Rumah >Operasi dan penyelenggaraan >Nginx >Konfigurasi keselamatan tinggi dan strategi tembok api untuk membina pelayan Nginx

Konfigurasi keselamatan tinggi dan strategi tembok api untuk membina pelayan Nginx

PHPz
PHPzasal
2023-08-04 19:17:041312semak imbas

Nginx membina konfigurasi keselamatan tinggi dan strategi tembok api untuk pelayan

Dengan perkembangan pesat Internet, keselamatan pelayan telah mendapat lebih banyak perhatian. Sebagai pelayan web yang cekap dan stabil, konfigurasi keselamatan Nginx juga memerlukan perhatian kami. Dalam artikel ini, kami akan meneroka cara mengkonfigurasi pelayan Nginx anda untuk keselamatan yang tinggi dan memperkenalkan beberapa strategi tembok api.

  1. Gunakan protokol HTTPS

HTTPS ialah protokol penghantaran disulitkan berdasarkan protokol TLS/SSL, yang boleh memastikan keselamatan data semasa penghantaran. Untuk menggunakan protokol HTTPS, anda perlu mendapatkan dan memasang sijil SSL terlebih dahulu. Anda boleh memohon sijil SSL percuma daripada pihak berkuasa sijil (seperti Let's Encrypt) dan kemudian mengkonfigurasi sijil ke dalam pelayan Nginx. Berikut ialah konfigurasi contoh:

server {
   listen 443 ssl;
   server_name example.com;
 
   ssl_certificate /path/to/certificate.pem;
   ssl_certificate_key /path/to/private_key.pem;
 
   # 其他Nginx配置
   ...
}
  1. Gunakan kata laluan dan kekunci yang kuat

Menetapkan kata laluan dan kekunci yang kukuh pada pelayan Nginx anda ialah langkah penting untuk melindungi pelayan anda. Anda boleh menggunakan perintah htpasswd untuk menjana fail kata laluan yang disulitkan dan merujuk fail dalam fail konfigurasi Nginx. Berikut ialah konfigurasi contoh: htpasswd命令生成一个加密的密码文件,并在Nginx配置文件中引用该文件。以下是一个示例配置:

server {
   listen 80;
   server_name example.com;
   
   location / {
      auth_basic "Restricted Access";
      auth_basic_user_file /path/to/htpasswd;
      
      # 其他Nginx配置
      ...
   }
}
  1. 设置访问限制

限制对服务器资源的访问可以减少恶意攻击的风险。在Nginx配置文件中,可以使用allowdeny

server {
   listen 80;
   server_name example.com;
   
   location / {
      deny 192.168.1.0/24;
      deny 10.0.0.0/8;
      allow 192.168.1.100;
      allow 127.0.0.1;
      deny all;
      
      # 其他Nginx配置
      ...
   }
}

    Tetapkan sekatan akses

      Mengehadkan akses kepada sumber pelayan boleh mengurangkan risiko serangan berniat jahat. Dalam fail konfigurasi Nginx, anda boleh menggunakan arahan benarkan dan nafi untuk menetapkan sekatan akses. Berikut ialah contoh konfigurasi:
    1. # 允许SSH访问
      sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
      
      # 允许HTTP和HTTPS访问
      sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
      
      # 其他规则
      ...
      
      # 拒绝所有其他访问
      sudo iptables -A INPUT -j DROP
    2. Konfigurasi di atas akan menafikan akses kepada alamat IP 192.168.1.0/24 dan 10.0.0.0/8 segmen rangkaian, dan membenarkan akses kepada alamat IP 192.168.1.100 dan 127.0.0.1. Alamat IP lain yang tidak sepadan akan dinafikan akses.

    Gunakan dasar firewall

    Selain konfigurasi Nginx, anda juga boleh menggunakan firewall untuk meningkatkan keselamatan pelayan. Sebagai contoh, anda boleh menggunakan perintah iptables atau perkhidmatan firewalld untuk mengkonfigurasi peraturan firewall. Berikut ialah contoh menetapkan dasar tembok api menggunakan perintah iptables:

    rrreee🎜Konfigurasi di atas akan membenarkan akses kepada SSH, HTTP dan HTTPS serta menafikan semua akses lain. 🎜🎜Ringkasnya, dengan menggunakan protokol HTTPS, menetapkan kata laluan dan kunci yang kuat, menyekat akses dan menggunakan dasar tembok api, kami boleh membantu kami meningkatkan keselamatan pelayan Nginx. Sudah tentu, ini hanyalah beberapa konfigurasi dan strategi asas, dan sebenarnya terdapat lebih banyak langkah keselamatan yang boleh dilaksanakan. Oleh itu, kita harus mengekalkan perhatian berterusan terhadap keselamatan pelayan dan mengemas kini serta mengoptimumkan konfigurasi dan dasar berkaitan dengan segera untuk memastikan keselamatan dan kebolehpercayaan pelayan. 🎜

Atas ialah kandungan terperinci Konfigurasi keselamatan tinggi dan strategi tembok api untuk membina pelayan Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn