博客
如何保护您的Nginx部署安全:10个技巧

如何保护您的Nginx部署安全:10个技巧

 抽象形状  抽象形状
加入27,000多个网络安全通讯订阅者

根据Web3Techs, Nginx是第二受欢迎的Web服务器 Apache背后的平台,考虑到后者在这个领域的长期存在,这是一个壮举。也就是说,越来越多的高性能网站正在使用Nginx而不是Apache来提供内容和应用程序交付服务,并且其采用率多年来一直在稳步增长,这是有充分的理由的:它运行速度非常快(非常出色),轻巧并且可以在所有主要的OS平台上使用。以下是10个重要提示,可帮助您加强Nginx部署以抵御网络攻击的威胁。

1.禁用未使用的Nginx模块。

与大多数Web服务器平台一样,Nginx安装了许多模块,其中许多模块都是不必要的,因此应禁用Nginx以最大程度地降低潜在攻击的风险。这可以通过 配置 安装期间选择。

2.禁用Nginx版本号显示。

默认情况下, server_tokens 指令设置为在所有自动生成的错误页面(例如404页)上显示Nginx的版本号。应该通过设置禁用 server_tokens 关。

3. 设置客户端缓冲区大小限制。

通过为客户端设置缓冲区大小限制,这有助于防止发生缓冲区溢出攻击。对Nginx配置文件指令的修改,例如

client_body_buffer_size, client_header_buffer_size, client_max_body_sizelarge_client_header_buffers 可以帮助达到这个目的。

4.禁用不必要的HTTP方法。

通常,Web操作需要GET,HEAD和POST方法,而其他诸如DELETE和TRACE的方法则是不必要的。应将必要条件添加到Nginx配置文件中的“服务器”部分,以阻止其他方法 被剥削

5.禁用跟踪和跟踪。

TRACE和TRACK HTTP方法用于调试连接,但可以用来拦截访问者的敏感数据。禁用这两种方法可以有效地防止这种情况的发生。

6.安装ModSecurity模块。

顾名思义,ModSecurity模块可在Nginx内提供更好的安全性-本质上充当Web应用程序防火墙。因此,强烈建议安装mod_security模块以增强Nginx的本机安全性。

7.配置Nginx以包括X-Frame-Options标头。

添加参数 add_header X框架选项"SAMEORIGIN" 到您的Nginx配置的服务器部分 防止点击劫持攻击 通过允许/禁止浏览器呈现iframe。具体来说,仅当框架和父框架共享相同的原点时,才会在框架/ iframe中渲染文档

8.在Nginx配置中禁用较早的SSL协议。

默认情况下,Nginx会安装多个旧版本 SSL协议 协议 暴露的协议,可能会导致BEAST(针对SSL / TLS的浏览器攻击)攻击。因此,应禁用较旧的协议以更好地使用 安全态势 。这可以通过在Web服务器设置中定义Nginx协议/密码以仅接受更新,更安全的协议来实现。

9.修改用于X-XSS保护的Nginx Web服务器配置/ SSL协议 。

这有助于防止 跨站脚本 通过强制注入具有X-XSS保护的HTTP标头来利用。为此,您必须添加 add_header X-XSS-Protection"1; mode=block"; 到您的default.conf或ssl.conf文件。

10.随时关注Nginx更新

验证环境中的软件是否已正确更新和打补丁应该是连续的,自动化的过程,并且值得商—,这在您的Web基础架构中比任何地方都更为重要。就Nginx而言,这意味着与时俱进 安全公告 更新 在现有基础上。

UpGuard可以持续监视您的Nginx Web服务器,以发现可能导致数据泄露的最新漏洞,安全漏洞和错误配置。此外,该平台的策略驱动的验证引擎可以确保在您的整个环境中实施上述10个强化技巧以及更多技巧。立即试用,最多可免费使用10台服务器。

使用UpGuard保护自己免受网络攻击

在UpGuard,我们可以 保护您的业务免受数据泄露 并帮助您持续监控 您所有供应商的安全状况.

唐'不要让破坏性的网络攻击席卷您的防御, 点击这里 立即免费试用UpGuard!

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
 抽象形状  抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
 传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
 抽象形状  抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  •  检查图标
    您可以立即采取行动的即时见解
  •  检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级 抽象形状