等保针对 ‌Nginx‌ 和 ‌MySQL‌ 的专项安全加固配置指南

最新推荐文章于 2025-04-25 16:32:50 发布
最新推荐文章于 2025-04-25 16:32:50 发布
阅读量359 收藏 3
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 等保 MySQL Nginx 文章标签: nginx mysql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/146555251

以下是针对 ‌Nginx‌ 和 ‌MySQL‌ 的专项安全加固配置指南,涵盖协议安全、权限控制、日志审计等关键环节:

一、Nginx 加固配置‌

  1. 禁用高风险HTTP方法‌

nginx.conf 或对应站点配置文件

server {
    # 仅允许必要的HTTP方法(GET/POST/HEAD)
    if ($request_method !~ ^(GET|POST|HEAD)$ ) {
        return 444;  # 返回空响应,拒绝请求
    }
}
  1. 配置安全响应头‌
server {
    add_header X-Content-Type-Options "nosniff" always;   # 禁止MIME类型嗅探
    add_header X-Frame-Options "SAMEORIGIN" always;       # 防止点击劫持
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'";  # 限制资源加载源
    add_header X-XSS-Protection "1; mode=block";           # 启用XSS过滤器
    add_header Referrer-Policy "no-referrer-when-downgrade";  # 控制Referer泄露
}
  1. SSL/TLS 强化‌
server {
    ssl_protocols TLSv1.2 TLSv1.3;   # 禁用SSLv3/TLSv1.0/v1.1
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers on;    # 优先使用服务端加密套件
    ssl_session_timeout 1d;          # SSL会话缓存有效期
    ssl_session_cache shared:SSL:50m;
    ssl_stapling on;                 # 启用OCSP Stapling
    ssl_stapling_verify on;
    
    # 启用HSTS(强制HTTPS)
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}
  1. 访问控制与日志‌
# 限制客户端请求大小和超时
client_max_body_size 10m;          # 限制上传文件大小
client_body_timeout 10s;
client_header_timeout 10s;

# 限制并发连接数(根据服务器性能调整)
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 100;

# 记录完整访问日志(追踪异常请求)
access_log /var/log/nginx/access.log combined buffer=32k;
  1. 隐藏敏感信息‌
server {
    server_tokens off;   # 隐藏Nginx版本号
    location / {
        autoindex off;   # 禁止目录列表
    }
    
    # 限制敏感文件访问(如.git/.env)
    location ~ /\.(env|git|svn|ht) {
        deny all;
        return 404;
    }
}

二、MySQL 加固配置‌

  1. 权限最小化‌
-- 创建专用应用账户(禁止远程root登录)
CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'StrongPassword123!';
GRANT SELECT, INSERT, UPDATE, DELETE ON app_db.* TO 'app_user'@'localhost';
FLUSH PRIVILEGES;

-- 删除测试数据库和匿名账户
DROP DATABASE IF EXISTS test;
DELETE FROM mysql.user WHERE User='';
  1. 配置文件安全‌
# /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf
[mysqld]
user = mysql                      # 以非root用户运行
skip_symbolic_links = ON          # 禁用符号链接防止提权
local_infile = OFF                # 禁用本地文件加载
skip_name_resolve = ON            # 禁用DNS反向解析
secure_file_priv = /var/lib/mysql  # 限制文件导出路径

# 日志审计
log_error = /var/log/mysql/error.log
general_log = ON
general_log_file = /var/log/mysql/query.log
  1. 密码策略‌
-- 启用密码复杂度插件(MySQL 5.7+)
INSTALL PLUGIN validate_password SONAME 'validate_password.so';
SET GLOBAL validate_password_policy = MEDIUM;  # 要求包含数字、大小写、特殊字符
SET GLOBAL validate_password_length = 10;

-- 设置密码有效期(需启用密码过期插件)
ALTER USER 'app_user'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
  1. SSL 加密通信‌
-- 检查SSL支持
SHOW VARIABLES LIKE '%ssl%';

-- 强制用户使用SSL连接
ALTER USER 'app_user'@'localhost' REQUIRE SSL;

-- 生成证书(如果未配置):
openssl req -x509 -newkey rsa:2048 -nodes -keyout server-key.pem -out server-cert.pem
  1. 防SQL注入与连接控制‌

my.cnf 中配置

[mysqld]
max_connections = 500             # 限制最大连接数
wait_timeout = 600                # 空闲连接超时断开
interactive_timeout = 600

# 启用查询缓存限制(防止大查询拖垮服务)
query_cache_size = 64M
query_cache_limit = 2M

三、验证与维护‌

Nginx 验证工具‌:

SSL 配置检查:ssllabs.com/ssltest
安全头检查:curl -I https://your-domain.com

MySQL 安全检查‌:

SELECT user, host, ssl_type FROM mysql.user;  -- 确认SSL启用状态
SHOW VARIABLES LIKE 'validate_password%';    -- 检查密码策略

定期维护‌:

每月更新SSL证书(Let’s Encrypt证书需续签)。
每日检查备份文件完整性(如 md5sum backup.sql)。
每周清理日志文件(使用 logrotate 工具)。
注意事项‌
回滚测试‌:修改关键配置前备份原文件(如 cp /etc/nginx/nginx.conf{,.bak})。
灰度发布‌:先在测试环境验证配置兼容性。
性能监控‌:加固后使用 top/htop 观察CPU和内存占用,避免过度限制影响业务。

如需针对特定场景(如高并发业务)优化安全配置,可进一步细化调整参数。

Nginx与服务器安全加固措施
java专栏
09-04 2013
大家好,我是你们的小助手,今天咱们要探讨的主题是如何给 Nginx 服务器进行安全加固。这可是一项非常重要的任务,因为一旦服务器被黑客攻破,后果不堪设想。所以,咱们得从头到脚,全方位地给服务器打上补丁,让它变得坚不可摧!首先,我们得搞清楚什么是服务器安全。简单来说,服务器安全就是采取各种技术策略来保护服务器不受攻击、入侵其他安全威胁。对于 Nginx 服务器来说,安全加固尤为重要,因为它通常位于网络的前端,是黑客们首要攻击的目标。怎么样,是不是觉得 Nginx 服务器安全加固其实也没有那么难呢?
如何通过nginx代理实现外网访问内网mysql或oracle数据库
sg_knight的专栏
07-27 1万+
项目开发部署中经常会遇到MySQL或Oracle数据库安装在内容,而我们的应用服务只能部署在外网,如果实现外网服务访问连接内网的数据库呢?本次介绍如何通过Nginx配置实现外网访问内容数据库。
Nginx常用安全加固措施+限速模块
虫虫的博客
04-23 2784
Nginx常用安全加固措施+限速模块
Nginx七项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 5108
一、Nginx后端服务指定的Header隐藏状态 | 服务配置 描述 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server; 操作时建议做好记录或备份 二、Nginx的WEB访问日志记录状态 | 服务配置 描述 应为每个
Nginx安全加固
最新发布
coklan的博客
04-25 1368
以上配置涵盖了Nginx安全加固的主要方面,每个配置都附带了详细的解释注释。在实际应用中,建议根据具体的业务需求安全级别要求,对这些配置进行适当的调整。
【网络安全Nginx服务器安全加固:全面提升安全防护能力
A1_3_9_7的博客
02-20 2962
当前银行互联网业务越来越多,攻击暴露面也随之变大,如何加强Web服务器的安全防护成为一项迫切需要解决的问题。本文简要介绍Nginx基本概念、功能及安全加固建议等内容,后续我们将结合科技运营维护工作实际,持续优化创新,持续完善互联网系统安全防护能力,护航业务系统高质量发展。
Nginx 安全加固详解:配置步骤与实用技巧
XMYX-0
11-15 1285
首先,在http块中定义限流区域http {# 每秒允许 1 个请求# 连接数限制区域通过配置 Nginx安全头部、限流模块、隐藏版本信息、过滤敏感参数 User-Agent 等手段,我们可以大幅提高 Nginx 的防御能力。这些配置不仅可以阻止常见的攻击,还可以优化服务器资源使用。
nginx常用安全加固措施
guofeng_hao的博客
12-03 3748
安全加固 1、禁止目录浏览/隐藏版本信息 编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启: autoindex off; #禁止目录浏览 server_tokens off; #隐藏版本信息 2、限制http请求方法 if ($request_method !~ ^(GET|HEAD|POST)$ ) { return444; } 3、限制IP访问 location / { deny 192.168.1.1; #拒绝IP allow 192.
Nginx事件驱动模型深度解析
紫夜若涵的博客
10-08 584
Nginx,作为一款广受欢迎的高性能Web服务器反向代理服务器,其核心优势之一在于其独特的事件驱动模型。这种模型不仅使得Nginx能够高效地处理大量并发连接,还保证了在低资源消耗下的稳定运行。本文将详细探讨Nginx事件驱动模型的工作原理,列举其支持的事件模型,并提供简单的配置方法。
JVM调优案例:通过调整JVM的默认内存配置来解决内存溢出(OutOfMemoryError)或栈溢出(StackOverflowError)等错误
专注于计算机研发知识和资讯分享
08-16 483
例如,可以将最小堆内存设置为2GB(-Xms2048m)最大堆内存设置为4GB(-Xmx4096m)。解决方案:根据服务具体的部署(启动)方式,通过调整JVM的默认内存配置来解决内存溢出(OutOfMemoryError)或栈溢出(StackOverflowError)等错误。原因分析:查询查询平台所有船舶的统计数据,接口输出的数据量达到153M,在Spring框架中处理HTTP请求的时候,调度请求给相应的处理器(Handler)偶尔会发生内存溢出。
NginxMySQL数据库下载及环境安装配置——外加可视化Navicat配置
热门推荐
₰₯₮ 的博客
12-29 6万+
1、先下载Nginx服务MySQL服务 提取码:6tpi 网盘分享链接 Nginx MySQL 下载 下载后解压 我们需要先配置以下 首先打开文件夹 MySQL, 打开my.ini文件 我们把当前的路径复制粘贴到 basedir=粘贴路径 datadir=粘贴路径/data/ 里面的《/》不要搞反了,不然会出错的 然后保存 然后我们开始配置环境变量 我们右键此电脑,点击属性,点击高级系统设置 点击高级选项卡,点击环境变量,点击新键,把刚刚复制的路径粘贴到..
Nginx服务器安全加固:全面提升安全防护能力
网络安全
02-19 2230
随着互联网的不断发展,Web应用的规模复杂性也在不断增加。Nginx作为一款高性能开源Web服务器软件,经过多年发展,已成为全球最流行的Web服务器之一,其自身的安全性尤为重要。
[nginx]安全加固
一名普通码农的菜地
08-12 2204
Nginx 禁止IP访问 只允许域名访问 转 今天要在Nginx上设置禁止通过IP访问服务器,只能通过域名访问,这样做是为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网,从网络上搜到以下解决方案: Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时候生效 最关键的一点是,在server的设置里面添加这一行: liste...
Nginx服务安全加固
qq_40907977的博客
03-18 1512
1、禁止频繁访问的ip访问nginx 生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站,此时我们需要通过安全措施保护我们的服务器 部署nginx [root@localhost tools]# yum install gcc gcc-c++ make automake autoconf libtool pcre* zlib openssl openssl-devel [root@localhost tools]# tar xf nginx-1.11.2.tar.gz [root@localh
nginx安全加固
qq_40907977的博客
06-24 5525
1. 在Nginx中禁用server_tokens指令 该server_tokens指令告诉nginx的错误页面显示其当前版本。 这是不可取的,因为您不想与世界共享这些信息,以防止在您的Web服务器由特定版本中的已知漏洞造成的攻击。 要禁用server_tokens指令,设定在关闭服务器块内: server { listen 192.168.0.88:80; Server_tokens off; server_name howtoinglovesnginx.com www.ngi
Nginx漏洞利用与安全加固
weixin_33973600的博客
04-09 377
本文主要分为两大部分,第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法,并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容。Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows...
Nginx 高性能调优与安全加固实战指南
大新软件老杨
04-08 440
remote_addr 只能获取到与服务器直连的上层请求 IP,但当通过 CDN 或其他代理访问时,后端服务器获取到的将是 CDN 或代理的 IP,而非真实用户 IP。NGINX 将重用现有的 TCP 连接,而不是创建新的 TCP 连接,这可以极大地减少繁忙服务器上处于 TIME_WAIT 状态的 TCP 连接中的套接字数量(减少操作系统建立新连接的工作,减少网络上的数据包)。文件句柄可以看作是文件的索引,随着请求量的增加,进程对文件句柄的调用频率也会相应提高,导致文件句柄数量增多。
Nginx配置
w先生的博客
12-30 221
作为使用最广泛的Web服务器之一,Nginx安全配置显得尤为重要。本文将从多个维度详细介绍如何增强Nginx安全性,帮助开发运维人员构建一个更安全的Web服务环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值