Nginx後端服務指定的Header隱藏狀態 | 服務配置
描述
隱藏Nginx後端服務X-Powered-By頭
加固建議
隱藏Nginx後端服務指定Header的狀態:
1、打開conf/nginx.conf配置文件;
2、在http下配置proxy_hide_header項; 增加或修改爲 proxy_hide_header X-Powered-By; proxy_hide_header Server;
操作時建議做好記錄或備份
檢查是否配置Nginx賬號鎖定策略。 | 身份鑑別
描述
1.執行系統命令passwd -S nginx來查看鎖定狀態
出現Password locked證明鎖定成功
如:nginx LK … (Password locked.)或nginx L …
2.默認符合,修改後纔有(默認已符合)
3.執行系統命令passwd -l nginx進行鎖定
加固建議
配置Nginx賬號登錄鎖定策略:
1、Nginx服務建議使用非root用戶(如nginx,nobody)啓動,並且確保啓動用戶的狀態爲鎖定狀態。
2、可執行passwd -l <Nginx啓動用戶> 如passwd -l nginx 來鎖定Nginx服務的啓動用戶。
3.、命令 passwd -S <用戶> 如passwd -S nginx可查看用戶狀態。
4、 修改配置文件中的nginx啓動用戶修改爲nginx或nobody 如: user nobody; 如果您是docker用戶,可忽略該項(或添加白名單)
操作時建議做好記錄或備份
檢查Nginx進程啓動賬號。 | 服務配置
描述
Nginx進程啓動賬號狀態,降低被攻擊概率
加固建議
修改Nginx進程啓動賬號:
1、打開conf/nginx.conf配置文件;
2、查看配置文件的user配置項,確認是非root啓動的;
3、如果是root啓動,修改成nobody或者nginx賬號; 備註:
4、修改完配置文件之後需要重新啓動Nginx。
操作時建議做好記錄或備份
Nginx的WEB訪問日誌記錄狀態 | 服務配置
描述
應爲每個核心站點啓用access_log指令。默認情況下啓用。
加固建議
開啓Nginx的WEB訪問日誌記錄:
1、打開conf/nginx.conf配置文件;
2、在http下配置access_log項access_log logs/host.access.log main;
3、 並刪除off項
操作時建議做好記錄或備份
隱藏Nginx服務的Banner | 服務配置
描述
Nginx服務的Banner隱藏狀態
加固建議
Nginx後端服務指定的Header隱藏狀態隱藏Nginx服務Banner的狀態:
1、打開conf/nginx.conf配置文件;
2、在server欄目下,配置server_tokens項 server_tokens off; 如出現多項不支持,執行ln <conf_path> /etc/nginx/nginx.conf
操作時建議做好記錄或備份
確保NGINX配置文件權限爲644 | 文件權限
描述
把控配置文件權限以抵禦外來攻擊
加固建議
修改Nginx配置文件權限: 執行chmod 644 <conf_path>來限制Nginx配置文件的權限;(<conf_path>爲配置文件的路徑,如默認/安裝目錄/conf/nginx.conf或者/etc/nginx/nginx.conf,或用戶自定義,請 自行查找)
操作時建議做好記錄或備份
針對Nginx SSL協議進行安全加固 | 服務配置
描述
Nginx SSL協議的加密策略進行加固
加固建議
Nginx SSL協議採用TLSv1.2:
1、打開conf/nginx.cconf配置文件(或主配置文件中的inlude文件);
2、配置
server {
...
ssl_protocols TLSv1.2;
...
}
備註:配置此項請確認nginx支持OpenSSL,運行nginx -V 如果返回中包含built with OpenSSL則表示支持OpenSSL。 如出現多項不支持,執行ln <conf_path> /etc/nginx/nginx.conf
操作時建議做好記錄或備份