Comment améliorer la sécurité de Nginx

Nginx est l'un des serveurs Web les plus populaires aujourd'hui. Il dessert 7 % du trafic Web mondial et connaît une croissance étonnante. C'est un serveur incroyable et j'aimerais le déployer.

Vous trouverez ci-dessous une liste des pièges de sécurité courants et des solutions qui peuvent vous aider à garantir la sécurité de votre déploiement Nginx.

1. Utilisez "if" avec précaution dans les fichiers de configuration. Il fait partie du module de réécriture et ne doit être utilisé nulle part.

L'instruction "if" est une partie obligatoire de la directive d'évaluation du module override. En d’autres termes, la configuration de Nginx est généralement déclarative. Dans certains cas, à la demande des utilisateurs, ils ont essayé d'utiliser "if" dans certaines directives non remplacées, ce qui a abouti à la situation à laquelle nous sommes confrontés actuellement. Fonctionne bien dans la plupart des cas, mais... voir ci-dessus.

On dirait que la seule solution correcte est de désactiver complètement "if" dans les directives non remplacées. Cela modifiera une grande partie de la configuration existante, ce n'est donc pas encore fait.

2. Transférez chaque requête ~ .php$ à PHP. Nous avons publié la semaine dernière une introduction aux vulnérabilités de sécurité potentielles dans cette commande populaire. Même si le nom du fichier est hello.php.jpeg, il correspondra au modèle régulier ~.php$ et exécutera le fichier.

Il existe maintenant deux bonnes façons de résoudre le problème ci-dessus. Je pense qu'il est important de s'assurer que vous n'exécutez pas facilement du code arbitraire avec des méthodes mixtes.

Si le fichier n'est pas trouvé, utilisez try_files et uniquement (ce qui doit être noté dans toutes les situations d'exécution dynamique) pour le transférer vers le processus FCGI exécutant PHP.

Confirmez que cgi.fix_pathinfo est défini sur 0 (cgi.fix_pathinfo=0) dans le fichier php.ini. Cela garantit que PHP vérifie le nom complet du fichier (lorsqu'il ne trouve pas .php à la fin du fichier, il l'ignorera)

Résout le problème avec les expressions régulières correspondant à des fichiers incorrects. L'expression régulière considère désormais tout fichier contenant ".php". L'ajout de « if » après le site garantit que seuls les fichiers corrects seront exécutés. Définissez à la fois /location ~ .php$ et location ~ ..*/.*.php$ pour renvoyer 403;

3. Désactivez le module d'indexation automatique. Cela a peut-être changé dans la version de Nginx que vous utilisez. Sinon, ajoutez simplement l'instruction autoindex off dans le bloc d'emplacement du fichier de configuration.

4. Désactivez ssi (référence côté serveur) sur le serveur. Cela peut être fait en ajoutant ssi off dans le bloc d'emplacement.

5. Désactivez les balises du serveur. Si cette option est activée (par défaut), toutes les pages d'erreur afficheront la version et les informations du serveur. Ajoutez l'instruction server_tokens off; au fichier de configuration Nginx pour résoudre ce problème.

6. Configurez un cache personnalisé dans le fichier de configuration pour limiter la possibilité d'attaques par débordement de tampon.

client_body_buffer_size 1K;

client_header_buffer_size 1k;

client_max_body_size 1k;

large_client_header_buffers 2 1k;

7. Attaques DOS. Toutes ces déclarations peuvent être placées dans le fichier de configuration principal.

client_body_timeout 10;

client_header_timeout 10;

keepalive_timeout 5 5;

send_timeout 10;

8. Empêchez les attaques DOS.

limit_zone slimits $binary_remote_addr 5m;

limit_conn slimits 5;

9. Essayez d'éviter d'utiliser l'authentification HTTP. L'authentification HTTP utilise le crypt par défaut et son hachage n'est pas sécurisé. Si vous souhaitez l'utiliser, utilisez MD5 (ce n'est pas un bon choix mais c'est mieux que crypt en terme de charge).

10. Restez à jour avec les dernières mises à jour de sécurité de Nginx.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!