服務器的安全防護中,網(wǎng)站環(huán)境的搭建與安全部署也是很重要的一部分,目前大多數(shù)的服務器都使用的是nginx來搭建網(wǎng)站的運行環(huán)境,包括windows服務器,linux服務器都在使用,nginx的安全設置對于服務器安全起到很重要的作用。關于如何設置nginx安全,以及服務器的安全部署,我們SINE安全公司來詳細的給大家介紹一下:
大部分的網(wǎng)站使用nginx來做負載均衡以及前端的80端口代碼來進行靜態(tài)html文件的訪問,nginx的安全設置如果沒有設置好會導致服務器安全出現(xiàn)問題,可能會導致服務器被入侵,以及網(wǎng)站被攻擊。
nginx 在linux centos系統(tǒng)里,使用的是nginx.conf的格式文件來作為網(wǎng)站的配置文件,里面的配置主要是綁定域名,以及端口,指定到網(wǎng)站的目錄地址,偽靜態(tài)規(guī)則,看下圖:
從上圖的配置文件中,我們可以看出,nginx的內部結構很清晰,每一行代碼都寫的很精簡,針對的功能也是唯一的,每個代碼對應的指令以及作用劃分的很仔細,其中server就是我們IIS配置的host地址,比如域名以及IP地址,在server的代碼里寫入端口,可以將網(wǎng)站設置成端口形式的訪問。現(xiàn)在我們大體的了解了什么nginx,那么nginx設置不全面,會導致那些漏洞呢?
最常見的就是網(wǎng)站目錄可以被任意的查看,也就是網(wǎng)站目錄遍歷漏洞,這個簡單來說就是如果服務器里有很多網(wǎng)站,隨便一個網(wǎng)站被攻擊,都會導致服務器里的全部網(wǎng)站被攻擊,因為可以跨目錄的查看任意網(wǎng)站的程序代碼。通常導致該漏洞的原因是在配置nginx的時候,有些服務器運維人員會將autoindex on;代碼寫入到server行里,導致發(fā)生目錄遍歷漏洞。如下圖就是目錄可以被任意的瀏覽,包括網(wǎng)站里包含了那些代碼,都看的一清二楚。
nginx設置導致的URL注入漏洞,服務器里的網(wǎng)站在使用SSL證書,啟用443端口訪問網(wǎng)站,nginx會自動代理,并加載SSL證書,有些會設置nginx強制的跳轉到https網(wǎng)站,使用302的協(xié)議進行強制跳轉,如果技術人員設置成return 302 https://$host$uri,會導致網(wǎng)站存在SQL注入漏洞,$uri變量值的含義是:請求文件以及網(wǎng)站的路徑,當nginx環(huán)境進行傳遞參數(shù)值的時候,可以插入惡意代碼到網(wǎng)站中執(zhí)行,并提交到數(shù)據(jù)庫后端進行sql查詢,注入漏洞就因此而發(fā)生,建議服務器的運維人員不要對此進行設置。
關于nginx的安全設置方面,服務器的維護人員盡量嚴格的進行設置,對目錄的瀏覽權限詳細的分配,對https協(xié)議訪問的網(wǎng)站也要加強302的強制跳轉參數(shù)設置,如果您對服務器安全防護方面不是太懂的話,也可以找專業(yè)的安全公司處理,國內SINE安全,綠盟,深信服,都是比較不錯的安全公司。本文來源:www.sinesafe.com
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!