过度了啊！Nginx这些重要的安全设置，你不会....

Nginx 是最流行的 Web 服务器，能够只占用 2.5 MB 的内存，却能够轻松处理 1w 的 http 请求。

作为网站的入口，Nginx 的安全设置重要性不言而喻。

下面带你一块儿去认识一下这些安全配置吧！

nginx.conf是 Nginx 最主要的配置文件，大部分的安全配置都在这个文件上进行。

禁用不须要的 Nginx 模块

自动安装的 Nginx 会内置不少模块，并非全部的模块都须要，对于非必须的模块能够禁用，如 autoindex module ，下面展现如何禁用

# ./configure --without-http_autoindex_module
# make
# make install

不展现 server tokens

默认状况下，Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号，这可能会致使信息泄露，未经受权的用户可能会了解你使用的nginx版本。 应该在 nginx.conf 经过设置 server_tokens off 来禁用

控制资源和限制

为了防止对 Nginx 进行潜在的 DOS 攻击，能够为全部客户端设置缓冲区大小限制，配置以下：

• client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k，但建议将此值设置为低至1k：client_body_buffer_size 1k
• client_header_buffer_size 为客户端请求标头指定标头缓冲区大小。 设置为 1k 足以应付大多数请求。
• client_max_body_size 为客户端请求指定可接受的最大正文大小。 设置为 1k 应该足够了，可是若是经过 POST方法接收文件上传，则须要增长它。
• large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2，每一个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据， large_client_header_buffers 2 1k

禁用全部不须要的 HTTP 方法

禁用全部不须要的 HTTP 方法，下面设置意思是只容许 GET、HEAD、POST 方法，过滤掉 DELETE 和 TRACE 等方法。

location / {
limit_except GET HEAD POST { deny all; }
}

另外一种方法是在 server 块 设置，不过这样是全局设置的，要注意评估影响

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444; }

监控访问日志和错误日志

持续监控和管理 Nginx 的错误日志，就能更好的了解对 web 服务器的请求，注意到任何遇到的错误，有助于发现任何攻击尝试，并肯定您能够执行哪些操做来优化服务器性能。

能够使用日志管理工具（例如 logrotate ）来旋转和压缩旧日志并释放磁盘空间。 一样，ngx_http_stub_status_module 模块提供对基本状态信息的访问。

合理配置响应头

为了进一步增强 Nginx web 的性能，能够添加几个不一样的响应头，推荐

X-Frame-Options

能够使用 X-Frame-Options HTTP 响应头指示是否应容许浏览器在 <frame> 或 <iframe> 中呈现页面。 这样能够防止点击劫持攻击。

配置文件中添加：

add_header X-Frame-Options "SAMEORIGIN";

Strict-Transport-Security

HTTP Strict Transport Security，简称为 HSTS。它容许一个 HTTPS 网站，要求浏览器老是经过 HTTPS 来访问它，同时会拒绝来自 HTTP 的请求，操做以下：

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

CSP

Content Security Policy (CSP) 保护你的网站避免被使用如 XSS，SQL注入等手段进行攻击，操做以下：

add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

配置 SSL 和 cipher suites

Nginx 默认容许使用不安全的旧 SSL 协议，ssl_protocols TLSv1 TLSv1.1 TLSv1.2，建议作以下修改：

ssl_protocols TLSv1.2 TLSv1.3;

此外要指定 cipher suites ，能够确保在 TLSv1 握手时，使用服务端的配置项，以加强安全性。

ssl_prefer_server_ciphers on

按期更新服务器

旧版的 Nginx 总会存在各类各样的漏洞，因此最好更新到最新版。

漏洞能够去各大 CVE 网站去查询，Nginx 最新版则去官网查看。

来源：https://www.toutiao.com/i6901...