>운영 및 유지보수 >리눅스 운영 및 유지 관리 >nginx 보안을 개선하는 방법

nginx 보안을 개선하는 방법

巴扎黑
巴扎黑원래의
2017-08-23 15:47:322230검색

Nginx는 오늘날 가장 인기 있는 웹 서버 중 하나입니다. 전 세계 웹 트래픽의 7%를 담당하며 놀라운 속도로 성장하고 있습니다. 이것은 놀라운 서버이며 배포하고 싶습니다.

다음은 Nginx 배포의 보안을 보장하는 데 도움이 될 수 있는 일반적인 보안 함정과 솔루션 목록입니다.

1. 구성 파일에서 "if"를 주의해서 사용하세요. 이는 다시 쓰기 모듈의 일부이므로 어디에도 사용하면 안 됩니다.

"if" 문은 재정의 모듈 평가 지시문의 필수 부분입니다. 즉, Nginx 구성은 일반적으로 선언적입니다. 어떤 경우에는 사용자 요구로 인해 재정의되지 않은 일부 지시문 내에서 "if"를 사용하려고 시도했으며 이로 인해 현재 직면한 상황이 발생했습니다. 대부분의 경우에는 잘 작동하지만... 위에서 언급한 내용을 참조하세요.

재정의되지 않은 지시문 내에서 "if"를 완전히 비활성화하는 것이 유일한 올바른 해결책인 것 같습니다. 이렇게 하면 기존 구성이 많이 변경되므로 아직 완료되지 않았습니다.

2. 각 ~ .php$ 요청을 PHP로 전달합니다. 우리는 지난 주에 이 인기 있는 명령의 잠재적인 보안 취약점에 대한 소개를 게시했습니다. 파일명이 hello.php.jpeg이더라도 ~.php$ 정규 패턴과 일치하여 파일을 실행하게 됩니다.

이제 위의 문제를 해결하는 두 가지 좋은 방법이 있습니다. 혼합된 메소드로 임의의 코드를 쉽게 실행하지 않도록 하는 것이 중요하다고 생각합니다.

파일을 찾을 수 없으면 try_files를 사용하고 (모든 동적 실행 상황에서 이 점을 주의해야 함) PHP를 실행하는 FCGI 프로세스로 전송합니다.

php.ini 파일에서 cgi.fix_pathinfo가 0(cgi.fix_pathinfo=0)으로 설정되어 있는지 확인하세요. 이렇게 하면 PHP가 파일의 전체 이름을 확인하게 됩니다(파일 끝에서 .php를 찾지 못하면 무시합니다).

정규 표현식이 잘못된 파일과 일치하는 문제를 해결합니다. 정규식은 이제 ".php"를 포함하는 모든 파일을 고려합니다. 사이트 뒤에 "if"를 추가하면 올바른 파일만 실행됩니다. /location ~ .php$ 및 location ~ ..*/.*.php$를 모두 설정하여 403을 반환합니다.

3. 자동 인덱스 모듈을 비활성화합니다. 사용 중인 Nginx 버전에서 변경되었을 수 있습니다. 그렇지 않은 경우 구성 파일의 위치 블록에 autoindex off; 문을 추가하면 됩니다.

4. 서버에서 ssi(서버 측 참조)를 비활성화합니다. 이는 위치 블록에 ssi off를 추가하여 수행할 수 있습니다.

5. 서버 플래그를 끕니다. 활성화하면(기본적으로) 모든 오류 페이지에 서버 버전과 정보가 표시됩니다. 이 문제를 해결하려면 Nginx 구성 파일에 server_tokens off; 문을 추가하세요.

6. 구성 파일에 사용자 정의 캐싱을 설정하여 버퍼 오버플로 공격 가능성을 제한합니다.

client_body_buffer_size 1K;

client_header_buffer_size 1k;

client_max_body_size 1k;

large_client_header_buffers 2 1k;

7. DOS 공격을 방지하려면 시간 제한을 낮게 설정하세요. 이러한 모든 선언은 기본 구성 파일에 배치될 수 있습니다.

client_body_timeout 10;

client_header_timeout 10;

keepalive_timeout 5 5;

send_timeout 10;

8 사용자 연결 수를 제한하여 DOS 공격을 방지하세요.

limit_zone slimits $binary_remote_addr 5m;

limit_conn slimits 5;

9 HTTP 인증을 사용하지 마세요. HTTP 인증은 기본적으로 crypt를 사용하며 해당 해시는 안전하지 않습니다. 사용하고 싶다면 MD5를 사용하세요(좋은 선택은 아니지만 로드 측면에서 crypt보다 낫습니다).

10. 최신 Nginx 보안 업데이트를 받아보세요.

위 내용은 nginx 보안을 개선하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.