Nginx

• Nginx 一樣也是伺服器軟體
  • 非同步框架的開源伺服器軟體
  • 用途：反向代理、 HTTP Cache、平衡負載器
  • 處理 IO /靜態檔案比 Apache 好
  • 模組化設計
  • 記憶體消耗較低
  • 官網
• 安裝 Nginx
  • apt-get install nginx
• Docker
  • docker run -d -p 8080:80 --name nginx-web-server nginx
• 預設設定檔案資料夾位置
  • /usr/local/nginx/conf/
  • /etc/nginx/
• 預設設定檔案名稱 nginx.conf
  • /usr/local/nginx/conf/nginx.conf
  • /etc/nginx/nginx.conf
• 預設網頁檔案資料夾
  • /usr/local/nginx/html/
  • /var/www/html
• 預設 log 位置資料夾
  • /usr/local/nginx/logs/
  • /var/log/nginx
• 更新 Nginx
  • yum update nginx
  • apt-get update nginx
• 測試設定
  • nginx -t
• 修改設定後可以重新仔入
  • nginx -s reload
• 停止
  • nginx -s stop

針對 SSL

• 有次在公事上執行弱點掃描的案子，客戶的機器上有許多跟 SSL 相關的弱點。
• 我們推薦 https://ssl-config.mozilla.org/
• SSL 安全設定供客戶使用
  • 

Https

• 一樣使用 Certbot
  • 

常見弱點

• 避免 clickjacking
  • add_header X-Frame-Options SAMEORIGIN;
• 增加 XSS protection
  • add_header X-XSS-Protection "1; mode=block";
• 啟用 傳輸性安全
  • add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
• 關閉伺服器資訊與版本
  • server_tokens off;

Online Certificate Status Protocol (OCSP)

• 線上憑證狀態協定
  • Good
    • 憑證合法
  • Revoked
    • 憑證過期
  • Unknown
    • 沒有憑證資訊
• 開啟 OCSP 驗證
  • ssl_ocsp on ;

參考文章

• https://www.upguard.com/blog/how-to-build-a-tough-nginx-server-in-15-steps
• https://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html