提高 nginx 服务器 安全性，稳定性、性能 –经验总结-持续更新详解程序员

在日常工作中使用nginx遇到的问题总结：

• 保持Nginx的及时升级

　　　　因为通过查看官方的release note会发现修复了很多bug，不及时更新在生产环境会有更大的风险

• 去掉不用的Nginx模块

  #在编译安装时，执行./configure方法时加上以下配置指令，可以显式的删除不用的模块 
  #配置指令是由模块提供的。确保禁用的模块不包含需要使用的指令！在决定禁用模块之前，需要检查Nginx文档中每个模块可用的指令列表 
   
  ./configure --without-http_dav_module --withouthttp_spdy_module

• 在Nginx配置中禁用server_tokens

  server_tokens在打开的情况下会使404页面显示Nginx的当前版本号
  不法者会利用此信息尝试相应Nginx版本的漏洞，需要在nginx.conf中http模块设置server_tokens off，然后重启nginx

  server { 
      listen 192.168.10.10; 
      Server_tokens off; 
      .....省略 
  }

• 禁止非法的HTTP User Agents

  if ($http_user_agent ~* (curl) ) { 
      return 404; 
  }

  user agent:用户代理是指浏览器,它的信息包括硬件平台、系统软件、应用软件和用户个人偏好,通知服务器当前使用的是什么浏览器、工具等等，例如火狐、谷歌chrome、wget、curll;因为是HTTP协议中对浏览器的一种标识，所以禁止非法的User Agent可以阻止爬虫和扫描器的一些请求，防止这些请求大量消耗Nginx服务器资源

  #编辑nginx配置文件，以下内容放在http配置段，那么整个nginx都生效,如果放到server里，只对一个有效 
  #禁止一个 
  if ($http_user_agent ~* (curl) ) { 
      return 404; 
  } 
  #禁止多个URL 
  if ($http_user_agent ~* (curl) )     return 404; 
  } 
   
  #禁止非法的User Agent，将如下语句放入配置文件的server模块内： 
  map $http_user_agent $blockedagent { 
      default 0; 
      ~*malicious 1; 
      ~*bot 1; 
      ~*backdoor 1; 
      ~*crawler 1; 
      ~*bandit 1; 
  } 
  include /etc/nginx/blockuseragents.rules; 
  #并加入if语句设置阻止后进入的页面： 
  server { 
      if($blockuseragents){ 
         return 403; 
      } 
      .....省略 
  }

• 禁掉不需要的 HTTP 方法

  在web站点和应用中，有的方法只支持GET、POST和HEAD,在配置文件中的server模块中就可以加入如下方法可以阻止一些欺骗攻击

  if ($request_method !~ ^(GET|HEAD|POST)$) { 
      return 444; 
  }

• 设置缓冲区容量上限（可以阻止缓冲区溢出攻击（同样是Server模块））

  #设置后，不管多少HTTP请求都不会使服务器系统的缓冲区溢出了 
  client_body_buffer_size 1k; 
  client_header_buffer_size 1k; 
  client_max_body_size 1k; 
  large_client_header_buffers 2 1k;

• 限制最大连接数

  #在http模块内，server模块外设置limit_conn_zone，可以设置连接的IP  
  #在http，server或location模块设置limit_conn，可以设置IP的最大连接数 
  limit_conn_zone $binary_remote_addr zone=addr:5m; 
  limit_conn addr 1;

• 设置日志监控(access_log、error_log)
• 阻止图片外链自你的服务器

  有一个img目录用来存储图片，IP是192.168.10.10，加入如下配置可以防止外链.来减轻服务器的带宽压力

  location /img/ { 
      valid_referers none blocked 192.168.10.10; 
          if ($invalid_referer) { 
              return 403; 
        } 
  }

• 禁止 SSL 并且只打开 TLS（在Server模块 添加：ssl_protocols TLSv1 TLSv1.1 TLSv1.2;）
• 做证书加密（HTTPS）（生成密钥和整数）

  # openssl genrsa -aes256 -out tecmintlovesnginx.key 1024 
  # openssl req -new -key tecmintlovesnginx.key -out tecmintlovesnginx.csr 
  # cp tecmintlovesnginx.key tecmintlovesnginx.key.org 
  # openssl rsa -in tecmintlovesnginx.key.org -out tecmintlovesnginx.key 
  # openssl x509 -req -days 365 -in tecmintlovesnginx.csr -signkey tecmintlovesnginx.key -out tecmintlovesnginx.crt 
  #配置Server模块 
  server { 
        ....省略 
        ssl_certificate /etc/nginx/sites-enabled/certs/tecmintlovesnginx.crt; 
        ssl_certificate_key /etc/nginx/sites-enabled/certs/tecmintlovesnginx.key; 
        ....省略 
  }

• 重定向HTTP请求到HTTPS

  #在server中添加 
  return 301 https://$server_name$request_uri;