问题。 重新启动 nginx 服务

② 备注事项

从非法网站访问所保护的资源,出现设置的页面。同时检查配置文件 #more /usr/local/nginx/conf/nginx.conf

##5.自定义错误信息
1)修改 src/http/ngx_http_special_response.c,自己定制错误信息

1
2
3
4
5
6
7
8
9
10
11
12
## messages with just a carriage return.
static char ngx_http_error_400_page[] = CRLF;
static char ngx_http_error_404_page[] = CRLF;
static char ngx_http_error_413_page[] = CRLF;
static char ngx_http_error_502_page[] = CRLF;
static char ngx_http_error_504_page[] = CRLF;
常见错误:
400 bad request
404 NOT FOUND
413 Request Entity Too Large
502 Bad Gateway
504 Gateway Time-out

(2)重新启动 nginx 服务

② 备注事项

URL 地址栏中输入 http://ip:8800/manager12345,访问出错时,返回自定义的错误页面

6.隐藏 nginx 服务信息头

① 建议配置

修改 nginx解压路径/src/http/ngx_http_header_filter_module.c文件的第48
和 49 行内容,自定义头信息:

1
2
static char ngx_http_server_string[] = “Server:XXXXX.com” CRLF;
static char ngx_http_server_full_string[] = “Server:XXXXX.com” CRLF;

添加如下代码到 nginx.conf配置文件,禁止错误页面中显示 nginx 版本号:

1
server_tokens off

② 备注事项

服务信息头显示设置的内容,检查 http 服务信息头内容

6.补丁更新

安装系统补丁,修补漏洞

1.参考配置操作
手动安装补丁或安装最新版本软件,所安装的补丁,应首先在经过测试验证;安装前,要做好数据备份。
2.查看版本和编译器信息