新版腾讯分分彩走势图 | 財經 | 資源 | 理財 | 考研 | 職場 | 論文 | 資格 | 股票學院 |

股票學院: 股票入門 - 股票知識 - 股票術語 - 炒股技巧 - 選股技巧 - 跟莊技巧 - 炒股經驗 - 投資策略 - K線圖 - 均線 - 分時圖 - 成交量 - 波浪理論 - 基本面分析 - 心理分析 - 漲停研究 - 趨勢線 - 江恩理論 - MACD - KDJ - 技術指標 - 財經股票書籍在線閱讀 - 金融類書籍下載 - 銀行學院 - 保險學院 - 外匯學院 - 債券學院 - 股票學院 - 基金學院 - 港股學院 - 黃金學院

當前位置:新版腾讯分分彩走势图 > 金融云 > 文章正文

浙江61开奖号码:程序員安全規范:安全無小事,安全防范從Nginx配置做起

時間:2019-07-26 22:49:19來源:今日頭條作者:佚名

    新版腾讯分分彩走势图 www.atbwx.com  隱藏版本號

    1. http { 
    2.  server_tokens off; 

    經?;嵊姓攵閱掣靄姹鏡膎ginx安全漏洞出現,隱藏nginx版本號就成了主要的安全優化手段之一,當然最重要的是及時升級修復漏洞。

    程序員安全規范:安全無小事,安全防范從Nginx配置做起

    開啟HTTPS

    1. server { 
    2.  listen 443; 
    3.  server_name ops-coffee.cn; 
    4.   
    5.  ssl on; 
    6.  ssl_certificate /etc/nginx/server.crt; 
    7.  ssl_certificate_key /etc/nginx/server.key; 
    8.  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
    9.  ssl_ciphers HIGH:!aNULL:!MD5; 
    • ssl on: 開啟https
    • ssl_certificate: 配置nginx ssl證書的路徑
    • ssl_certificate_key: 配置nginx ssl證書key的路徑
    • ssl_protocols: 指定客戶端建立連接時使用的ssl協議版本,如果不需要兼容TSLv1,直接去掉即可
    • ssl_ciphers: 指定客戶端連接時所使用的加密算法,你可以再這里配置更高安全的算法

    添加黑白名單

    白名單配置

    1. location /admin/ { 
    2.  allow 192.168.1.0/24; 
    3.  deny all; 

    上邊表示只允許192.168.1.0/24網段的主機訪問,拒絕其他所有

    也可以寫成黑名單的方式禁止某些地址訪問,允許其他所有,例如

    1. location /ops-coffee/ { 
    2.  deny 192.168.1.0/24; 
    3.  allow all; 

    更多的時候客戶端請求會經過層層代理,我們需要通過$http_x_forwarded_for來進行限制,可以這樣寫

    1. set $allow false; 
    2. if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; } 
    3. if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; } 
    4. if ($allow = false) { return 404; } 

    添加賬號認證

    1. server { 
    2.  location / { 
    3.  auth_basic "please input user&passwd"; 
    4.  auth_basic_user_file key/auth.key; 
    5.  } 

    限制請求方法

    1. if ($request_method !~ ^(GET|POST)$ ) { 
    2.  return 405; 

    $request_method能夠獲取到請求nginx的method

    配置只允許GET\POST方法訪問,其他的method返回405

    拒絕User-Agent

    1. if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) { 
    2.  return 444; 

    可能有一些不法者會利用wget/curl等工具掃描我們的網站,我們可以通過禁止相應的user-agent來簡單的防范

    Nginx的444狀態比較特殊,如果返回444那么客戶端將不會收到服務端返回的信息,就像是網站無法連接一樣

    圖片防盜鏈

    1. location /images/ { 
    2.  valid_referers none blocked www.ops-coffee.cn ops-coffee.cn; 
    3.  if ($invalid_referer) { 
    4.  return 403; 
    5.  } 

    valid_referers: 驗證referer,其中none允許referer為空,blocked允許不帶協議的請求,除了以上兩類外僅允許referer為www.ops-coffee.cn或ops-coffee.cn時訪問images下的圖片資源,否則返回403

    當然你也可以給不符合referer規則的請求重定向到一個默認的圖片,比如下邊這樣

    1. location /images/ { 
    2.  valid_referers blocked www.ops-coffee.cn ops-coffee.cn 
    3.  if ($invalid_referer) { 
    4.  rewrite ^/images/.*\.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last; 
    5.  } 

    控制并發連接數

    可以通過ngx_http_limit_conn_module??橄拗埔桓鯥P的并發連接數

    1. http { 
    2.  limit_conn_zone $binary_remote_addr zone=ops:10m; 
    3.  server { 
    4.  listen 80; 
    5.  server_name ops-coffee.cn; 
    6.   
    7.  root /home/project/webapp; 
    8.  index index.html; 
    9.  location / { 
    10.  limit_conn ops 10; 
    11.  } 
    12.  access_log /tmp/nginx_access.log main; 
    13.  } 

    limit_conn_zone: 設定保存各個鍵(例如$binary_remote_addr)狀態的共享內存空間的參數,zone=空間名字:大小

    相關閱讀

    焦點圖文

    關于我們 | 廣告服務 | 商務合作 | 網站地圖

    版權所有 Copyright(C)2018-2020 蘇州騏云躍網絡科技有限公司,未經授權禁止復制或建立鏡像,否則將依法追究法律責任!
    聲明:我們不做任何形式的代客理財及投資指導,凡是以天下金融網名義做股票推薦的行為均屬違法!
    廣告商的言論與行為均與天下金融網無關!股市有風險,投資需謹慎。
    蘇公網安備 32050502000166號
    蘇ICP備14018528號
    商務合作:新版腾讯分分彩走势图

    天下金融網版權所有