Nginx漏洞扫描及修复
安全团队对服务器进行基线扫描,Nginx出现了一下五种基线安全漏洞,在修复的过程中纪录漏洞的信息及修复建议。并按照该建议进行修复。奇安信那边再次对服务器进行扫描,漏洞已解决
1、检查项分类:身份鉴别
检查项名称:检查是否配置Nginx账号锁定策略检查项描述:1.执行系统命令passwd -S nginx来查看锁定状态出现Password locked证明锁定成功如:nginx LK ..... (Password locked.)或nginx L ....2.默认符合,修改后才有(默认已符合)3.执行系统命令passwd -l nginx进行锁定修复建议:配置Nginx账号登录锁定策略:Nginx服务建议使用非root用户(如nginx,nobody)启动,并且确保启动用户的状态为锁定状态。可执行passwd -l <Nginx启动用户> 如passwd -l nginx来锁定Nginx服务的启动用户。命令 passwd -S <用户>如passwd -S nginx可查看用户状态。修改配置文件中的nginx启动用户修改为nginx或nobody如:user nobody;如果您是docker用户,可忽略该项(或添加白名单)
2、检查项分类:服务配置
检查项名称:检查Nginx进程启动账号。检查项描述:Nginx进程启动账号状态,降低被攻击概率修复建议:修改Nginx进程启动账号:1、打开conf/nginx.conf配置文件;2、查看配置文件的user配置项,确认是非root启动的;3、如果是root启动,修改成nobody或者nginx账号`;4、修改完配置文件之后需要重新启动Nginx。
3、检查项分类:服务配置
检查项名称:Nginx后端服务指定的Header隐藏状态。检查项描述:隐藏Nginx后端服务X-Powered-By头修复建议:隐藏Nginx后端服务指定Header的状态:1、打开conf/nginx.conf配置文件;2、在http下配置`proxy_hide_header项;增加或修改为proxy_hide_header X-Powered-By;proxy_hide_header Server;
4、检查项分类:服务配置
检查项名称:隐藏Nginx服务的Banner检查项描述:Nginx服务的Banner隐藏状态修复建议:Nginx后端服务指定的Header隐藏状态隐藏Nginx服务Banner的状态:1、打开conf/nginx.conf配置文件;2、在server栏目下,配置server_tokens项server_tokens off;如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf
5、检查项分类:服务配置
检查项名称:针对Nginx SSL协议进行安全加固检查项描述:Nginx SSL协议的加密策略进行加固修复建议:Nginx SSL协议采用TLSv1.2:1、打开conf/nginx.conf配置文件(或主配置文件中的inlude文件);2、配置server {...ssl_protocols TLSv1.2;...}备注:配置此项请确认nginx支持OpenSSL,运行nginx -V如果返回中包含built with OpenSSL则表示支持OpenSSL。如不支持,可能需要增加配置ssl_protocols TLSv1 TLSv1.1 TLSv1.2;如果尚未配置ssl协议,请尽快配置(参考连接https://www.nginx.cn/doc/optional/ssl.html)
Nginx漏洞扫描及修复相关推荐
- 漏洞扫描常见修复方案
1.Apache JServ protocol service 描述: 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议. 修复方案: 解决办法: 只能是通过关闭8009 ...
- linux查看漏洞修复情况,linux 漏洞扫描补丁修复
亲测5.9 32位-6.5 64位可用,无需删除旧版本ssh 编译安装. 1.建立备用连接.telnet yum install telnet telnet-server vi /etc/xinetd ...
- 如何进行MySQL漏洞扫描
MySQL是一款广泛使用的关系型数据库管理系统,但由于其复杂的结构和功能,也存在不少安全漏洞,容易被黑客攻击.为了解决这些安全问题,进行MySQL漏洞扫描是必要的.那么MySQL怎么进行漏洞扫描?如何 ...
- Nginx漏洞修复之目录穿越(目录遍历)漏洞复现及修复
Nginx漏洞修复之目录穿越[目录遍历]漏洞复现及修复 漏洞描述 漏洞复现 环境搭建 漏洞验证 漏洞修复 参考链接 漏洞描述 前言 Nginx是一个高性能的HTTP和反向代理服务器,经常被做为反向代理 ...
- 信息安全工程实践笔记--Day1 信息收集漏洞扫描
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 实验目标 (一)信息收集 一.搜索引擎 二.域名 1.whois 查询 2.子域名查询 3.真实ip (1)什么是cdn? ...
- 渗透测试常见漏洞描述及修复建议
弱口令 漏洞描述 由于系统中存在有弱口令,导致攻击者通过弱口令可轻松登录系统中,从而进行下一步的攻击,如上传webshell,获取敏感数据! 另外攻击者利用弱口令登录网站管理后台,可任意增删改等操作, ...
- 常规web渗透测试漏洞描述及修复建议
1.Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
- 渗透测试常见漏洞描述以及修复建议
1.Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
- EXP6 信息搜集与漏洞扫描
1.实验有关问题 (1)哪些组织负责DNS,IP的管理. ICANN是一个集合了全球网络界商业.技术及学术各领域专家的非营利性国际组织,负责在全球范围内对互联网唯一标识符系统及其安全稳定的运营进行协调 ...
- nmap扫描ipv6端口_Flan Scan:Cloudflare开源的轻量级网络漏洞扫描程序
日前,Cloudflare宣布开源其内部的轻型网络漏洞扫描工具Flan Scan.Flan Scan是一款基于Nmap打包的Python漏洞扫描程序.基于Nmap的开源强大,灵活性,Cloudflar ...
最新文章
- Maven最佳实践:划分模块
- 从 HTTP 到 HTTP/3 的发展简史
- oracle用户锁定及修改密码
- ftp定期任务linux,Linux FTP服务器搭建和crontab计划任务制定
- android 内部类传值,Android Studio中,从内部类
- jwt token注销_退出登录时怎样实现JWT Token失效?
- Linux基本命令介绍
- 深入浅出 eBPF: (Linux/Kernel/XDP/BCC/BPFTrace/Cillium)
- 算法 python实现(一) 基本常识
- Excel导入-----导出(包含所选和全部)操作
- Thinkphp5 接口中直接返回数组提示variable type error: array
- OpenStack Queens版本Barbican项目介绍
- 全国行政区划代码(json版)
- 0.96寸OLED 的驱动原理及代码(IIC模式)
- Android 自定义和可下载字体
- 超几何分布检验(hypergeometric test)与费歇尔精确检验(fisher's exact test)
- Ansys电机控制系统分析
- windows宽带连接(校园网)自动连接脚本代码
- 单目图像3D物体的姿态检测
- 最新最简便解决 teamviewre检测为商业用途 的方法
热门文章
- Java实现各种加密验证算法(MD5、SHA256、base64、pdkdf2、pdkdf2_sha256)
- unity skybox天空盒下载
- 暴风影音皮肤_暴风影音彻底凉了?安利一款良心的本地播放器
- php宠物管理系统的开题报告,宠物医院管理系统的设计与实现开题报告.doc
- 用C#打造QQ对战平台挤房器
- useragent 全集 firefox插件 useragetn switch 使用
- DISCUZ!论坛管理员无法登录后台的各种解决方法总结
- 中文版orgin图像数字化工具_GetData Graph Digitizer(图表数字化工具) V2.25 官方版
- RedHat 7 更换 yum 源为 CentOS 或网易镜像源
- linux提取曲线数据软件,曲线图转数据工具软件(Engauge Digitizer)提取文献中的数据...