在当今数字化时代,Web服务器的安全性至关重要。NGINX,作为一种强大而灵活的Web服务器和反向代理,需要经过仔细的安全配置,以确保系统的健壮性。本文将介绍一系列NGINX安全配置的最佳实践,帮助你保障服务器免受潜在的威胁。
nginx基本安全配置
Nginx默认是不允许列出整个目录的,不过,我们为了安全,最好还是确认这个真的关闭了,不然代码被拉走了就悲剧了。
http {
autoindex off;
}
nginx默认是会在返回的数据包中显示版本号,还是隐藏好一点。
http {
server_tokens off;
}
其他限制访问请求参数
http {
#设置客户端请求头读取超时时间,超过这个时间还没有发送任何数据,Nginx将返回“Request time out(408)”错误
client_header_timeout 15;
#设置客户端请求主体读取超时时间,超过这个时间还没有发送任何数据,Nginx将返回“Request time out(408)”错误
client_body_timeout 15;
#上传文件大小限制
client_max_body_size 100m;
#指定响应客户端的超时时间。这个超过仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关闭连接。
send_timeout 600;
#设置客户端连接保持会话的超时时间,超过这个时间,服务器会关闭该连接。
keepalive_timeout 60;
}
nginx是可以做ip访问限制的,但是不建议这么做。
#设置网站根目录的访问权限
location /
allow 192.168.1.1/24;
deny 192.168.3.1/24;
deny all;
}
限制访问个别目录或文件后缀名。
#在访问uploads、images目录时,访问php|php5|jsp后缀的文件会返回403代码,也就是不给执行代码了。
location ~ ^/(uploads|images)/.*\.(php|php5|jsp)$ {
return 403;
}
#禁止访问所有目录下的sql|log|txt|jar|war|sh|py后缀的文件,这些是什么文件就不详细说了。
location ~.*\.(sql|log|txt|jar|war|sh|py) {
deny all;
}
#有时候,有些访问记录不想保存到日志里面,例如静态图片
location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF|png)$ {
access_log off;
}
Nginx 限制IP的访问频率
要先在http层定义,然后在 location, server, http上下文中作限制,他们用的是限制单ip访问的漏桶算法,超过定义的限制会报503错误,当然,有些时候可能是某个公司同一个ip有几十人一起访问网站,这是有可能被误伤的,做好503报错回调是很有必要的。
http {
limit_req_zone $binary_remote_addr zone=iplimit:10m rate=20r/s;
# zone=iplimit:10m 表示生成一个大小为10M的名字为iplimit的内存区域来存储访问频次信息,1M大约可以存16000个ip会话,看你访问量有多少就设多少
# rate=20r/s 表示允许相同标识的客户端访问频次 每秒20次,依据你的访问量来设置
server{
location ~ ^/api {
proxy_pass http:#127.0.0.1:8000;
# 对访问以/api的请求,限制每个ip每秒不超过20个请求,漏桶数burst为5,brust的意思就是,如果第1,2,3,4秒请求为19个,第5秒的请求为25个是被允许的。但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。nodelay,如果不设置该选项,第1秒25个请求时,5个请求放到第2秒执行,设置nodelay,25个请求将在第1秒执行。
limit_req zone=ipmlimit burst=5 nodelay;
limit_req_status 503;
# burst 缓冲区大小
# nodelay 超过访问频次而且缓冲区也满的时候返回503
# limit_req_status指定自定义错误码, 默认503
}
}
# 指定503错误页面:
error_page 503 /errpage/503.html;
}
Nginx 限制IP的并发
通过 limit_conn_zone 模块来达到限制用户的连接数的目的,即限制同一用户 IP 地址的并发连接数。
通过配置,设定/api 这个location,每个IP,同一时刻只存在一个连接。注意:并发的概念并不是说 每秒多少连接。
http {
limit_conn_zone $binary_remote_addr zone=connlimit:10m;
# zone=iplimit:10m 表示生成一个大小为10M的名字为iplimit的内存区域来存储访问频次信息,1M大约可以存16000个ip会话,看你访问量有多少就设多少
server{
location ~ ^/api {
proxy_pass http:#127.0.0.1:8000;
# 配置的并发请求为 1, 依据你的实际情况来设置
limit_conn connlimit 1;
# limit_conn_status 指定自定义错误码, 默认503
limit_conn_status 503;
}
}
# 指定503错误页面:
error_page 503 /errpage/503.html;
}
Nginx 限制IP的流量
通过limit_rate模块来进行流量控制, 对于提供下载的网站,肯定是要进行流量控制的。Nginx 通过 core模块的 limit_rate 等指令可以做到限流的目的。
如果要进行限速,可以和 limit_conn_zone 模块配合进行使用
http {
server{
location ~ ^/download{
# 以最大的速度下载 size大小后,在进行 limit_rate speed 限速,例如:limit_rate_after 3m 解释为:以最大的速度下载3m后,再进行限速。
limit_rate_after 3m;
# 向客户端传输数据的速度,速度的单位是每秒传输的字节数。注意:该限制只是针对一个连接的设定,也就是说,如果同时有2个连接,那么它的速度将会是该指令设置的两倍。
limit_rate 512k;
}
}
}
查看原文:快来检查一下你的NGINX配置安全吗
关注公众号 "字节航海家" 及时获取最新内容
版权归原作者 龙行天5 所有, 如有侵权,请联系我们删除。