Analyse des journaux Nginx et pratique d'audit de sécurité HTTP/HTTPS

Avec le développement continu d'Internet, les problèmes de sécurité des réseaux reçoivent de plus en plus d'attention. En tant que praticien informatique, l'analyse des journaux et l'audit de sécurité sont l'une des compétences que nous devons maîtriser. Dans cet article, nous nous concentrerons sur la façon d'utiliser l'outil d'analyse des journaux Nginx pour mener des pratiques d'audit de sécurité HTTP/HTTPS.

1. Analyse des journaux Nginx

Nginx, en tant que serveur Web hautes performances, fournit des fonctions de journalisation riches. Le fichier journal Nginx se trouve dans le répertoire /usr/local/nginx/logs/, et access.log est le journal d'accès que nous utilisons le plus souvent.

Les formats de journaux d'accès Nginx sont très riches. Les formats courants sont les suivants :

$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$http_x_forwarded_for"

Parmi eux, $remote_addr représente l'adresse IP du client, $remote_user représente le nom de l'utilisateur, $time_local représente l'heure d'accès, $request représente le contenu de la demande, et $status représente l'état de la réponse, $body_bytes_sent représente le nombre d'octets envoyés, $http_referer représente la source de référence, $http_user_agent représente l'agent utilisateur du client et $http_x_forwarded_for représente l'adresse IP du serveur proxy.

En analysant les journaux d'accès Nginx, nous pouvons comprendre le chemin d'accès de l'utilisateur, le type de demande, le type de client, le code d'état de retour et d'autres informations, ce qui constitue une base favorable pour les audits de sécurité ultérieurs.

2. Pratique d'audit de sécurité HTTP/HTTPS

1. Surveiller les requêtes HTTP

Le réseau est inondé d'un grand nombre de requêtes malveillantes, telles que l'injection SQL, les attaques XSS, etc. Ces attaques utilisent souvent HTTP pour transmettre des données nuisibles. . En analysant les journaux d'accès Nginx, nous pouvons découvrir ces requêtes malveillantes à temps, puis les intercepter et les empêcher.

Nous pouvons surveiller les requêtes HTTP en configurant le format du journal et le chemin du journal avec Nginx. Les méthodes de configuration courantes sont les suivantes :

log_format monitor '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

access_log  /usr/local/nginx/logs/monitor.log monitor;

De cette façon, nous pouvons afficher le journal dans le fichier monitor.log pour faciliter l'analyse ultérieure.

2. Surveillance des requêtes HTTPS

Le mécanisme de transmission crypté du HTTPS rend les requêtes malveillantes plus difficiles à détecter. Nous devons surveiller les requêtes HTTPS via des méthodes d'analyse des journaux plus sophistiquées.

Nginx fournit des journaux du processus de prise de contact SSL et de vérification des certificats. Nous pouvons activer ces journaux en configurant ssl_protocols et ssl_ciphers. Les méthodes de configuration courantes sont les suivantes :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

# 开启SSL握手和证书验证日志
ssl_session_tickets off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/conf/cert/ca.pem;
ssl_certificate /usr/local/nginx/conf/cert/server.pem;
ssl_certificate_key /usr/local/nginx/conf/cert/server.key;
ssl_session_log /usr/local/nginx/logs/ssl_session.log;

Parmi elles, ssl_session_log active les journaux de prise de contact SSL et de vérification des certificats, et les journaux peuvent être générés dans le fichier ssl_session.log pour faciliter une analyse ultérieure.

3. Surveiller les sources d'accès

Les attaques de réseau utilisent souvent HTTP Referer ou HTTP User Agent pour tromper le serveur et obtenir des autorisations illégales. Par conséquent, nous devons surveiller les sources d’accès en temps opportun pour empêcher tout accès malveillant.

Nous pouvons configurer le format de journal access_log et le chemin du journal via Nginx pour surveiller la source d'accès. La méthode de configuration courante est la suivante :

log_format referer '$remote_addr [$time_local] "$request" "$http_referer" "$http_user_agent"';

access_log /usr/local/nginx/logs/referer.log referer;

De cette façon, nous pouvons afficher le référent et l'agent utilisateur dans le fichier referer.log, pour une analyse ultérieure.

4. Résumé

L'analyse des journaux Nginx et les pratiques d'audit de sécurité HTTP/HTTPS peuvent améliorer les capacités de prévention de la sécurité du réseau et nous aider à découvrir et à gérer les vulnérabilités de sécurité et les demandes malveillantes en temps opportun. Grâce à la méthode de configuration présentée dans cet article, nous pouvons facilement surveiller les requêtes HTTP et HTTPS et analyser la source d'accès. J'espère que chacun pourra faire bon usage de ces outils dans le travail réel et améliorer son propre niveau de sécurité.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!