首页 » 应用安全 » Web 服务器 » Nginx » 正文

Nginx 常见加固

1,目录浏览功能

默认安装nginx是已经关闭目录浏览功能的(autoindex off;),由于配置不当可能被打开(autoindex on;),如果业务需要目录浏览,可以针对特定目录进行设置。

例如:仅对网站软件下载目录开放目录浏览功能。 
vi nginx.conf

2,限制上传目录执行脚本

例如:对upload目录进行限制,仅允许访问jpg等常见上传附件文件(根据业务需求自行修改允许的文件类型)。
vi nginx.conf

location ^~ /upload/ {
if($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$)
{
return 403;
}
alias /var/www/html/upload/;
}

3,防止信息泄漏

3.1,备份文件处理

运维人员经常出现网站备份文件忘记删除,可以被下载造成信息泄漏。

例如:禁止对sql、bak等敏感文件进行访问(根据业务需求自行修改允许的文件类型)。
vi nginx.conf

location ~* \.(sql|bak|inc|......)$
{
return 403;
}

3.2,版本号屏蔽

不在错误页面以及响应头中显示Nginx版本号

在server段中配置: 
server_tokens off;

3.3,重定向错误页面

将错误页面重定向到指定的错误页面(根据业务自行调整),避免显示nginx缺省的错误页面。

在server段中配置: 
error_page 400 403 404 500 501 502 503 504 505 http://www.defvul.com/error.html

发表评论