1、运行安全
严禁使用root账户运行Nginx(首字母大写代表软件,首字母小写代表指令),应该使用nginx用户或者nobody运行Nginx。在Nginx配置中使用user来指定Nginx worker进程运行用户以及用户组。
user nobody nobody;
2、项目配置文件
配置文件禁止放在Web目录中,因为一旦攻击者对Web目录拥有读写权限后即可更改nginx.conf。
client_boby_temp_path /etc/shadow;
# optional but more fun :)
location /wat {
alias /etc;
}
当重启Nginx时,Nginx会执行。
# strace -e trace=chmod,chown -f nginx
chown("/etc/shadow",33,4294967295)=0
+++exited with 0 +++
任何文件或文件夹一旦被攻击者写入到上述配置文件中,它的所有者都会被更改,攻击者将拥有相应的权限。
3、日志配置
在线上服务器中一定要将Nginx访问日志启用,日志不允许存放在Web目录下,并且设置日志操作权限为root。Nginx中使用access_log来开启并指定Nginx的访问日志记录路径,使用error_log来记录错误日志。
access_log logs/access.log combined;
error_log logs/error.logerror;
使用log_format配置命令来配置Nginx日志格式。log_format有一个默认的无须设置的combined日志格式,相当于apache的combined日志格式。
log_format combined '$remote_addr - $remote_user [$time_local] ''"$request" $status $body_bytes_sent '' "$http_referer" "$http_user_agent" ';
Nginx日志格式允许包含的变量注释如表1所列。
表1 Nginx日志变量含义
4、目录和文件安全
凡允许“上传或写入”目录的权限,执行权限必须设置成禁止访问。在Nginx中使用deny all指令来实现。
禁止对目录访问并返回403 Forbidden,可以使用下面的配置。
location /dirdeny
{
deny all;
return 403;
}
location ~ ^/upload/.*.(php|php 5)$
{
deny all;
return 403;
}
5、隐藏版本号
为了防止Nginx的版本号指纹暴露,线上服务器要对Nginx的信息进行隐藏,通常可以通过修改配置文件来实现。进入Nginx配置文件的目录,如/etc/nginx.conf,在http标签里加上server_tokens off。
http
{
……
server_tokens off; # 隐藏Nginx的版本号
……
}
同样也可以对服务器信息进行混淆。可以采用编译源码的方法来改变返回的服务器的版本信息,下载好Nginx的源代码,直接在源码中修改src/http/ngx_http_header_filter_module.c文件中ngx_http_server_string的值。
staticchar ngx_http_server_string[]="Server:nginx" CRLF;
staticchar ngx_http_server_full_string[]="Server: " NGINX_VER CRLF;
还要修改src/core/nginx.h文件中NGINX_VERSION和NGINX_VER的值。
# define NGINX_VERSION "1.7.0"
# define NGINX_VER "nginx/" NGINX_VERSION
编辑php-fpm配置文件中的配置,如fastcgi.conf或fcgi.conf,修改其中的版本号信息。
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
可以通过以上方式将服务器信息修改为其他字符串标识,以达到隐藏版本号、迷惑部分攻击者的效果。
6、防止目录遍历
Nginx默认是不允许列出整个目录的,默认情况下不需要配置,配置不规范可造成目录遍历漏洞。如果有开启情况应该将其禁用,修改为off或者直接将其删除即可。
location / {
autoindex on;
autoindex_localtime on;
}
7、Nginx文件类型错误解析漏洞
该漏洞导致只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。其实此漏洞并不是Nginx的漏洞,而是PHP PATH_INFO的漏洞。例如,用户上传了一张照片,访问地址为http://www.ptpress.com.cn/Upl...,而test.jpg文件内的内容实际上是PHP代码时,通过http://www.ptpress.com.cn/Upl...。下面的修复方法务必先经过测试,以确保修改配置不会对应用带来影响。
(1)修改php.ini,设置cgi.fix_pathinfo=0,然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用。
(2)在Nginx的配置文件中添加如下内容,该配置会影响类似http://www.ptpress.com.cn/sof...(v2.0为目录)的访问。
if($fastcgi_script_name~..*/.*php)
{
return 403;
}
(3)在CGI模块中对PHP的文件是否存在进行校验,可以避免该漏洞的发生。
location ~ .php$ {
if($request_filename~*(.*).php) {
set $php_url$1;
}
if(!-e $php_url.php) {
return 403;
}
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root $fastcgi_script_name;
include fastcgi_params;
}
(4)对于存储图片的location{…},应只允许纯静态访问,不允许PHP脚本执行。
location ~ *^/upload/.*.(php|php 5)$
{
deny all;
}
8、IP访问限制
Nginx与Apache一样,也可以通过IP对访问者进行限制。
deny 10.10.1.0/24; # 禁止该IP段进行访问
allow 127.0.0.1; # 允许该IP进行访问
deny all; # 禁止所有IP进行访问
同时,可以使用GEO白名单方式来进行IP访问限制,具体配置如下。配置ip.config文件。
default 0; //默认情况key=default,value=1
127.0.0.1 1;
10.0.0.0/8 1;//key=10.0.0.0, value=0 192.168.1.0/24 1;
配置nginx.conf文件。
geo $remote_addr #ip_whitelist {
include ip.conf;
}
location /console {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_For;
# 白名单配置
if($ip_whitelist=1) {
proxy_pass http://10.10.1.5:8080;
break;
}
return 403;
}