Nginx安全基线

Nginx安全基线

|NO.1|禁止某些文件类型的访问| |-|-| |原因|某些文件不小心传如web目录后存在很大风险| |解决|location *.(txt|doc|docx|rar|zip)$
root /var/www/www.xxx.xxx;
Deny all;
}|

|NO.2|禁止访问某目录| |-|-| |原因|一些敏感目录禁止直接访问| |解决|location ^/(web-inf)/{
Deny all;
}|

|NO.3|禁止某个IP或网段访问| |-|-| |原因|限制某些恶意用户的IP或网段| |解决|location /{
Deny xxx.xxx.xxx.xxx;
Allow xxx.xxx.xxx.0/24;
Deny all;
}|

|NO.4|修改Nginx名称和版本号| |-|-| |原因|防止恶意者收集服务器信息| |解决|vim src/http/ngxhttpheaderfiletermodule.c
Staticchar ngxhttpserverstring[]="Server: Feei";
Staticchar ngx
httpserverfull_string[]='Server: Feei'|

|NO.5|单用户并发链接限制| |-|-| |原因|限制单个用户IP不能同时请求超过50个链接| |解决|limit_conn slimits 50;|

|NO.6|限制可用方法| |-|-| |原因|如果应用只用到GET/POST/HEAD,则禁止其他方法| |解决|if($request_method !^(GET|HEAD|POST)$){
return 444;
}|

|NO.7|组织用户代理| |-|-| |原因|阻止用户代理访问、扫描器、机器人、垃圾邮件等| |解决|if($httpuseragent * LWP::Simple|BBBike|wget){
return 403;
}
if($httpuseragent * msnbot|scrapbot){
return 403;
}
if($http_referer * (babes|forsale|girl|jewelry|love|nudit|organic|poker|porn|sex|teen)){
return 403;
}|

|NO.8|禁止其他网站引用本站图片| |-|-| |原因|如果其他网站应用本站图片将消耗本站资源| |解决|location /images/{
validreerers none blocked www.xxx.com xxx.com;
if($invalid
referer){
return 403;
}
}
# 替换图片
if($invalid_referer){
rewrite ^/images/uploads.*.(gif|jpg|jpeg|png|bmp)$
http://www.xxx.xxx/noimp.png last
}|