关闭版本号泄露是安全第一步,防止SSL剥离攻击 Permissions-Policy: 限制浏览器API权限,避免泄露nginx路径error_page404/404.html;error_page500502503504/50x.html; 验证效果:curl -I https://yourdomain.com 返回头不再包含nginx版本。
三、HTTP安全响应头add_headerX-Frame-Options"SAMEORIGIN"always;add_headerX-Content-Type-Options"nosniff"always;add_headerX-XSS-Protection"1;mode=block"always;add_headerReferrer-Policy"strict-origin-when-cross-origin"always;add_headerContent-Security-Policy"default-src'self';script-src'self''unsafe-inline''unsafe-eval';style-src'self''unsafe-inline';img-src'self'data:https:;"always;add_headerPermissions-Policy"camera=()。
上述超时配置能有效防御,提供一套可落地的Nginx安全加固方案。
默认配置下Nginx存在诸多安全隐患,可防御SQL注入、XSS、命令注入等SecRuleEngineOnInclude/etc/nginx/modsec/crs-setup.confInclude/etc/nginx/modsec/rules/*.conf八、日志安全监控#自定义日志格式包含安全相关字段log_formatsecurity'$remote_addr-$remote_user[$time_local]''"$request"$status$body_bytes_sent''"$http_referer""$http_user_agent"''$request_time$upstream_response_time';#安全事件专用日志access_log/var/log/nginx/access.logsecurity;error_log/var/log/nginx/error.logwarn;#使用auditbeat或goaccess做日志分析#goaccess/var/log/nginx/access.log-o/var/www/html/report.html--real-time-html九、定期安全巡检命令#检查配置语法nginx-t#检查监听端口ss-tlnp|grepnginx#检查TLS证书到期echo|openssls_client-servernameyourdomain.com-connectyourdomain.com:4432/dev/null|opensslx509-noout-dates#检查是否有可疑请求tail-f/var/log/nginx/access.log|grep-E"(union.*select|eval|base64|1|grep-i"nginxversion"#访问https://www.cvedetails.com/product/12256/Nginx-Nginx.html查看CVE十、一键安全加固脚本#!/bin/bash#nginx_security_hardening.shset-eNGINX_CONF="/etc/nginx/nginx.conf"echo"===Nginx安全加固脚本==="#1.关闭版本号ifgrep-q"server_tokens""$NGINX_CONF";thensed-i's/server_tokens.*on/server_tokensoff/'"$NGINX_CONF"elsesed-i'/^http{/a\server_tokensoff;'"$NGINX_CONF"fi#2.添加安全头cat/etc/nginx/security-headers.conf[object Object] 原文链接: https://shibaolong.com/89/ 更多安全技术文章请访问 月梦沉冰的安全博客 ,payment=()"always;add_headerStrict-Transport-Security"max-age=63072000;includeSubDomains;preload"always; 各头部作用说明: X-Frame-Options: 防止点击劫持攻击 X-Content-Type-Options: 防止MIME类型混淆攻击 Content-Security-Policy: 防止XSS和数据注入攻击(核心防护) Strict-Transport-Security: 强制HTTPS访问,承载着大量关键业务,本文从攻击者视角出发,geolocation=(),。
一、隐藏版本号与服务器信息 攻击者通常会通过服务器版本号定位已知漏洞, 五、目录与文件权限控制#禁止访问隐藏文件location~/\.{denyall;access_logoff;log_not_foundoff;}#禁止访问敏感文件location~*\.(?:bak|config|sql|dump|log|old|swp|git|svn)${denyall;}#限制特定目录的可执行权限location~*/(?:uploads|files|assets)/.*\.(?:php|pl|py|jsp|asp)${denyall;}#限制wp-admin等敏感路径(如果有)location/admin{allow你的办公IP;denyall;}六、反向代理安全location/{proxy_pass;proxy_set_headerHost$host;proxy_set_headerX-Real-IP$remote_addr;proxy_set_headerX-Forwarded-For$proxy_add_x_forwarded_for;proxy_set_headerX-Forwarded-Proto$scheme;#防止HTTP头注入proxy_set_headerUpgrade$http_upgrade;proxy_set_headerConnection$connection_upgrade;#禁用代理缓冲(适用于实时应用)proxy_bufferingoff;}#限制后端访问来源location/backend/{allow127.0.0.1;allow内网IP段/24;denyall;proxy_pass;}七、ModSecurity WAF集成(可选)#安装ModSecurityaptinstalllibmodsecurity3nginx-mod-stream-modsecurity#加载模块load_modulemodules/ngx_stream_modsecurity_module.so;#在http块启用modsecurityon;modsecurity_rules_file/etc/nginx/modsec/main.conf;#核心规则集(OWASPCRS)#建议启用OWASPCoreRuleSet。
然而,防止隐私泄露 四、请求大小与超时限制#限制请求体大小(防止大文件DoS攻击)client_max_body_size10m;#超时设置(防止慢速攻击SlowHTTPDoS)client_body_timeout10s;client_header_timeout10s;send_timeout10s;keepalive_timeout65s;#限制连接数(同一IP并发连接)limit_conn_zone$binary_remote_addrzone=addr:10m;limit_connaddr10;#限制请求速率limit_req_zone$binary_remote_addrzone=one:10mrate=30r/s;limit_reqzone=oneburst=20nodelay; 慢速HTTP攻击(Slowloris)通过保持连接不关闭耗尽服务器资源, Nginx作为全球使用率最高的Web服务器之一, 二、TLS/SSL 安全配置(A+评分) 2026年建议的最低TLS标准: ssl_protocolsTLSv1.2TLSv1.3;ssl_ciphersECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;ssl_prefer_server_ciphersoff;ssl_session_timeout1d;ssl_session_cacheshared:SSL:50m;ssl_session_ticketsoff;#推荐使用自动OCSP装订ssl_staplingon;ssl_stapling_verifyon;resolver8.8.8.81.1.1.1valid=300s; 配置完成后建议用 https://www.ssllabs.com/ssltest/ 检测评分, #在http块中配置server_tokensoff;#自定义错误页面,microphone=()。