禁用不需要的 Nginx 模块

自动安装的 Nginx 会内置很多模块，并不是所有的模块都需要，对于非必须的模块可以禁用，如 autoindex module ，下面展示如何禁用

# ./configure --without-http_autoindex_module# make# make install

不展示 server tokens

默认情况下，Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号，这可能会导致信息泄露，未经授权的用户可能会了解你使用的nginx版本。应该在 nginx.conf 通过设置 server_tokens off 来禁用

控制资源和限制

为了防止对 Nginx 进行潜在的 DOS 攻击，可以为所有客户端设置缓冲区大小限制，配置如下：

client_body_buffer_size 指定客户端请求主体缓冲区的大小。默认值为8k或16k，但建议将此值设置为低至1k：client_body_buffer_size 1k
client_header_buffer_size 为客户端请求标头指定标头缓冲区大小。设置为 1k 足以应付大多数请求。
client_max_body_size 为客户端请求指定可接受的最大正文大小。设置为 1k 应该足够了，但是如果通过 POST方法接收文件上传，则需要增加它。
large_client_header_buffers 指定用于读取大型客户端请求标头的缓冲区的最大数量和大小。将最大缓冲区数设置为 2，每个缓冲区的最大大小为 1k。该指令将接受 2 kB 数据， large_client_header_buffers 2 1k

禁用所有不需要的 HTTP 方法

禁用所有不需要的 HTTP 方法，下面设置意思是只允许 GET、HEAD、POST 方法，过滤掉 DELETE 和 TRACE 等方法。

location / {limit_except GET HEAD POST { deny all; }}

另一种方法是在 server 块设置，不过这样是全局设置的，要注意评估影响

if ($request_method !~ ^(GET|HEAD|POST)$ ) {    return 444; }

监控访问日志和错误日志

持续监控和管理 Nginx 的错误日志，就能更好的了解对 web 服务器的请求，注意到任何遇到的错误，有助于发现任何攻击尝试，并确定您可以执行哪些操作来优化服务器性能。

可以使用日志管理工具(例如 logrotate )来旋转和压缩旧日志并释放磁盘空间。同样，ngx_http_stub_status_module 模块提供对基本状态信息的访问。

合理配置响应头

为了进一步加强 Nginx web 的性能，可以添加几个不同的响应头，推荐

X-Frame-Options

可以使用 X-Frame-Options HTTP 响应头指示是否应允许浏览器在或

配置文件中添加：

add_header X-Frame-Options "SAMEORIGIN";

Strict-Transport-Security

HTTP Strict Transport Security，简称为 HSTS。它允许一个 HTTPS 网站，要求浏览器总是通过 HTTPS 来访问它，同时会拒绝来自 HTTP 的请求，操作如下：

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

CSP

Content Security Policy (CSP) 保护你的网站避免被使用如 XSS，SQL注入等手段进行攻击，操作如下：

add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

配置 SSL 和 cipher suites

Nginx 默认允许使用不安全的旧 SSL 协议，ssl_protocols TLSv1 TLSv1.1 TLSv1.2，建议做如下修改：

ssl_protocols TLSv1.2 TLSv1.3;

此外要指定 cipher suites ，可以确保在 TLSv1 握手时，使用服务端的配置项，以增强安全性。

ssl_prefer_server_ciphers on

定期更新服务器

旧版的 Nginx 总会存在各种各样的漏洞，所以最好更新到最新版。

漏洞可以去各大 CVE 网站去查询，Nginx 最新版则去官网查看。

设置header_Nginx的这些安全设置，你都知道吗？相关推荐

idea不区分大小写设置_我的 IntelliJ IDEA 一直都是这么设置的，效果很棒！
来源:github.com/judasn/IntelliJ-IDEA-Tutorial 说明推荐设置说明 IntelliJ IDEA 有很多人性化的设置我们必须单独拿出来讲解,也因为这些人性化的设 ...
如何设置EXCEL里标题在每页都打印？
如何设置EXCEL里标题在每页都打印? "文件"--"页面设置"--"工作表"--点一下"顶端行标题"的红色小键头--用 ...
Aruba7010 默认密码_工信部提醒：手机要及时设置SIM卡密码！很多人都不知道！...
原标题:工信部提醒:手机要及时设置SIM卡密码!很多人都不知道! 要说现在最必不可少的东西依小编之见估计就是手上那部手机啦看时事新闻.娱乐资讯用它联系家人.同事和朋友用它吃喝玩乐也少不了它 ...
什么是soft wrap，什么是IDEA的soft wrap，如何设置IDEA默认所有类型的文件都自动换行（如何设置用IDEA打开markdown文件不自动换行）
什么是soft wrap,什么是IDEA的soft wrap,如何设置IDEA默认所有类型的文件都自动换行(如何设置用IDEA打开markdown文件不自动换行) 一.背景本文讨论几个问题 wrap ...
IDEA相关配置（特别完整）看完此篇就将所有的IDEA的相关配置都配置好了、设置鼠标滚轮修改字体大小、设置鼠标悬浮提示、设置主题、设置窗体及菜单的字体及字体大小、设置编辑区主题、通过插件更换主题
文章目录 1.创建模块(Module) 2.常用配置 2.1Appearance & Behavior 2.1.1设置主题 2.1.2设置窗体及菜单的字体及字体大小 (可忽略) 2.1.3补充 ...
B2C外贸网站产品设计和功能需求，一个产品设置了在多个类别里面都可以看到，以及Email模板问题...
今天修复了2个问题 1.一个产品设置了在多个类别里面都可以看到如果一个产品设置了多个类别,首先要考虑,当打开这个产品详情页面的时候你需要知道这个产品是属于哪个类别的,可能属于A,也可能属于B,也可能 ...
php投票每天投票一次,微信投票如何设置投票规则，投票设置可以每天都投吗？...
公众号为了增加粉丝粘性,运营者一般隔一段时间就会做一些营销活动,常见的有抽奖活动 .小游戏.投票活动.留言活动等等其中微信公众号投票活动在公众号中比较常见,微信公众号平台也自带了一个投票插件方便运营 ...
Word参考文献对齐的设置方法，从[1]-[99]全部都对齐
Word参考文献对齐的设置方法,从[1]-[99]全部都对齐全选参考文献,1.点击右键"段落"–"缩进和间距"–"常规"–"对齐 ...
css怎么设置列表颜色,css怎么设置table颜色
css设置table颜色的方法:首先找到并打开需要设置的table代码内容:然后通过color属性设置表格中文字的颜色:最后通过background属性设置表格的背景颜色即可. 本文操作环境:wind ...

设置header_Nginx的这些安全设置，你都知道吗？