首页 | 财经 | 资源 | 理财 | 考研 | 职场 | 论文 | 资格 | 股票学院 |

股票学院: 股票入门 - 股票知识 - 股票术语 - 炒股技巧 - 选股技巧 - 跟庄技巧 - 炒股经验 - 投资策略 - K线图 - 均线 - 分时图 - 成交量 - 波浪理论 - 基本面分析 - 心理分析 - 涨停研究 - 趋势线 - 江恩理论 - MACD - KDJ - 技术指标 - 财经股票书籍在线阅读 - 金融类书籍下载 - 银行学院 - 保险学院 - 外汇学院 - 债券学院 - 股票学院 - 基金学院 - 港股学院 - 黄金学院

当前位置:天下金融网 > 金融云 > 文章正文

程序员安全规范:安全无小事,安全防范从Nginx配置做起

时间:2019-07-26 22:49:19来源:今日头条作者:佚名

 隐藏版本号

  1. http { 
  2.  server_tokens off; 

经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞。

程序员安全规范:安全无小事,安全防范从Nginx配置做起

开启HTTPS

  1. server { 
  2.  listen 443; 
  3.  server_name ops-coffee.cn; 
  4.   
  5.  ssl on; 
  6.  ssl_certificate /etc/nginx/server.crt; 
  7.  ssl_certificate_key /etc/nginx/server.key; 
  8.  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
  9.  ssl_ciphers HIGH:!aNULL:!MD5; 
  • ssl on: 开启https
  • ssl_certificate: 配置nginx ssl证书的路径
  • ssl_certificate_key: 配置nginx ssl证书key的路径
  • ssl_protocols: 指定客户端建立连接时使用的ssl协议版本,如果不需要兼容TSLv1,直接去掉即可
  • ssl_ciphers: 指定客户端连接时所使用的加密算法,你可以再这里配置更高安全的算法

添加黑白名单

白名单配置

  1. location /admin/ { 
  2.  allow 192.168.1.0/24; 
  3.  deny all; 

上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有

也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如

  1. location /ops-coffee/ { 
  2.  deny 192.168.1.0/24; 
  3.  allow all; 

更多的时候客户端请求会经过层层代理,我们需要通过$http_x_forwarded_for来进行限制,可以这样写

  1. set $allow false; 
  2. if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; } 
  3. if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; } 
  4. if ($allow = false) { return 404; } 

添加账号认证

  1. server { 
  2.  location / { 
  3.  auth_basic "please input user&passwd"; 
  4.  auth_basic_user_file key/auth.key; 
  5.  } 

限制请求方法

  1. if ($request_method !~ ^(GET|POST)$ ) { 
  2.  return 405; 

$request_method能够获取到请求nginx的method

配置只允许GET\POST方法访问,其他的method返回405

拒绝User-Agent

  1. if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) { 
  2.  return 444; 

可能有一些不法者会利用wget/curl等工具扫描我们的网站,我们可以通过禁止相应的user-agent来简单的防范

Nginx的444状态比较特殊,如果返回444那么客户端将不会收到服务端返回的信息,就像是网站无法连接一样

图片防盗链

  1. location /images/ { 
  2.  valid_referers none blocked www.ops-coffee.cn ops-coffee.cn; 
  3.  if ($invalid_referer) { 
  4.  return 403; 
  5.  } 

valid_referers: 验证referer,其中none允许referer为空,blocked允许不带协议的请求,除了以上两类外仅允许referer为www.ops-coffee.cn或ops-coffee.cn时访问images下的图片资源,否则返回403

当然你也可以给不符合referer规则的请求重定向到一个默认的图片,比如下边这样

  1. location /images/ { 
  2.  valid_referers blocked www.ops-coffee.cn ops-coffee.cn 
  3.  if ($invalid_referer) { 
  4.  rewrite ^/images/.*\.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last; 
  5.  } 

控制并发连接数

可以通过ngx_http_limit_conn_module模块限制一个IP的并发连接数

  1. http { 
  2.  limit_conn_zone $binary_remote_addr zone=ops:10m; 
  3.  server { 
  4.  listen 80; 
  5.  server_name ops-coffee.cn; 
  6.   
  7.  root /home/project/webapp; 
  8.  index index.html; 
  9.  location / { 
  10.  limit_conn ops 10; 
  11.  } 
  12.  access_log /tmp/nginx_access.log main; 
  13.  } 

limit_conn_zone: 设定保存各个键(例如$binary_remote_addr)状态的共享内存空间的参数,zone=空间名字:大小

相关阅读

焦点图文

关于我们 | 广告服务 | 商务合作 | 网站地图

版权所有 Copyright(C)2018-2020 苏州骐云跃网络科技有限公司,未经授权禁止复制或建立镜像,否则将依法追究法律责任!
声明:我们不做任何形式的代客理财及投资指导,凡是以天下金融网名义做股票推荐的行为均属违法!
广告商的言论与行为均与天下金融网无关!股市有风险,投资需谨慎。
苏公网安备 32050502000166号
苏ICP备14018528号
商务合作:联系我们

天下金融网版权所有