Nginx安全基线

NO.1禁止某些文件类型的访问
原因某些文件不小心传如web目录后存在很大风险
解决location *.(txtdocdocxrarzip)$
root /var/www/www.xxx.xxx;
Deny all;
}
NO.2禁止访问某目录
原因一些敏感目录禁止直接访问
解决location ^/(web-inf)/{
Deny all;
}
NO.3禁止某个IP或网段访问
原因限制某些恶意用户的IP或网段
解决location /{
Deny xxx.xxx.xxx.xxx;
Allow xxx.xxx.xxx.0/24;
Deny all;
}
NO.4修改Nginx名称和版本号
原因防止恶意者收集服务器信息
解决vim src/http/ngx_http_header_fileter_module.c
Staticchar ngx_http_server_string[]=”Server: Feei”;
Staticchar ngx_http_server_full_string[]=’Server: Feei’
NO.5单用户并发链接限制
原因限制单个用户IP不能同时请求超过50个链接
解决limit_conn slimits 50;
NO.6限制可用方法
原因如果应用只用到GET/POST/HEAD,则禁止其他方法
解决if($request_method !^(GETHEADPOST)$){
return 444;
}
NO.7组织用户代理
原因阻止用户代理访问、扫描器、机器人、垃圾邮件等
解决if($http_user_agent * LWP::SimpleBBBikewget){
return 403;
}
if($http_user_agent * msnbot
scrapbot){
return 403;
}
if($http_referer * (babes
forsalegirljewelrylovenuditorganicpokerpornsexteen)){
return 403;
}
NO.8禁止其他网站引用本站图片
原因如果其他网站应用本站图片将消耗本站资源
解决location /images/{
valid_reerers none blocked www.xxx.com xxx.com;
if($invalid_referer){
return 403;
}
}
# 替换图片
if($invalid_referer){
rewrite ^/images/uploads.*.(gif
jpgjpegpngbmp)$
http://www.xxx.xxx/noimp.png last
}