Keselamatan asas Nginx: menghalang pengimbasan HTTP dan serangan kekerasan

Dengan perkembangan Internet, isu keselamatan rangkaian telah menarik lebih banyak perhatian. Bagi pentadbir laman web, melindungi keselamatan tapak web telah menjadi tugas penting. Pengimbasan HTTP dan serangan kekerasan adalah salah satu kaedah serangan biasa pada masa ini, dan semuanya perlu diberi perhatian.

Untuk memastikan keselamatan laman web, ramai pentadbir laman web akan menggunakan Nginx sebagai pelayan web. Nginx bukan sahaja menyokong permintaan serentak yang tinggi, tetapi juga boleh mengkonfigurasi tembok api HTTP untuk melindungi tapak web daripada pengimbasan HTTP dan serangan kekerasan.

Serangan Pengimbasan HTTP

Pengimbasan HTTP ialah serangan pasif di mana penyerang menghantar sejumlah besar permintaan HTTP untuk mencari kelemahan tapak web. Penyerang akan mengimbas port dan perkhidmatan terbuka di tapak web, dan kemudian menjalankan pengesanan dan serangan kelemahan.

Untuk melindungi tapak web daripada serangan pengimbasan HTTP, langkah berikut boleh diambil:

1 Lumpuhkan kaedah HTTP yang tidak perlu

Nginx mendayakan semua kaedah HTTP secara lalai, seperti. DAPATKAN, POS, LETAK, PADAM, dll. Malah, dalam banyak kes, anda hanya perlu mendayakan kaedah GET dan POST. Oleh itu, adalah disyorkan bahawa pentadbir mematikan kaedah HTTP yang tidak diperlukan Anda boleh menambah konfigurasi berikut dalam fail konfigurasi Nginx:

http {
  # 禁用PUT, DELETE等方法 
  if ($request_method !~ ^(GET|POST)$) {
    return 405;
  }
}

2 Hadkan kekerapan permintaan HTTP

Seorang penyerang akan membuat laman web terdedah dengan menghantar permintaan secara berterusan. Muatan meningkat, menjadikannya tidak dapat membalas permintaan daripada pengguna biasa yang lain. Untuk mengelakkan situasi ini, kami boleh menetapkan had pada kekerapan permintaan HTTP, iaitu mengehadkan bilangan permintaan untuk alamat IP tertentu dalam tempoh masa tertentu.

Gunakan modul ngx_http_limit_req untuk mengehadkan kekerapan capaian IP klien.

Pertama tentukan limit_req_zone dalam blok http, tentukan memori kongsi bernama req_zone, tetapkan saiz kunci kepada 10k dan hadkan kekerapan permintaan kepada 10 kali/s.

http {
  limit_req_zone $binary_remote_addr zone=req_zone:10k rate=10r/s;
}

Seterusnya, tambah konfigurasi berikut dalam pelayan atau blok lokasi untuk dilindungi

server {
  limit_req zone=req_zone burst=5 nodelay;
}

Apabila IP melebihi 10 permintaan dalam masa 10s, kerana had permintaan telah dicapai, maka pelayan A Kod ralat 503 Service Unavailable akan dikembalikan, dengan itu mengehadkan kekerapan akses.

Serangan brute force

Serangan brute force ialah serangan aktif di mana penyerang menggunakan sejumlah besar kombinasi nama pengguna dan kata laluan untuk cuba mendapatkan akses kepada sistem atau aplikasi. Jika kata laluan tidak cukup kuat, penyerang mungkin berjaya memecahkan kata laluan akaun dan mengambil alih sistem.

Untuk mengelakkan serangan kekerasan, kami boleh menggunakan langkah berikut:

1 Gunakan protokol HTTPS

Protokol HTTPS boleh menyulitkan penghantaran melalui protokol TLS/SSL untuk menambah baik. data penghantaran Keselamatan menjadikan penyerang mustahil untuk mendapatkan kata laluan akaun pengguna. Menggunakan protokol HTTPS ialah langkah paling asas dan berkesan untuk melindungi penghantaran data sensitif.

2. Gunakan kata laluan yang kuat

Menggunakan kata laluan yang kuat boleh mengurangkan kadar kejayaan penyerang berniat jahat. Lebih panjang dan lebih kompleks kata laluan, lebih sukar untuk dipecahkan. Pentadbir harus menggalakkan pengguna menggunakan kata laluan yang kuat dan menggunakan dasar kata laluan untuk mengehadkan penggunaan kata laluan yang lemah.

3. Gunakan percubaan log masuk had

Seorang penyerang cuba log masuk beberapa kali, menggunakan nama pengguna dan kata laluan yang berbeza, sehingga mereka mendapat keyakinan log masuk yang betul. Pentadbir boleh mengkonfigurasi modul yang mengehadkan bilangan percubaan log masuk, seperti fail2ban, yang boleh mengehadkan bilangan percubaan log masuk mengikut peraturan tertentu untuk melindungi keselamatan sistem.

Ringkasan

Melindungi keselamatan tapak web adalah sangat penting, dan Nginx, sebagai pelayan web berprestasi tinggi, mempunyai fungsi yang kukuh untuk memastikan keselamatan tapak web. Dengan menggunakan langkah di atas, anda boleh menghalang pengimbasan HTTP dan serangan kekerasan secara berkesan, membantu pentadbir melindungi tapak web dengan lebih baik.

Atas ialah kandungan terperinci Keselamatan asas Nginx: menghalang pengimbasan HTTP dan serangan kekerasan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!