nginx介绍

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。其特点是占有内存少，并发能力强。

nginx加固

1、禁止目录浏览

　　备份nginx.conf配置文件。

　　编辑配置文件，HTTP模块添加如下一行内容：

autoindex off; 

　　保存，然后后重启nginx服务。

2、错误页面

备份nginx.conf配置文件。

　　修改配置，在http{}段加入如下内容，可以防止信息泄露

http {   ...   fastcgi_intercept_errors on;   error_page 401 /401.html;   error_page 402 /402.html;   error_page 403 /403.html;   error_page 404 /404.html;   error_page 405 /405.html;   error_page 500 /500.html;   ...   }   修改内容：   ErrorDocument 400 /custom400.html   ErrorDocument 401 /custom401.html   ErrorDocument 403 /custom403.html   ErrorDocument 404 /custom404.html   ErrorDocument 405 /custom405.html   ErrorDocument 500 /custom500.html 

其中401.html、402.html、403.html、404.html、405.html、500.html 为要指定的错误提示页面。

3、限制不必要的HTTP方法

备份nginx.conf配置文件。

　　编辑配置文件，添加如下内容：

if ($request_method !~ ^(GET|POST)$ ) {   return 444;   } 

　　保存，然后后重启nginx服务。

　　备注：只允许常用的GET和POST方法（如果是rest风格api可以不用设置）

4、Nginx降权

　　备份nginx.conf配置文件。

创建一个普通用户useradd www-data -s /sbin/nologin -M

　　编辑配置文件，添加如下一行内容：

　user www-data; 

　　保存，然后后重启nginx服务。

5、隐藏版本信息(不要用低版本nginx)

　　备份nginx.conf配置文件。

　　编辑配置文件，添加http模块中如下一行内容：

server_tokens off; 

　　保存，然后后重启nginx服务。

6、日志配置

　　1、备份nginx.conf 配置文件。

　　修改配置，按如下设置日志记录文件、记录内容、记录格式，添加标签为main的log_format格式

(http标签内，在所有的server标签内可以调用)：   log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '      '$status $body_bytes_sent "$http_referer" '      '"$http_user_agent" "$http_x_forwarded_for"'; 

　　2、在server标签内，定义日志路径

access_log logs/host.access.log main 

　　3、保存，然后后重启nginx服务。

7、控制缓冲区溢出攻击

编辑nginx.conf，为所有客户端设置缓冲区的大小限制。

client_body_buffer_size 1K;   client_header_buffer_size 1k;   client_max_body_size 1k;   large_client_header_buffers 2 1k; 

8、封杀各种爬虫扫描器user-agent

user-agent 也即浏览器标识，每个正常的web请求都包含用户的浏览器信息，除非经过伪装，恶意扫描工具一般都会在user-agent里留下某些特征字眼，比如scan，nmap等。我们可以用正则匹配这些字眼，从而达到过滤的目的，请根据需要调整。

if($http/_user/_agent ~* "java|python|perl|ruby|curl|bash|echo|uname|base64|decode|md5sum|select|concat|httprequest|httpclient|nmap|scan") {  return403;  }  if($http/_user/_agent ~* "") {  return403;  }