服务器 的安全防护中,网站环境的搭建与安全部署也是很重要的一部分,目前大多数的服务器都使用的是nginx来搭建网站的运行环境,包括windows服务器,linux服务器都在使用,nginx的安全设置对于服务器安全起到很重要的作用。关于如何设置nginx安全,以及服务器的安全部署,我们SINE安全公司来详细的给大家介绍一下:
大部分的网站使用nginx来做负载均衡以及前端的80端口代码来进行静态html文件的访问,nginx的安全设置如果没有设置好会导致服务器安全出现问题,可能会导致服务器被入侵,以及网站被攻击。
nginx 在linux centos系统里,使用的是nginx.conf的格式文件来作为网站的配置文件,里面的配置主要是绑定域名,以及端口,指定到网站的目录地址,伪静态规则,看下图:
从上图的配置文件中,我们可以看出,nginx的内部结构很清晰,每一行代码都写的很精简,针对的功能也是唯一的,每个代码对应的指令以及作用划分的很仔细,其中server就是我们IIS配置的host地址,比如域名以及IP地址,在server的代码里写入端口,可以将网站设置成端口形式的访问。现在我们大体的了解了什么nginx,那么nginx设置不全面,会导致那些漏洞呢?
最常见的就是网站目录可以被任意的查看,也就是网站目录遍历漏洞,这个简单来说就是如果服务器里有很多网站,随便一个网站被攻击,都会导致服务器里的全部网站被攻击,因为可以跨目录的查看任意网站的程序代码。通常导致该漏洞的原因是在配置nginx的时候,有些服务器运维人员会将autoindex on;代码写入到server行里,导致发生目录遍历漏洞。
nginx设置导致的URL注入漏洞,服务器里的网站在使用SSL证书,启用443端口访问网站,nginx会自动代理,并加载SSL证书,有些会设置nginx强制的跳转到https网站,使用302的协议进行强制跳转,如果技术人员设置成return 302 https:// $host$uri,会导致网站存在SQL注入漏洞,$uri变量值的含义是:请求文件以及网站的路径,当nginx环境进行传递参数值的时候,可以插入恶意代码到网站中执行,并提交到数据库后端进行sql查询,注入漏洞就因此而发生,建议服务器的运维人员不要对此进行设置。
关于nginx的安全设置方面,服务器的维护人员尽量严格的进行设置,对目录的浏览权限详细的分配,对https协议访问的网站也要加强302的强制跳转参数设置。
如何在nginx上防止恶意的ddos抓取
DDOS不会抓取你的网站任何数据的,DDOS是一种流量型的攻击,如果你被DDOS攻击了,可以尝试以下解决办法:1、使用加速乐CDN隐藏源站IP2、接入第三方云安全防御服务,比如:抗D保。 以上2个步骤可解决你的问题。
403 Forbidde
抄一段供参考:HTTP 错误 403 - 限制为仅本地主机访问 Internet 服务管理器 (HTML) HTTP 错误 403 403.1 禁止:禁止执行访问 如果从并不允许执行程序的目录中执行 CGI、ISAPI 或其他执行程序就可能引起此错误。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.2 禁止:禁止读取访问 如果没有可用的默认网页或未启用此目录的目录浏览,或者试图显示驻留在只标记为执行或脚本权限的目录中的 HTML 页时就会导致此错误。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.3 禁止:禁止写访问 如果试图上载或修改不允许写访问的目录中的文件,就会导致此问题。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.4 禁止:需要 SSL 此错误表明试图访问的网页受安全套接字层(SSL)的保护。 要查看,必须在试图访问的地址前输入 https:// 以启用 SSL。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.5 禁止:需要 SSL 128 此错误消息表明您试图访问的资源受 128 位的安全套接字层(SSL)保护。 要查看此资源,需要有支持此 SSL 层的浏览器。 请确认浏览器是否支持 128 位 SSL 安全性。 如果支持,就与 Web 服务器的管理员联系,并报告问题。 403.6 禁止:拒绝 IP 地址 处于安全考虑,安装程序限制 Internet Service Manager (HTML) 仅允许从服务器进行访问(本地主机,IP 地址 127.0.0.1)。 要远程使用 Internet Service Manager (HTML) 管理此服务器,请转到此服务器,并使用 Internet 服务管理器更新 Web 站点 IISADMIN 的 IP 地址限制:使用开始菜单打开 Internet Service Manager展开所连接的 Web 站点选择 IISADMIN 虚拟目录右键单击并选择属性选择目录安全性选项卡编辑 IP 地址和域名限制HTTP 错误 403 403.6 禁止:拒绝 IP 地址 如果服务器含有不允许访问此站点的 IP 地址列表,并且您正使用的 IP 地址在此列表中,就会导致此问题。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.7 禁止:需要用户证书 当试图访问的资源要求浏览器具有服务器可识别的用户安全套接字层(SSL)证书时就会导致此问题。 可用来验证您是否为此资源的合法用户。 请与 Web 服务器的管理员联系以获取有效的用户证书。 HTTP 错误 403 403.8 禁止:禁止站点访问 如果 Web 服务器不为请求提供服务,或您没有连接到此站点的权限时,就会导致此问题。 请与 Web 服务器的管理员联系。 HTTP 错误 403 403.9 禁止访问:所连接的用户太多 如果 Web 太忙并且由于流量过大而无法处理您的请求时就会导致此问题。 请稍后再次连接。 如果问题依然存在,请与 Web 服务器的管理员联系 HTTP 错误 403 403.10 禁止访问:配置无效 此时 Web 服务器的配置存在问题。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.11 禁止访问:密码已更改 在身份验证的过程中如果用户输入错误的密码,就会导致此错误。 请刷新网页并重试。 如果问题依然存在,请与 Web 服务器的管理员联系。 HTTP 错误 403 403.12 禁止访问:映射程序拒绝访问 拒绝用户证书图访问此 Web 站点。 请与站点管理员联系以建立用户证书权限。 如果必要,也可以更改用户证书并重试。
运行程序显示“从服务器返回一个参照”怎么办
以管理员的身份运行:这是解决此问题最简单也是最有效果的一种方法,出现“从服务器返回一个参照”是因为可执行文件没有权限所致,以管理员身份运行,给予它最高权限,自然可以解决这个问题。 2 如果每次都是以管理员身份运行可能很多用户觉得很麻烦,如果你经常使用这个软件的话,可以配置打开方式,使它每次打开的方式都是以管理员身份运行,具体方法,右键点击执行文件,选择属性,点击兼容性选项卡,最下边有个特权等级,勾选即可(如下图所示)。 END 一劳永逸法 更改策略组:这应该是网上流传最多的解决办法,但是操作过程十分简单,使得很多新手朋友摸不着头脑,小编就详细的介绍下此方法(没有亲自验证,不知道是否真能够解决),首先应该打开cmd,win7下的快捷方式是win+R(其中win是我们打开开始菜单经常使用的那个键)。 接着在输入框中输入,点击确定我们便来到了本地策略组,此步大部分教程还是介绍到了,很多人也能找的到,但是以后的步骤便很简单了,使得众多用户摸不着头脑,下面小编详细的介绍一下,点击计算机配置,windows设置,然后点击安全设置(很多人找不到安全设置在那)。 安全设置下也有很多选项,我们找到本地策略,展开它,找到安全选项,这里面的东西才是我们今天的主角,怎么样,教程够详细了吧,详细大家都能找的到了,不过此方法是以win7为基础的,vista可能略有不同。 然后我们找到用户账户控制选择项,然后找到用户账户控制:只提升签名并验证的可执行文件(用户账户控制的最后一个选项),然后双击选择禁用即可,至此更改策略组的方法至此结束。 控制面板法:我们打开控制面板(相信大家都找的到吧),然后找到用户账户和家庭安全选项,然后点击用户账户,来到用户账户设置界面。 然后找到“更改用户账户控制设置”(下图红线的标注出),点击它。 然后会打开一个面板,这就是我们需要的,默认的是程序尝试更改我的计算机的时候提示,我们把它改成从不通知即可(此方法和更改策略组的方法小编均没有测试过,只是因为网上盛传故在此列出)。
发表评论