10 个Nginx 的安全提示

最新推荐文章于 2025-03-27 09:18:06 发布
最新推荐文章于 2025-03-27 09:18:06 发布
阅读量715 收藏
点赞数
分类专栏: 服务器/运维
本文提供了九个关键步骤来确保您的Nginx部署是安全的,包括禁用autoindex模块、限制用户连接数、设置自定义缓存、避免使用HTTP认证等措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。

  下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。

  1. 在配置文件中小心使用"if"。它是重写模块的一部分,不应该在任何地方使用。

“if”声明是重写模块评估指令强制性的部分。换个说法,Nginx的配置一般来说是声明式的。在有些情况下,由于用户的需求,他们试图在一些非重写指令内使用“if”,这导致我们现在遇到的情况。大多数情况下都能正常工作,但…看上面提到的。

看起来唯一正确的解决方案是在非重写的指令内完全禁用“if”。这将更改现有的许多配置,所以还没有完成。

来源: IfIsEvil

  2. 将每个~ .php$请求转递给PHP。 我们上周发布了这个流行指令的潜在安全漏洞介绍。即使文件名为hello.php.jpeg它也会匹配~ .php$这个正则而执行文件。

  现在有两个解决上述问题的好方法。我觉得确保你不轻易执行任意代码的混合方法很有必要。

  1. 如果没找到文件时使用try_filesonly(在所有的动态执行情况下都应该注意) 将它转递给运行PHP的FCGI进程。
  2. 确认php.ini文件中cgi.fix_pathinfo设置为0 (cgi.fix_pathinfo=0) 。这样确保PHP检查文件全名(当它在文件结尾没有发现.php它将忽略) 
  3. 修复正则表达式匹配不正确文件的问题。现在正则表达式认为任何文件都包含".php"。在站点后加“if”确保只有正确的文件才能运行。将/location ~ .php$和location ~ ..*/.*.php$都设置为return 403;

  3. 禁用autoindex模块。这个可能在你使用的Nginx版本中已经更改了,如果没有的话只需在配置文件的location块中增加autoindex off;声明即可。

  4. 禁用服务器上的ssi (服务器端引用)。这个可以通过在location块中添加ssi off; 。

  5. 关闭服务器标记。如果开启的话(默认情况下)所有的错误页面都会显示服务器的版本和信息。将server_tokens off;声明添加到Nginx配置文件来解决这个问题。

  6. 在配置文件中设置自定义缓存以限制缓冲区溢出攻击的可能性

  • client_body_buffer_size  1K;
  • client_header_buffer_size 1k;
  • client_max_body_size 1k;
  • large_client_header_buffers 2 1k;

  7. 将timeout设低来防止DOS攻击。所有这些声明都可以放到主配置文件中

  • client_body_timeout   10;
  • client_header_timeout 10;
  • keepalive_timeout     5 5;
  • send_timeout          10;

  8. 限制用户连接数来预防DOS攻击

  • limit_zone slimits $binary_remote_addr 5m;
  • limit_conn slimits 5;

  9. 试着避免使用HTTP认证。HTTP认证默认使用crypt,它的哈希并不安全。如果你要用的话就用MD5(这也不是个好选择但负载方面比crypt好) 。

Nginx 设置临时维护页面
vuhe's blog
05-17 1039
目录Nginx 设置临时维护页面对于简单的页面 rewrite使用状态码对于简单的页面 rewrite使用状态码 Nginx 设置临时维护页面 nginx维护页面处理-全部URL指向同一个页面 一般来说nginx的维护页面需要把所有访问本站的链接全部重定向到某个指定页面 对于简单的页面 rewrite 将一下语句加在最后即可 rewrite ^(.*)$ /maintain.html break; 注意这句后面如果有重定向等语句,那么后面执行的重定向等语句需要全部注释掉 使用状态码 修改 nginx
Nginx解决通过openssl自签名证书访问Https报不安全告警的问题
qq_53058639的博客
03-02 2530
定义自签名证书扩展文件(解决chrome安全告警)。在默认情况下生成的证书一旦选择信任,在 Edge, Firefox等浏览器都显示为安全,但是Chrome仍然会标记为不安全并警告拦截,这是因为 Chrome 需要证书支持扩展 Subject AlternativeName, 因此生成时需要特别指定 SAN 扩展并添加相关参数,将下述内容放到一个文件中,命名为private.ext[ req ][SAN]EOF。
10Nginx安全提示
C860_zy的专栏
12-20 1036
Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。 下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。 1. 在配置文件中小心使用"if"。它是重写模块的一部分,不应该在任何地方使用。 “if”声明是重写模块评估指令强制性的部分。换个说法,Nginx的配
Nginx 提示500 ,设置提示具体错误
人生不过是一场旅行,你路过我,我路过你,各自向前,各自修行。
09-09 2241
在入口文件index.php头部加上error_reporting(E_ALL); ini_set('display_errors', 'On');然后重启服务器即可.
nginx配置维护页面的方法
qq_40006446的博客
06-13 1826
3.可以检查下/home/admin/nginx/conf/nginx.conf,看下是怎么配置的;可以放到服务器nginx目录里的html文件夹下,例如/home/admin/nginx/html/updating.html。5.使用/home/admin/nginx/sbin/nginx -s reload命令重启nginx。本人公司一般发版是不停项目的,但是遇到特殊情况、就不得不停项目发版,用户就会有几个小时不能使用。停项目发版时,会修改下nginx,让所有请求都跳转到维护页面,在此记录下修改方法。
分享Nginx10个安全问题提示
09-30
Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它
nginx安全
最新发布
技术引领业务创新
03-27 1101
NGINX安全相关设置
Nginx服务器基础的安全配置与一些安全使用提示
09-30
这些安全提示和配置建议旨在提高Nginx服务器的安全性。在实施任何更改时,请确保进行充分的测试,以防止对服务器的正常运行造成影响。同时,保持对最新安全威胁和最佳实践的关注,持续改进你的服务器配置。
windows下nginx配置https以及同一个端口监听多个网站即监听多个虚拟主机
03-13
在Windows上下载Nginx的安装包,运行安装程序并按照提示进行配置。安装完成后,Nginx的服务会自动启动或需要手动启动。 2. 配置HTTPS: - 生成SSL证书:可以使用OpenSSL工具生成自签名证书,或者购买CA签发的证书...
nginx设置临时维护页面,腾讯T2亲自讲解
m0_60707660的博客
04-06 750
需要注意的是,301 跳转是永久性重定向,搜索引擎会将原始 URL 的权重传递给新的 URL,因此在进行永久性重定向时需要谨慎考虑。302 跳转是临时性重定向,不会传递权重,适用于临时性的需求。前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**301 跳转和 302 跳转是 HTTP 协议中的两种重定向方式,它们有着不同的含义和使用场景。的所有请求都临时性重定向到。
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
主要介绍了nginx 隐藏版本号与WEB服务器信息的解决方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
nginx配置
weixin_43606241的博客
03-10 476
一、需要配置ng识别url
Nginx基础之HTTP介绍/ng介绍与基本安装配置
weixin_43136091的博客
05-18 2048
一、HTTP 介绍 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 1、HTTP 工作原理 HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 Web服务器有:Nginx,Apache服务器,IIS服务
检测到错误页面web应用服务器版本信息泄露
lxyoucan的博客
07-14 2966
Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
HTTP 常见错误
weixin_30436891的博客
12-26 2057
HTTP 错误 400 400 请求出错 由于语法格式有误,服务器无法理解此请求。不作修改,客户程序就无法重复此请求。 HTTP 错误 401 401.1 未授权:登录失败 此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。 请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。401.2 未授权:服务器的配置导致登录失败 此错误表明传输给服务器的证书与登录服务器所需的...
ngrok起步篇
二苟
10-31 611
近来在开发微信公众号,在为公众号配置服务器的时候,由于公司外网ip还未申请下来,在调试token验证的时候就无法进行了。偶然间发现了这个叫ngrok的东西,发现确实好用。以下简单说一下使用过程。首先,访问ngrok官网:https://ngrok.com/在首页有个免费注册的提示,如下图: 点击进去会提示注册账号,按照要求填写相关信息就可以了: 注册之后的页面(或者在任何页面上方都会有downl
内网穿透之ngrok
[暂停使用]任先阳
01-15 1092
ngrok要凉,frp要火的情况下,记录一下 1、懒得搭建,www.ngrok.cc,直接用的做好的 ~ 2、下载之后可以看到一个文件sunny.exe,在当前目录打开cmd,输入启动命令 sunny clientid 你的ID 3、还是很麻烦的,可以写个bat脚本 # run.bat sunny clientid 你的ID 【其它问题】 1、webpack-dev-ser...
ngrokngrok的基本使用和返回错误html页面的解决方法
weixin_47540834的博客
07-02 2402
前端:使用vue作为框架后端:flask框架,Ubuntu系统目标:当前我的后端服务器在本地计算机上,前端通过axios向后端交互也是通过get或post向本地的url:http://192.168.20.199:4999/login发送请求,我希望即使前端在云服务器上,也能向后端的url发送请求。
使用nginx防止机器攻击策略
qq_36807862的博客
08-07 1874
可以使用nginx对$request进行控制if ($request ~ "GET /sms/sendVerifyCode.do?")   user  nginx; worker_processes  1; error_log  /var/logs/nginx/error.log; pid  /var/run/nginx.pid; events {     worker_connect...
nginx提示403,open
02-14
### 解决 Nginx 出现 403 Forbidden 错误 当遇到 `open() “/data/www/1.txt” failed (13: Permission denied)` 这样的错误时,通常是因为 Web 服务器尝试访问的文件或目录权限设置不正确。以下是几种可能的原因及解决方案: #### 文件和目录权限配置不当 如果 `/data/www` 或其下的任何子目录或文件具有严格的权限设置,则可能导致此问题。应确保这些位置对于运行 Nginx 的用户(通常是 `www-data`, `nginx` 或其他指定用户)可读。 ```bash chown -R www-data:www-data /data/www/ chmod -R 755 /data/www/ ``` 上述命令将更改 `/data/www` 及其中所有内容的所有权给 `www-data` 用户并调整权限以便该用户可以读取、写入以及执行[^1]。 #### SELinux/AppArmor 配置冲突 某些 Linux 发行版默认启用安全模块如 SELinux 或 AppArmor,它们可能会阻止 Nginx 访问特定路径上的资源。可以通过临时禁用这些服务来测试是否为原因所在;如果是的话,需进一步配置策略允许必要的访问行为。 对于 SELinux: ```bash setenforce 0 ``` 这会切换到宽容模式而不改变现有规则集,在确认无误后再考虑长期方案[^2]。 #### 路径不存在或拼写错误 检查配置中的根 (`root`) 和索引(`index`)指令所指向的位置确实存在,并且没有大小写敏感度引起的差异等问题。例如,给出的例子中指定了 `root /data/www/;` ,那么应当核实这个地址下有合法的内容可供提供[^3]。 #### 日志分析 继续监控 `/var/log/nginx/error.log` 中的日志条目可以帮助定位具体哪个环节出了差错。每次修改配置之后重启 Nginx 并观察新的请求是否会触发相同的错误消息[^5]。 通过以上措施应该能够有效处理大多数情况下由权限不足引发的 403 Forbidden 响应码情况。当然还有更多潜在因素也可能造成相同现象的发生,比如 PHP-FPM 设置等更复杂的情形就需要针对性排查了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值