Cara menggunakan Nginx untuk mengelakkan kerentanan HTTP/2

Dengan pembangunan aplikasi web, Nginx telah menjadi pelayan pilihan ramai pembangun dan pentadbir web. Ia mengendalikan protokol pengangkutan dengan cekap dan menyediakan perkhidmatan yang selamat. Walau bagaimanapun, kelemahan keselamatan yang dipanggil kerentanan HTTP/2 telah ditemui baru-baru ini, yang menimbulkan ancaman kepada aplikasi web. Bagaimana untuk menggunakan Nginx untuk mengelakkan kerentanan seperti ini? Mari kita ketahui bersama di bawah.

Pengenalan kepada kerentanan HTTP/2

Pertama sekali, mari kita fahami apakah itu kerentanan HTTP/2? Malah, kelemahan ini disebabkan oleh pelaksanaan HTTP/2 tertentu yang tidak mengendalikan bingkai DATA dengan medan panjang tersirat dengan betul, mengakibatkan serangan penafian perkhidmatan. Penyerang boleh mengeksploitasi kelemahan ini untuk menghantar paket berniat jahat kepada pelayan mangsa, menyebabkan pelayan ranap. Kerentanan ini sudah wujud dalam beberapa pelayan HTTP/2 semasa, seperti Apache dan Nginx.

Bagaimanakah Nginx menghalang kerentanan HTTP/2?

Nginx telah menyelesaikan kerentanan HTTP/2 dalam versi terbaharunya. Jika anda menggunakan Nginx 1.13.10 atau lebih tinggi, anda sudah selamat. Tetapi jika anda masih menggunakan versi Nginx yang lebih rendah daripada ini, maka kami mengesyorkan agar anda menaik taraf segera untuk mengelakkan daripada terdedah kepada serangan.

Tingkatkan versi Nginx

Untuk menaik taraf versi Nginx, anda perlu menyandarkan fail konfigurasi Nginx dan fail berkaitan dahulu, dan pastikan anda boleh memulihkannya. Kemudian, anda perlu memuat turun versi terkini binari Nginx. Anda boleh memuat turun binari dari laman web rasmi atau repositori Nginx.

Sebagai contoh, anda boleh memuat turun binari Nginx terkini pada hos tempatan anda:

$ wget https://nginx.org/packages/mainline/ubuntu/pool/nginx/n/nginx /nginx_1.19.1-1~xenial_amd64.deb

Menyelesaikan isu pergantungan

Sebelum memasang binari Nginx baharu, anda mungkin perlu menyelesaikan beberapa isu pergantungan. Untuk memasang binari Nginx, anda perlu memasang kebergantungan seperti OpenSSL dan PCRE. Anda boleh menggunakan arahan berikut untuk menyelesaikan isu pergantungan ini.

$ sudo apt-get kemas kini
$ sudo apt-get install libpcre3-dev zlib1g-dev libssl-dev

Pasang versi baharu Nginx

Selepas memasang kebergantungan, Anda kini boleh memasang versi terkini Nginx.

$ sudo dpkg -i nginx_1.19.1-1~xenial_amd64.deb

Dayakan HTTP/2

Sebaik sahaja anda berjaya memasang versi baharu Nginx, anda perlu untuk membolehkan HTTP2 Untuk mengelakkan kerentanan HTTP/2. Anda boleh mendayakan HTTP/2 dengan mengubah suai fail konfigurasi Nginx. Buka fail konfigurasi Nginx anda dan cari baris berikut.

dengar 443 ssl;

Tambah baris berikut selepas yang ini

http2;

Barisan akhir anda sepatutnya kelihatan seperti ini:

dengar 443 ssl http2;

Simpan dan tutup fail konfigurasi dan mulakan semula pelayan Nginx.

Firewall

Selain menaik taraf versi Nginx anda dan mendayakan HTTP/2, anda juga harus mempertimbangkan untuk menggunakan firewall untuk meningkatkan keselamatan pelayan anda. Firewall boleh menapis trafik masuk yang tidak perlu dan membenarkan hanya trafik yang selamat sampai ke pelayan web. Anda boleh menggunakan tembok api untuk menyekat akses daripada rangkaian luaran dan membenarkan hanya alamat IP yang dipercayai untuk mengakses pelayan web anda.

Kesimpulan

Di atas ialah beberapa kaedah tentang cara menggunakan Nginx untuk mengelakkan kerentanan HTTP/2. Ingat, adalah penting untuk meningkatkan versi Nginx anda, mendayakan HTTP/2, dan menggunakan tembok api untuk melindungi pelayan web anda. Dengan mengikuti amalan terbaik keselamatan ini, anda akan dapat memastikan aplikasi web anda berjalan dengan selamat dan menentang ancaman serangan web.

Atas ialah kandungan terperinci Cara menggunakan Nginx untuk mengelakkan kerentanan HTTP/2. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!