Nginx的配置安全加固分享，涉及预防多方面的潜在危险

cnpanel · 发表于 2011-6-9 01:02:19

.
看到大家重炒古老的NGINX的FAST-CGI解析PHP_PATH_INFO漏洞，真不知该做何感想，下面分享一段NGINX的配置代码，具体作用附有简单注释。
大家要记住一个原则，那就是：能执行php程序的目录一定不要开放读写权限，而可以读写的目录(比如上传)一定不要赋予php执行权限。

这段代码需要放在server段里面(较前位置，最好放在location / {...}前面)，也可以存成一个文件在每个vhost里include一下。[ol]

# 2011 (C) cnpanel

# Disable visitors without agent

if ($http_user_agent ~ ^$) { return 412; }

# Disable possible Apache access files

location ~ /\.ht {deny all;}

# Never can not visit or download files or DIRs starting with #

location ~ /\# {deny all;}

# Disable risk request in some DIRs for secure

location ~* /(image|images|img|imgs|upload|uploads|upimg|upimgs|upfile|upfiles|down|download|downloads|attachment|attachments|js|css|style|styles|tpl|template|templates|theme|themes|view|views|lang|language|languages|setting|settings|app|apps|include|includes|class|classes|mod|mods|model|models|lib|libs|control|controls|source|sources|plugin|plugins|data|datas|database|tmp|temp|ipdata|html|avatar|avatars)/(.*)\.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ {deny all;}

[/ol]复制代码【提示】Igor说过if clause和正则会降低一点点nginx的性能，极高并发时会比较明显（但是谁的配置离的了这两样呢？）
【声明】这段代码的思路是网上综合而来，是我即将发布的lnmp一键脚本的关于nginx的配置的一个文件里面摘抄出来的，绝无雷同，保留权利。

最后再说一句，安全是相对的，是全方位、综合性的，nginx再安全也敌不过系统被人拿shell，或者如果网站程序本身就是筛子，那都根本不用费力气搞什么牛啊马啊的了

配置的最后一句有可能对某些冷门或自编程序不兼容，使用有什么异常也可以留言
如果有什么指教请回复，欢迎大家交流！

hotsnow · 发表于 2011-6-9 01:04:29

学习一下

WAKAKA · 发表于 2011-6-9 01:07:47

mark

wdlth · 发表于 2011-6-9 01:08:35

用白名单。

四师兄 · 发表于 2011-6-9 06:46:29

留言做记号谢谢分享

jasontse · 发表于 2011-6-9 08:32:35

http://blog.s135.com/nginx_0day/
完美解决方案

Poison · 发表于 2011-6-9 08:54:03

apache跑php 有问题木有？

jasontse · 发表于 2011-6-9 08:54:37

木有

cnpanel · 发表于 2011-6-9 09:14:38

原帖由 jasontse 于 2011-6-9 08:32 发表

 http://blog.s135.com/nginx_0day/
完美解决方案

什么叫完美？

这段代码不是单独针对什么历史0day的，这段代码能做的更多

cnpanel · 发表于 2011-6-9 09:55:09

原帖由 ssh 于 2011-6-9 08:54 发表

apache跑php 有问题木有？

Nginx如果作为前端，这段代码同样会对任何后端起的相同的保护作用，当然仅限于网站层面上

不管后端是Apache、IIS还是Tomcat等等

		自动登录	找回密码
密码			立即注册