資安這條路 25- [Web 伺服器軟體] Nginx - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

第 12 屆 iThome 鐵人賽

DAY 25

3

Security

資安這條路─以自建漏洞環境學習資訊安全系列第 25 篇

資安這條路 25- [Web 伺服器軟體] Nginx

12th鐵人賽

團隊路上撿組員

2020-10-10 23:24:55

5474 瀏覽

Nginx

Nginx 一樣也是伺服器軟體
- 非同步框架的開源伺服器軟體
- 用途：反向代理、 HTTP Cache、平衡負載器
- 處理 IO /靜態檔案比 Apache 好
- 模組化設計
- 記憶體消耗較低
- 官網
安裝 Nginx
- apt-get install nginx
Docker
- docker run -d -p 8080:80 --name nginx-web-server nginx
預設設定檔案資料夾位置
- /usr/local/nginx/conf/
- /etc/nginx/
預設設定檔案名稱 nginx.conf
- /usr/local/nginx/conf/nginx.conf
- /etc/nginx/nginx.conf
預設網頁檔案資料夾
- /usr/local/nginx/html/
- /var/www/html
預設 log 位置資料夾
- /usr/local/nginx/logs/
- /var/log/nginx
更新 Nginx
- yum update nginx
- apt-get update nginx
測試設定
- nginx -t
修改設定後可以重新仔入
- nginx -s reload
停止
- nginx -s stop

針對 SSL

有次在公事上執行弱點掃描的案子，客戶的機器上有許多跟 SSL 相關的弱點。
我們推薦 https://ssl-config.mozilla.org/
SSL 安全設定供客戶使用

Https

一樣使用 Certbot

常見弱點

避免 clickjacking
- add_header X-Frame-Options SAMEORIGIN;
增加 XSS protection
- add_header X-XSS-Protection "1; mode=block";
啟用傳輸性安全
- add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
關閉伺服器資訊與版本
- server_tokens off;

Online Certificate Status Protocol (OCSP)

線上憑證狀態協定
- Good
  - 憑證合法
- Revoked
  - 憑證過期
- Unknown
  - 沒有憑證資訊
開啟 OCSP 驗證
- ssl_ocsp on ;

參考文章

資安這條路 24- [Web 伺服器軟體] Apache

資安這條路 26- [Web 伺服器軟體] IIS （Internet Information Services）

系列文

資安這條路─以自建漏洞環境學習資訊安全共 31 篇

目錄

RSS系列文訂閱系列文

280 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙