Reka bentuk dasar keselamatan dalam Nginx

Dalam persekitaran Internet hari ini, isu keselamatan bukan lagi isu kecil. Untuk menangani pelbagai kemungkinan ancaman keselamatan, ramai pembangun dan kakitangan operasi dan penyelenggaraan perlu mengambil kira keselamatan semasa mereka bentuk sistem. Nginx ialah pelayan proksi berprestasi tinggi yang digunakan secara meluas dalam persekitaran pelayan web dengan prestasi dan kebolehpercayaan yang sangat baik Oleh itu, apabila mereka bentuk dasar keselamatan dalam Nginx, anda perlu memberi perhatian kepada aspek berikut.

1. Pengerasan keselamatan

Apabila membina pelayan Nginx, kita mesti memastikan keselamatan sistem pengendalian, seperti melarang pengguna root daripada log masuk dari jauh, memadam proses perkhidmatan yang tidak perlu , dsb. Selain itu, keselamatan Nginx sendiri juga perlu diperkukuh. Langkah-langkah khusus termasuk:

• Tutup modul yang tidak berkaitan: padamkan modul yang tidak diperlukan, seperti autoindex_module, lumpuhkan fail hantar dan log akses, dsb.; >,
,
• , dsb.; X-Content-Type-Options:nosniffX-XSS-Protection:1;mode=block Pertahankan terhadap serangan DDoS: tetapkan had kadar sambungan, lakukan beberapa pemeriksaan asas sebelum membenarkan klien melakukan beberapa tugas pra-pemprosesan, seperti menyemak IP atau pengguna -agent; X-Frame-Options:DENY
Matikan server_tokens: Matikan paparan nombor versi pelayan dalam fail konfigurasi Nginx untuk menghalang penyerang daripada mendapatkan maklumat sensitif seperti nombor versi pelayan daripada maklumat pengepala.
• Pengesahan dan Kebenaran

2. Nginx menyediakan pengesahan Asas HTTP dan pengesahan Token, yang boleh mengesahkan pengguna untuk permintaan akses untuk mengawal hak akses. Sebagai contoh, tambahkan konfigurasi berikut pada fail Nginx.conf:

location /auth-example/ {
    auth_basic "Please enter password";
    auth_basic_user_file /var/www/password/db;
}

Maksud konfigurasi ini ialah: apabila mengakses

, Nginx akan muncul kotak gesaan kata laluan kepada pengguna, dan kemudian semak sama ada kata laluan adalah betul. Kata laluan akan dicari dalam fail

, yang sepatutnya dijana oleh perintah

. Konfigurasi ini telah mendayakan pengesahan nama pengguna/kata laluan asas dalam Nginx. /auth-example//var/www/password/dbhtpasswdKeselamatan respons HTTP

3. Apabila Nginx bertindak sebagai pelayan proksi terbalik, semua respons HTTP daripada pelayan mesti dimajukan kepada klien. Pada masa ini, badan tindak balas HTTP perlu diperiksa dan ditapis untuk mengelakkan serangan ke atas pelanggan. Ini boleh dicapai melalui modul Nginx, seperti menambah semakan pada pengepala respons HTTP untuk memastikan ia betul dan tidak mengandungi kandungan berniat jahat.

Lindungi penyulitan SSL

4. Apabila menggunakan pemindahan HTTPS, anda perlu mempertimbangkan perlindungan penyulitan SSL. Nginx menyediakan pilihan konfigurasi SSL untuk menghidupkan dan mematikan SSL, dan menyediakan ciri seperti pengesahan sijil SSL dan pesanan semakan rantaian sijil. Mengkonfigurasi protokol dan penyulitan SSL dengan betul agar sesuai dengan persekitaran dan keperluan anda boleh membantu melindungi komunikasi anda dan menghalang penyerang berniat jahat daripada mencuri data sensitif.

Selain itu, anda juga perlu memberi perhatian kepada pengurusan sijil SSL. Sijil SSL perlu dikemas kini dengan segera, jika tidak, sijil yang telah tamat tempoh boleh menyebabkan pengguna anda mengalami ralat sambungan. Pada masa yang sama, untuk mengelakkan sijil SSL/TLS yang tidak dibenarkan dikeluarkan oleh perampas domain, proses pensijilan dan tandatangan yang betul diperlukan.

Ringkasan

Sebagai pelayan proksi berprestasi tinggi, Nginx bukan sahaja mempunyai kelebihan yang besar, tetapi juga mempunyai keperluan keselamatan yang ketat. Di atas disebutkan beberapa aspek yang perlu diberi perhatian apabila mereka bentuk dasar keselamatan dalam Nginx, termasuk mengeraskan keselamatan pelayan dan perlindungan penyulitan SSL. Adalah perlu untuk memahami ciri keselamatan ini dan mempraktikkannya serta mengoptimumkannya, yang pada asasnya boleh membantu melindungi dan meningkatkan keselamatan projek anda serta mencegah pelbagai serangan dengan berkesan.

Atas ialah kandungan terperinci Reka bentuk dasar keselamatan dalam Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!