Sådan hærdes Nginx Web Server på en Ubuntu 18.04 VPS eller en dedikeret server

Introduktion

Nginx er en af ​​de mest populære webservere, der bruges på nogle af de travleste steder globalt, og det er faktisk en meget hurtig og let server. Med nogle af dens standardindstillinger bliver det sårbart overfor hackingangreb. I denne artikel illustrerer vi, hvordan man kan forhindre flere angreb på Nginx webserver på Ubuntu 18.04 gennem scripting på tværs af websteder, informationslækage, stjæle cookie-oplysninger og clickjacking-angreb.


Forudsætninger

Sørg for, at du har udført følgende, inden du starter denne tutorial.

  • Ubuntu 18.04 VPS-opsætning
  • Installeret seneste nginx webserver (1.14.0 på tidspunktet for offentliggørelse af denne artikel)
  • Oprettet en kopi af følgende konfigurationsfiler: /etc/nginx/nginx.conf, / etc / nginx / sites-available / default
  • Ikke-rod-bruger har sudo privilegier

1. Skjul detaljer om Nginx

Som standard vises nginx-versionen i svaroverskrifterne som vist nedenfor.

At have sådan information vil gøre det lettere for en hacker i et forsøg på at angribe webserveren.

$ krøllet -I http://35.226.204.122/
HTTP / 1.1 200 OK
Server: nginx / 1.14.0 (Ubuntu)
Dato: ons, 06. juni 2018 14:35:24 GMT
Indholdstype: tekst / html
Indholdslængde: 612
Sidst ændret: ons, 06. juni 2018 14:34:09 GMT
Forbindelse: hold i live
ETag: "5b17f0e1-264"
Accept-ranges: bytes

Deaktiver informationslækage ved at fjerne den nedenstående linje i http-afsnittet i den vigtigste nginx-konfigurationsfil /etc/nginx/nginx.conf

http {
server_tokens slukket;

Gem filen, og indlæs nginx igen

$ sudo systemctl genindlæser nginx

Bekræft, at detaljerne om nginx-version ikke længere vises.

$ krøllet -I http://35.226.204.122/
HTTP / 1.1 200 OK
Server: nginx
Dato: ons, 06. juni 2018 14:44:20 GMT
Indholdstype: tekst / html
Indholdslængde: 612
Sidst ændret: ons, 06. juni 2018 14:34:09 GMT
Forbindelse: hold i live
ETag: "5b17f0e1-264"
Accept-ranges: bytes

2. Aktivér X-XSS-beskyttelse

X-XSS beskytter webserveren mod script-angreb på tværs af websteder. Tilføj linjen nedenfor i http-afsnittet i hovednginx-konfigurationsfilen /etc/nginx/nginx.conf

add_header X-XSS-beskyttelse "1; mode = blok";

Som vist nedenfor:

http {
server_tokens slukket;
add_header X-XSS-beskyttelse "1; mode = blok";

Gem filen og indlæs nginx-tjenesten igen

3. Deaktiver uønskede HTTP-metoder

De ønskelige HTTP-metoder inkluderer POST, HEAD, GET, mens de uønskede metoder er SLET eller TRACE. Disse er ret risikable, da de giver mulighed for at stjæle cookie-oplysninger gennem angreb på tværs af websteder.

For at deaktivere dette skal du tilføje linjen nedenfor i serversektion i nginx-konfigurationsfil / etc / nginx / sites-available / default

if ($ request_method! ~ ^ (FÅ | Hoved | POST) $)
{
retur 405;
}

Tilføj linjerne som vist nedenfor:

server {
lyt 80 default_server;
lyt [::]: 80 default_server;
# SSL-konfiguration
#
# lyt 443 ssl default_server;
# lyt [::]: 443 ssl default_server;
#
# Bemærk: Du skal deaktivere gzip for SSL-trafik.
# Se: https://bugs.debian.org/773332
#
# Læs op på ssl_ciphers for at sikre en sikker konfiguration.
# Se: https://bugs.debian.org/765782
#
# Selv signerede certs genereret af ssl-cert pakken
# Brug dem ikke på en produktionsserver!
#
# inkluderer uddrag / snakeoil.conf;
root / var / www / html;
# Føj index.php til listen, hvis du bruger PHP
index index.html index.htm index.nginx-debian.html;
server navn _;
Beliggenhed / {
# Første forsøg på at tjene anmodning som fil, derefter
# som katalog, falder derefter tilbage til visning af en 404.
try_files $ uri $ uri / = 404;
}
if ($ request_method! ~ ^ (FÅ | Hoved | POST) $)
{
retur 405;
}

Gem filen og indlæs nginx-tjenesten igen

4. Forhindre Clickjacking-angreb

Clickjacking-angreb indebærer, at hacker anbringer et skjult link under den legitime knap på webstedet, og brugeren klikker ubevidst på angriberens link, der forårsager ondskab. I de fleste tilfælde gøres dette ved hjælp af iframes. Derfor anbefales det at indsætte X-FRAME i nginx-MULIGHEDER "SAMEORIGIN" i overskriften for at begrænse browseren til kun at indlæse ressourcer fra webserveren.

Tilføj linjen nedenfor i http-afsnittet i den vigtigste nginx-konfigurationsfil /etc/nginx/nginx.conf

add_header X-Frame-Options "SAMEORIGIN";

Som vist nedenfor:

http {
server_tokens slukket;
add_header X-XSS-beskyttelse "1; mode = blok";
add_header X-Frame-Options "SAMEORIGIN";

Gem filen og indlæs nginx-tjenesten igen

5. Hold altid Nginx ajour

Nginx-opdateringerne sikrer altid, at eventuelle sikkerhedssårbarheder i tidligere versioner eller udgivelser er løst. Kør bare kommandoerne nedenfor:

$ sudo add-apt-repository ppa: nginx / stable
# Tryk på enter for at fortsætte med depottilsætningen, når du bliver bedt om at fortsætte eller ikke

$ sudo apt opdatering

$ sudo apt installere nginx-y

Konklusion

De nævnte 5 trin er de grundlæggende metoder til sikring af nginx-webserver. Nogle yderligere trin, du kan tage for at sikre din nginx-webserver, inkluderer:

  • Installer SSL-certifikat i nginx-webserveren for at kryptere al kommunikation via internettet
  • Implementere NGINX WAF (NGINX Plus med ModSecurity WAF (Web Application Firewall), som er PCI-DSS 6.6-kompatibel og beskytter webserver mod DDoS, udfører realtid sortliste udfører revisionslogfiler
  • Sikker Diffie-Hellman til TLS som en del af SSL / TLS-optimering
  • Deaktiver svage chiffer-suiter for kun at tillade stærke cifere, hvilket reducerer sårbarheden

Når du har udført alle disse trin, har du med succes hærdet din Nginx-webserver, der kører på din Ubuntu 18.04-server.

Tjek disse top 3 dedikerede serverhostingstjenester:

A2 Hosting

Startpris:
$ 99,59


Pålidelighed
9.3


Prisfastsættelse
9,0


Brugervenlig
9.3


Support
9.3


Funktioner
9.3

Læs anmeldelser

Besøg A2 Hosting

FastComet

Startpris:
$ 139,00


Pålidelighed
9.7


Prisfastsættelse
9.5


Brugervenlig
9.7


Support
9.7


Funktioner
9.6

Læs anmeldelser

Besøg FastComet

Hostwinds

Startpris:
$ 99,00


Pålidelighed
9.3


Prisfastsættelse
9.2


Brugervenlig
9.2


Support
9.3


Funktioner
9.2

Læs anmeldelser

Besøg Hostwinds

Relaterede artikler om, hvordan man gør

  • Sådan hærdes din Apache-webserver på en Ubuntu 18.04 dedikeret server eller VPS
    ekspert
  • Sådan konfigureres Nginx til at bruge selvsigneret SSL / TLS-certifikat på Ubuntu 18.04 VPS eller dedikeret server
    mellemprodukt
  • Sådan installeres et Let’s Encrypt Certificate på din Ubuntu 18.04 dedikerede server eller VPS
    mellemprodukt
  • Sådan konfigureres WordPress Multisite på Ubuntu 18.04 med Apache Web Server
    mellemprodukt
  • Sådan installeres Fail2ban på din Ubuntu 18.04 VPS-server eller dedikerede server
    mellemprodukt
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map