Nginx服务安全加固
1、禁止频繁访问的ip访问nginx
生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站,此时我们需要通过安全措施保护我们的服务器
部署nginx
[root@localhost tools]# yum install gcc gcc-c++ make automake autoconf libtool pcre* zlib openssl openssl-devel
[root@localhost tools]# tar xf nginx-1.11.2.tar.gz
[root@localhost tools]# ls
nginx-1.11.2 nginx-1.11.2.tar.gz
[root@localhost tools]# cd nginx-1.11.2
[root@localhost nginx-1.11.2]# ls
auto CHANGES CHANGES.ru conf configure contrib html LICENSE man README src
[root@localhost nginx-1.11.2]# ./configure
[root@localhost nginx-1.11.2]# make
[root@localhost nginx-1.11.2]# make install
测试nginx服务
[root@localhost ~]# curl -I 172.16.1.100
HTTP/1.1 200 OK
Server: nginx/1.11.2
Date: Mon, 17 Aug 2020 09:36:29 GMT
Content-Type: text/html
Content-Length: 15
Last-Modified: Mon, 17 Aug 2020 09:36:19 GMT
Connection: keep-alive
ETag: "5f3a4f93-f"
Accept-Ranges: bytes
nginx 可以正常访问。
接下来,假设172.16.1.100是黑客主机,频繁访问nginx服务
模拟172.16.1.100访问10次172.16.1.10
172.16.1.100
[root@localhost ~]# ab -c 1 -n 10 http://172.16.1.10/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/Benchmarking 172.16.1.10 (be patient).....doneServer Software: nginx/1.11.2
Server Hostname: 172.16.1.10
Server Port: 80Document Path: /
Document Length: 612 bytesConcurrency Level: 1
Time taken for tests: 0.016 seconds
Complete requests: 10
Failed requests: 0
Write errors: 0
Total transferred: 8450 bytes
HTML transferred: 6120 bytes
Requests per second: 617.02 [#/sec] (mean)
Time per request: 1.621 [ms] (mean)
Time per request: 1.621 [ms] (mean, across all concurrent requests)
Transfer rate: 509.16 [Kbytes/sec] receivedConnection Times (ms)min mean[+/-sd] median max
Connect: 0 1 0.3 0 1
Processing: 1 1 0.3 1 2
Waiting: 0 1 0.3 1 1
Total: 1 1 0.5 1 2
ERROR: The median and mean for the initial connection time are more than twice the standarddeviation apart. These results are NOT reliable.Percentage of the requests served within a certain time (ms)50% 166% 175% 180% 290% 295% 298% 299% 2100% 2 (longest request)
查看nginx日志
172.16.1.10
[root@localhost ~]# tail /usr/local/nginx/logs/access.log
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
172.16.1.100 - - [26/Jul/2020:05:58:24 +0800] "GET / HTTP/1.0" 200 612 "-" "ApacheBench/2.3"
由此可见,一秒钟之内172.16.1.100访问了nginx10次,接下来禁止掉这个问题ip
通过iptables限制ip访问
172.16.1.10
[root@localhost ~]# iptables -I INPUT -s 172.16.1.100 -ptcp --dport 80 -j DROP
172.16.1.100
[root@localhost ~]# curl 172.16.1.10
curl: (7) Failed connect to 172.16.1.10:80; 连接超时
此时172.16.1.100再也不能访问nginx
nginx配置文件限制
172.16.1.10
172.16.1.100
[root@localhost ~]# curl -I 172.16.1.10
HTTP/1.1 403 Forbidden
Server: nginx/1.11.2
Date: Sat, 25 Jul 2020 23:12:06 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
总结
以上就是两种简单的方法限制ip访问,还有许多方法可以利用工具进行ip限制。
参考链接 :
禁止频繁访问的ip访问nginx :https://www.jianshu.com/p/48a8bbeaf76a
Nginx服务安全加固相关推荐
- 企业级Nginx服务基础到架构优化详解--25条
1.隐藏nginx header版本号 2.更改源码隐藏软件名称 3.更改nginx默认用户及用户组 4.配置nginx worker进程个数 5.根据CPU核数进行nginx进程优化 6.nginx ...
- Nginx服务优化——性能与安全
1.隐藏Nginx的版本 一般来说,软件的漏洞都和版本有关的.为了减少被人针对某一版本的恶意***,我们可以把我们的Nginx版本隐藏起来,提高被***的门槛.在隐藏版本号之前,我们可以通过curl获 ...
- Linux state 方式 安装nginx 服务
第3章 Linux state 方式安装nginx 服务 3.1 State 方式安装nginx 1,创建相应的目录 a)Mkdir –p /srv/nginx 2,生成nginx.sls 文件 a) ...
- linux基础Samba服务和nginx服务
一.Samba服务 1.准备环境:iptables -F:关闭防火墙 #systemctl disable firewalld:开机默认关闭 #systemctl stop firewalld:立即关 ...
- saltstack学习-9:批量安装nginx服务并定时更新配置(pillar)
环境介绍: slatmaster:10.80.0.162 minion01:10.80.0.163 minion02:10.80.0.164 目标:在两台minion上安装nginx服务,并定时同步m ...
- nginx 超时时间_我眼中的 Nginx(四):是什么让你的 Nginx 服务退出这么慢?
张超:又拍云系统开发高级工程师,负责又拍云 CDN 平台相关组件的更新及维护.Github ID: tokers,活跃于 OpenResty 社区和 Nginx 邮件列表等开源社区,专注于服务端技术的 ...
- Nginx服务器之基础学习
一.Nginx介绍 nginx:Nginx是一种软件服务器(轻量级),故它最主要的功能就是可以与服务器硬件结合,我们的应用程序可以放在nginx服务器上进行发布,已达到让网民浏览的效果.除此自外,Ng ...
- iis php mysql 一键安装_LNMP(Nginx服务,MySQL 服务,安装PHP服务 手动安装技术文档)
文章目录 安装Nginx服务 1.关闭防火墙将nginx所需软件包到/opt目录下 2.安装依赖包 3. 创建运行用户 4.编译安装 5.优化路径 6.添加 Nginx 系统服务 二.安装 MySQL ...
- arm linux下nginx服务无法正常启动是什么原因?
这是DS白摄像头, [root@RV1126_RV1109:~]# ps -aux | grep nginx root 339 0.0 0.4 12644 2196 ? Ss 20:35 0:00 n ...
最新文章
- php 4 创建公共的链接数据库php文件并在其它文件引用它
- 一个基于 Spring Boot 的项目骨架
- [转]ORACLE日期时间函数大全
- Linux-使用 Find 命令找到那些需要清理的文件
- 【机器学习基础】数学推导+纯Python实现机器学习算法30:系列总结与感悟
- eclipse使用working set
- 商品WEB开发的商品定单与存储过程的应用
- PB市净率,PE市盈率
- vmware workstation不可恢复错误:(vthread-7)
- MyBatis 基础知识
- Java Thread.yield详解
- 信息系统项目管理师——成本管理
- VC2010 运行时闪退
- 推荐更好用的网络检测命令
- fu7推挽胆机音质_fu7电子管功放电路图大全(6N8P\6P3P\胆机功放电路\耦合电容器) - 全文...
- 获取本地视频文件的缩略图
- c语言程序书写遵循的规则,C程序书写时应遵循的规则
- Space/Aerial-Assisted Computing Offloading for IoT Applications: A Learning-Based论文复现
- 数据结构题及c语言版严第七章答案,数据结构第七章习题答案.doc
- Java学习笔记之--------注解(Annotation)
热门文章
- c语言 malloc_C语言数据结构 | 第一讲
- SIR模型和Python实现
- 入门深度学习,理解神经网络、反向传播算法是第一关
- html5中切换图片怎么做,HTML5编程实战之二:用动画的形式切换图片
- 设计自己的基于Selenium 的自动化测试框架-Java版(1) - 为什么selenium还需要测试框架?...
- 最佳String判断是否为空
- selenium中录制拖拽动作
- Caused by: java.lang.StringIndexOutOfBoundsException: length=5; regionStart=0; regionLength=-1
- QMQ源码分析之delay-server篇【一】
- 【跃迁之路】【590天】程序员高效学习方法论探索系列(实验阶段347-2018.09.18)...