Nginx安全配置标准(for proxy)

时间  2019-11-12
标签 nginx 安全 配置 标准 proxy 栏目 Nginx 繁體版
原文   原文链接

1、目的

本标准是信息系统安全技术标准的一部分,主要目的是根据信息安全管理政策要求,为我司"Nginx反向代理"配置提供安全标准。html

2、范围

本规范适用于我司全部Nginx反向代理。java

3、内容

3.1 版本

使用专人统一维护的版本nginx

3.2 启动账号

使用非root账号启动,例如:安全

user www www;
或者
user nginx nginx;

3.3 日志记录

日志记录级别设置为noticelua

error_log logs/error.log notice;

日志按日期切分,格式为spa

error.log.YYYY-MM-DD

3.4 限制HTTP Method

限制http method只容许为GET/HEAD/POST代理

http {
	server {
		...		if ( $request_method !~ ^(GET|HEAD|POST)$ ) {			return 403;
                }
		...
	}
}

3.5 加载QWAF

每一个VHOST都要求加载QWAF日志

http {
	...
	lua_package_path '/home/q/nginx/conf/?.lua;;';
	...
	server {
	    ...
            set $qunar_security_filter "l";
            include security_filter.conf;
	    ...
	}
}

3.6 设置Server header

隐藏真实的server header,设置统一的code

http {
	...
	more_set_headers    "Server: QWS/1.0";
	...
}

3.7 隐藏header

隐藏某些可能会形成信息泄露的headerserver

more_clear_headers 'X-Hidden-*';
more_clear_headers 'X-Powered-By';

3.8 错误页面重定向

重定向404和5xx错误页面

error_page 404 /qunar_404.html;
error_page 500 501 502 503 504 /qunar_500.html;
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程