安全開發運維必備的Nginx代理Web服務器性能優化與安全加固配置

為了更好的指導部署與測試藝術升系統nginx網站服務器高性能同時下安全穩定運行,需要對nginx服務進行調優與加固;

創新互聯公司-專業網站定制、快速模板網站建設、高性價比黃陂網站開發、企業建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式黃陂網站制作公司更省心,省錢,快速模板網站建設找我們，業務覆蓋黃陂地區。費用合理售后完善，10余年實體公司更值得信賴。

本次進行Nginx服務調優加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發人員，運維人員對系統長期穩定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理服務器，也是一個IMAP/POP3/SMTP服務器。Nginx作為負載均衡服務器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也賀弊饑可以支持作為 HTTP代理服務器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助:

Nginx首頁地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下后綴的靜態并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數：

http_gzip模塊

開啟gzip壓縮輸出(常常是大于1kb的靜態文件)，減少網絡傳輸;

http_fastcgi_module模塊

nginx可以用來請求路由到FastCGI服務器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態資源進行剝離，從而提高性能。

keepalive模塊

長連接對性能有很大的影響，通過減少CPU和網絡開銷需要開啟或關閉連接;

http_ssl_module模塊

Nginx開啟支持Https協議的SSL模塊

Linux內核參數部分默認值不適合高并發,Linux內核調優，主要涉及到網絡和文件系統、內存等的優化，

下面是我常用的內核調優配置：

文件描述符

文件描述符是操作系統資源，用于表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。

例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理服務器，如果開啟了HTTP 保持連接，這個比例會更低（譯注：為什么更低呢）。

對于有大量連接服務的系統，下面的設置可能需要調整一下：

精簡模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的服務器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數

修改GCC編譯參數提高編譯優化級別穩妥起見采用 -O2 這也是大多數軟件編譯推薦的優化級別。

GCC編譯參數優化 [可選項] 總共提供了5級編譯優化級別：

常用編譯參數:

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應用的性能，調優的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協議等。

對Nginx進行卜碧安全配置可以有效的防范一些常見安全問題，按照基線標準做好安全配置能夠減少安全事件的發生,保證采用Nginx服務器系統應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件后需重新編譯。

設置成功后驗證禪返:

應配置非root低權限用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，采用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協議)，配置其是為了數據傳輸的安全，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

不應使用不安全SSLv2、SSLv3協議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協議也應該優于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發送者用來提高他們正在嘗試推廣的網站的互聯網搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日志中，并且這些日志被搜索引擎掃描，則會對網站排名產生不利影響

加固方法:

當惡意攻擊者采用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規則。

加固方法: dav_methods 應設置為off

當訪問一個特制的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx服務器狀態摘要,大多數情況下不應啟用此模塊。

加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發現服務器的潛在漏洞

加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時后Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時后Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。服務器將會在這個時間后關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用于整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web服務器方法在RFC 2616中定義禁用不需要實現的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數。通過此模塊可以從一個地址限制分配會話的同時連接數量或特殊情況。

加固方法：nginx.conf文件中limit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數量，即限制來自單個IP地址的連接數量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區選擇,我們需要再nginx編譯時加入 --with-http_geoip_module 編譯參數。

描述: 為了防止外部站點引用我們的靜態資源，我們需要設置那些域名可以訪問我們的靜態資源。

描述: 下面收集了Web服務中常規的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務器上, 導致服務器被警告關停，將會對業務或者SEO排名以及企業形象造成影響，我們可以通過如下方式進行防范。

執行結果:

描述: 有時你的網站可能只需要被某一IP或者IP段的地址請求訪問，那么非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現這個合并文件的功能。

(2) PHP-FPM的優化

如果您高負載網站使用PHP-FPM管理FastCGI對于PHP-FPM的優化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

騰訊云服務部署（Centos7）+ 安全加固配置

最后希望別再被攻擊了~~~~

用戶安全設置中綁定MFA，增加部分操作的二次認證。綁定過程需要微信添加虛擬MFA，操作還是比較簡單的，可以自行參讓宴閱指導文檔。

選中自己的服務器，點擊更多，重裝系統后，提示以上頁面。

在服務市場選中需要安裝的鏡像，我這里選的是u 騰訊云安全加固鏡像-centos7 /u

可以先選中密碼或者直接密鑰登陸，如果使用密碼建議使用隨機16位密碼進行配置。

最后開始重裝，系統一會就重裝好了。

這里介紹VNC登陸方式，主要是避免一部分無法使用ssh登陸服務器的，如果可以直接ssh登陸服務器的可以不用vnc登陸

點擊VNC方式登陸，提示登陸用戶名和密碼，輸入即坦肢銀可登陸服務器。

需要從控制臺加載sshkey的話，需要關閉服務器。

加載完成后，服務器開機，嘗試使用ssh登陸服務器

不想增加小號也可以修改為不允許密碼登陸root

將sysrls用戶加入sudo列表中，方便從sysrls用戶切換用戶等操作。

同時增加安全組配置（如果服務器firewalld或者iptables服務開著，還需要在服務器中配置端口放行）

禁用用戶登陸的方法

或者可以使用 passwd -l 用戶來禁用用戶

在系統加固安全防護上我還是個弟弟，所以只饑賀能稍微盡點人事，降低被木馬的概率。

【OS】CentOS7 系統服務器初始化配置、安全加固、內核升級優化

我國實行網絡安全等級保護制度，等級保護對象分為五個級別，由一到五級別逐漸升高，每一個級別的要求存在差異，級別越高，要求越嚴格。

第一級，自主保護級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；一般適用于小型私營、個體企業、中小學，鄉鎮所屬信息系統、縣級單位中一般的信息系統。

第二級，指導保護級：信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；一般適用于縣級其些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。

第三級，監督保護級：信息系統受到破壞后陵侍陵，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統，尺戚例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的談陵重要信息系統以及這類系統在省、地市的分支系統；中央各部委、省（區、市）門戶網站和重要網站；跨省連接的網絡系統等。

第四級，強制保護級：信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。

第五級，專控保護級：信息系統受到破壞后，會對國家安全造成特別嚴重損害。一般適用于國家重要領域、重要部門中的極端重要系統。

三級等保指信息系統經過定級、備案這一流程之后，確定為第三級的信息系統，那么就需要做三級等保。

在我國，“三級等保”是對非銀行機構的最高等級保護認證，一般定級為等保三級的系統有互聯網醫院平臺、P2P金融平臺、網約車平臺、云（服務商）平臺和其他重要系統。

這一認證由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標準，對各機構的信息系統安全等級保護狀況進行認可及評定。

一般我們生活中接觸多的定級為等保三級的系統有互聯網醫院平臺、P2P金融平臺、網約車平臺、云（服務商）平臺和其他重要系統。

根據《信息系統安全等級保護基本要求》，三級等保的測評內容涵蓋等級保護安全技術要求的5個層面和安全管理要求的5個層面，包含信息保護、安全審計、通信保密等在內的近300項要求，共涉及測評分類73類。

通過“三級等保”認證，表明企業的信息安全管理能力達到國內最高標準。

CentOS7 系統服務器初始化配置、安全加固、內核升級優化

安全等保：Linux服務器基線安全

Windows 的服務器安全加固方案

因為IIS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務器軟件之一。但是，IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器，是很多人關心的話題。要創建一個安全可靠的Web服務器，必須要實現Windows 2003和IIS的雙重安全，因為IIS的用戶同時也是Windows 2003的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制，所以保護IIS安全的`第一步就是確保Windows 2000操作系統的安全，所以要對服務器進行安全加固，以免遭到黑客的攻擊，造成嚴重的后果。

我們通過以下幾個方面對您的系統進行安全加固：

1. 系統的安全加固：我們通過配置目錄權限，系統安全策略，協議棧加強，系統服務和訪問控制加固您的系統，整體提高服務器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點的安全性，合理分配用戶權限，配置相應的安全策略，有效的防止iis用戶溢出提權。

3. 系統應用程序加固，提供應用程序的安全性，例如sql的安全配置以及服務器應用軟件的安全加固。

系統的安全加固：

1.目錄權限的配置：

1.1 除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限，如果WEB站點目錄，你要為其目錄權限分配一個與之對應的匿名訪問帳號并賦予它有修改權限，如果想使網站更加堅固，可以分配只讀權限并對特殊的目錄作可寫權限。

1.2 系統所在分區下的根目錄都要設置為不繼承父權限，之后為該分區只賦予Administrators和SYSTEM有完全控制權。

1.3 因為服務器只有管理員有本地登錄權限，所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調取這個配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。

1.5 配置Windows目錄，其實這一塊主要是根據自身的情況如果使用默認的安全設置也是可行的，不過還是應該進入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只帆旅謹允許Administrator用戶讀寫。

2.組策略配置:

在用戶權利指派下，從通過網絡訪問此計算機中刪除Power Users和鎮鋒Backup Operators;

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網絡驗證存儲憑據或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時不存儲LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理態基 成功 失敗

注：在設置審核登陸事件時選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。

網站標題：服務器配置與安全加固 服務器安全加固方案
文章來源：http://vcdvsql.cn/article22/ddpeejc.html

成都網站建設公司_創新互聯，為您提供網站維護、網站制作、建站公司、品牌網站設計、網站內鏈、網站收錄

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯