针对Nginx SSL协议进行安全加固
由于自建nginx服务在安全审查时需要进行SSL协议进行加固
nginxSSL协议加固建议如下
Nginx SSL协议采用TLSv1.2:
1、打开`conf/nginx.conf`配置文件(or include file in the main configuration file);
2、配置
```
server {
...
ssl_protocols TLSv1.2;
...
}
```
备注:配置此项请确认nginx支持OpenSSL,运行`nginxv -V` 如果返回中包含`built with OpenSSL`则表示支持OpenSSL。如果不支持,请重新编译nginx
在加固时,发现这个nginx并没有开启SSL模块
./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
configure arguments: --prefix=/home/nginx故需要重新编译nginx
在nginx的解压包下运行
./configure --prefix=/home/nginx --with-http_ssl_module --with-openssl=/usr/local/ssl
make
--prefix:nginx的安装位置
--with-http_ssl_module:开启nginx的ssl模块
--with-openssl:openssl的的位置正常情况下不需要指定,openssl手动手动安装过的话有可能找不到需要指定。
但是在make后爆出了这样的错误
/bin/sh: line 2: ./config: No such file or directory
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'
make: *** [build] Error 2
根据报错信息我们知道,出错是因为Nginx在编译时并不能在/usr/local/ssl/.openssl/ 这个目录找到对应的文件,其实我们打开/usr/local/ssl/这个目录可以发现这个目录下是没有.openssl目录的,因此我们修改Nginx编译时对openssl的路径选择就可以解决这个问题了
解决方案:
打开nginx源文件下的/usr/local/src/nginx-1.9.9/auto/lib/openssl/conf文件:
找到这么一段代码:
CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
修改成以下代码:
CORE_INCS="$CORE_INCS $OPENSSL/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"
然后再进行Nginx的编译安装即可
注意 现在展示只能make 不要 make install
假如make install就会把之前安装的nginx给覆盖
在在make之后进入objs文件夹
把里面的nginx文件跟之前的nginx文件替换,再重启一下,ssl模块就搞好了。
./nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)
built with OpenSSL 1.1.1i 8 Dec 2020
TLS SNI support enabled
configure arguments: --prefix=/home/nginx --with-http_ssl_module --with-openssl=/usr/local/ssl
针对Nginx SSL协议进行安全加固相关推荐
- http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3
文章目录 一.http服务停用不安全的TLS1.0和TLS1.1协议 nginx Apache apache要支持TLS1.2 版本要求 工作中遇到问题整理 [error] No SSL protoc ...
- nginx配置监听443端口,开启ssl协议,走 https 访问
本文目录 前言 一.检查 linux 服务器上的 nginx 是否安装 ssl 模块 二:为 nginx 安装 ssl 模块 三.nginx 开启 443 端口监听(https配置) 成功配好后的效果 ...
- nginx服务器配置ssl协议,国密SSL协议之Nginx集成
1 背景 Nginx自身支持标准的SSL协议,但并不支持国密SSL协议.本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用. 特点:Nginx 无需改动源码.支持任意版本. ...
- SSL协议安全系列:PKI体系中的证书吊销
GoSSIP_SJTU · 2016/03/03 10:06 0x00 前言 在前面的章节我们讨论了部分SSL/TLS握手协议.记录协议中存在的安全问题,针对它们的攻击以及相应的加固方案.在SSL/T ...
- NGINX SSL配置之设置HTTPS服务器
NGINX SSL配置 本节介绍如何在NGINX和NGINX Plus上配置HTTPS服务器. 设置HTTPS服务器 要设置HTTPS服务器,请在您的nginx.conf文件中的块中ssl将该list ...
- SSL协议解析及SSL虚拟专用网
参考博客地址 目录 第一部分:SSL协议解析 一.SSL简介 二.SSL协议介绍 三.SSL协议应用 四.SSL协议特点 五.SSL协议结构分析 六.SSL连接建立过程(握手过程) 七.几个重要的se ...
- Nginx SSL 配置
为什么80%的码农都做不了架构师?>>> SSL证书是数字证书的一种,类似于驾驶证.护照和营业执照的电子副本.因为配置在服务器上,也称为SSL服务器证书.SSL 证书就是遵守 ...
- 详解Nginx SSL快速双向认证配置(脚本)
这篇文章主要介绍了详解Nginx SSL快速双向认证配置(脚本),现在分享给大家,也给大家做个参考.一起跟随小编过来看看吧 目前遇到一个项目有安全性要求,要求只有个别用户有权限访问.本着能用配置解决就 ...
- SSL协议(HTTPS) 握手、工作流程详解(双向HTTPS流程)
SSL协议的工作流程: 服务器认证阶段:1)客户端向服务器发送一个开始信息"Hello"以便开始一个新的会话连接:2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器 ...
最新文章
- mvvm模式和mvc的区别_被误解的 MVC 和被神化的 MVVM,值得收藏!
- 1.MySQL目录结构
- OAuth认证原理及HTTP下的密码安全传输
- python没基础能自学吗-没学过编程可以自学python吗
- oracle odbc驱动 linux,linux下oracle的odbc驱动的安装与配置
- 服务器架构设计文档,架构设计文档
- 来拥抱星辰大海吧!中国风云气象卫星系列数字藏品荣耀首发
- 一个筛选键引起电脑键盘失灵的命案
- 小白日记2:kali渗透测试之被动信息收集(一)
- 服务器加内存系统,服务器加内存的方法
- Cadence Allegro 17.4学习记录开始06-PCB Editor 17.4快捷键的说明和中英文的切换和操作界面放大缩小设置
- 互联网:互联网进入下半场,这场赛怎么比?
- armv8/armv9/aarch64/arm64/A64/架构/IP你不知道的那些事
- 方块填数 “数独”是当下炙手可热的智力游戏。一般认为它的起源是“拉丁方块”,是大数学家欧拉于1783年发明的。 如图[1.jpg]所示:6x6的小格被分为6个部分(图中用不同的颜色区分),每个部
- 漂浮式半潜风机(一)稳性分析
- 计算机少了4个磁盘,电脑硬盘突然少了几个分区,这是怎么回事?如何修复?...
- 速卖通创业5年,从借款10万到年销千万,他通过一款氛围灯征服全球游戏市场
- PCB设计中的MARK点,你知道怎么放?
- idea右边找不到maven窗口不见了的多种解决方法
- 如何在VUE框架的WEB端实时播放海康威视、大华RTSP视频流 ?