S-安全基线-nginx加固

àì夳堔傛蜴生んèń 2022-10-17 10:43 337阅读 0赞

文章目录

            • 高检查是否配置Nginx账号锁定策略。 | 身份鉴别
            • 高Nginx后端服务指定的Header隐藏状态 | 服务配置
            • 高Nginx的WEB访问日志记录状态 | 服务配置
            • 高确保已禁用自动索引模块 | 访问控制
            • 高确保已禁用自动索引模块 | 访问控制
            • 高检查Nginx进程启动账号。 | 服务配置
            • 高隐藏Nginx服务的Banner | 服务配置
            • 高确保NGINX配置文件权限为644 | 文件权限
            • 高确保NGINX配置文件权限为644 | 文件权限
            • 高针对Nginx SSL协议进行安全加固 | 服务配置
高检查是否配置Nginx账号锁定策略。 | 身份鉴别
  1. 描述1.执行系统命令passwd -S nginx来查看锁定状态 出现Password locked证明锁定成功 如:nginx LK ..... (Password locked.)或nginx L .... 2.默认符合,修改后才有(默认已符合) 3.执行系统命令passwd -l nginx进行锁定
  2. 检查提示--
  3. 加固建议配置Nginx账号登录锁定策略: Nginx服务建议使用非root用户(如nginxnobody)启动,并且确保启动用户的状态为锁定状态。可执行passwd -l <Nginx启动用户> passwd -l nginx 来锁定Nginx服务的启动用户。命令 passwd -S <用户> passwd -S nginx可查看用户状态。 修改配置文件中的nginx启动用户修改为nginxnobody 如: user nobody; 如果您是docker用户,可忽略该项(或添加白名单)
  4. 操作时建议做好记录或备份
高Nginx后端服务指定的Header隐藏状态 | 服务配置
  1. 描述隐藏Nginx后端服务X-Powered-By
  2. 检查提示--
  3. 加固建议隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;
  4. 操作时建议做好记录或备份
高Nginx的WEB访问日志记录状态 | 服务配置
  1. 描述应为每个核心站点启用access_log指令。默认情况下启用。
  2. 检查提示--
  3. 加固建议开启NginxWEB访问日志记录: 1、打开conf/nginx.conf配置文件,含主配置文件中include项包含的子配置文件; 2、在http下配置access_logaccess_log logs/host.access.log main; 3、并在主配置文件,及主配置文件下的include文件中 删除off项或配置为适当值
  4. 操作时建议做好记录或备份
高确保已禁用自动索引模块 | 访问控制
  1. 描述自动索引模块处理以斜杠字符结尾的请求。此功能启用目录列表,这在攻击者侦察中可能很有用,因此应将其禁用。
  2. 检查提示--
  3. 加固建议执行以下操作以禁用自动索引模块: 搜索NGINX配置文件(NGINX.conf和任何包含的配置文件)以查找autoindex指令。egrep -i '^\s*autoindex\s+' <main_config_path> egrep -i '^\s*autoindex\s+' <sub_config_path> location下删除或者修改为 autoindex off;
  4. 操作时建议做好记录或备份
高确保已禁用自动索引模块 | 访问控制
  1. 描述自动索引模块处理以斜杠字符结尾的请求。此功能启用目录列表,这在攻击者侦察中可能很有用,因此应将其禁用。
  2. 检查提示--
  3. 加固建议执行以下操作以禁用自动索引模块: 搜索NGINX配置文件(NGINX.conf和任何包含的配置文件)以查找autoindex指令。egrep -i '^\s*autoindex\s+' <main_config_path> egrep -i '^\s*autoindex\s+' <sub_config_path> location下删除或者修改为 autoindex off;
  4. 操作时建议做好记录或备份
高检查Nginx进程启动账号。 | 服务配置
  1. 描述Nginx进程启动账号状态,降低被攻击概率
  2. 检查提示--
  3. 加固建议修改Nginx进程启动账号: 1、打开conf/nginx.conf配置文件; 2、查看配置文件的user配置项,确认是非root启动的; 3、如果是root启动,修改成nobody或者nginx账号; 备注: 4、修改完配置文件之后需要重新启动Nginx
  4. 操作时建议做好记录或备份
高隐藏Nginx服务的Banner | 服务配置
  1. 描述Nginx服务的Banner隐藏状态
  2. 检查提示--
  3. 加固建议Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态: 1、打开conf/nginx.conf配置文件; 2、在server栏目下,配置server_tokens server_tokens off; 如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf
  4. 操作时建议做好记录或备份
高确保NGINX配置文件权限为644 | 文件权限
  1. 描述把控配置文件权限以抵御外来攻击
  2. 检查提示--
  3. 加固建议修改Nginx配置文件权限: 执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)
  4. 操作时建议做好记录或备份
高确保NGINX配置文件权限为644 | 文件权限
  1. 描述把控配置文件权限以抵御外来攻击
  2. 检查提示--
  3. 加固建议修改Nginx配置文件权限: 执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)
  4. 操作时建议做好记录或备份
高针对Nginx SSL协议进行安全加固 | 服务配置
  1. 描述Nginx SSL协议的加密策略进行加固
  2. 检查提示--
  3. 加固建议Nginx SSL协议采用TLSv1.2 1、打开conf/nginx.conf配置文件(或主配置文件中的inlude文件); 2、配置server {
  4. ...
  5. ssl_protocols TLSv1.2;
  6. ...
  7. }备注:配置此项请确认nginx支持OpenSSL,运行nginx -V 如果返回中包含built with OpenSSL则表示支持OpenSSL 如不支持,可能需要增加配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 如果尚未配置ssl协议,请尽快配置(参考连接https://www.nginx.cn/doc/optional/ssl.html)
  8. 操作时建议做好记录或备份

发表评论

表情:
评论列表 (有 0 条评论,337人围观)

还没有评论,来说两句吧...

相关阅读

    相关 IIS7安全加固

    限制目录执行权限 在“处理程序映射”中,把“编辑功能权限”中的“脚本”去掉,这样即使上传了木马文件在此目录,也是无法执行的。 删除不必要的脚本映射 在“处理程序映射”