nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。
本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。
在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。
1、屏蔽IP
假设我们的网站只是一个国内小站,有着公司业务,不是靠广告生存的那种,那么可以用geoip模块封杀掉除中国和美国外的所有IP。这样可以过滤大部分来自国外的恶意扫描或者无用访问。不用担心封杀了网络蜘蛛。主流的网络蜘蛛(百度/谷歌/必应/搜狗)已经包含在了我们的IP范围内了。如果是公网的登录后台,更应该屏蔽彻底一点。
1
2
3
|
if
( $geoip_country_code !~ ^(CN|US)$ ) {
return
403;
}
|
(很多人担心geoip库不够准确,诚然,中国城市级别的IP段会有误差,但是国家级别的IP段一般是没有问题的,并且geoip库可以随时在线更新)
2、封杀各种user-agent
user-agent 也即浏览器标识,每个正常的web请求都包含用户的浏览器信息,除非经过伪装,恶意扫描工具一般都会在user-agent里留下某些特征字眼,比如scan,nmap等。我们可以用正则匹配这些字眼,从而达到过滤的目的,请根据需要调整。
1
2
3
4
5
6
|
if ($http_user_agent ~* "java|python|perl|ruby|curl|bash|echo|uname|base64|decode|md5sum|select|concat|httprequest|httpclient|nmap|scan" ) {
return 403;
}
if ($http_user_agent ~* "" ) {
return 403;
}
|
这里分析得不够细致,具体的非法user-agent还得慢慢从日志中逐个提取。
通过上面两个大招,相信你的日志里很快就会有大量的403记录。,我们接着干。
(如果网站提供公共api,注意与开发者约定好UA,防止撞墙)
3、封杀特定的url
特定的文件扩展名,比如.bak
1
2
3
|
location ~* \.(bak|save|sh|sql|mdb|svn|git|old)$ {
rewrite ^/(.*)$ $host permanent;
}
|
知名程序,比如phpmyadmin
1
|
location /(admin|phpadmin|status) { deny all; }
|
4、封杀特定的http方法和行为,比如
1
2
3
4
5
6
7
|
if
($request_method !~ ^(GET|POST|HEAD)$ ) {
return
405;
}
if
($http_range ~
"\d{9,}"
) {
return
444;
}
|
5、强制网站使用域名访问,可以逃过IP扫描,比如
1
2
3
|
if
( $host !~*
'abc.com'
) {
return
403;
}
|
6、url 参数过滤敏感字,比如
1
2
3
4
5
6
7
|
if
($query_string ~*
"union.*select.*\("
) {
rewrite ^/(.*)$ $host permanent;
}
if
($query_string ~*
"concat.*\("
) {
rewrite ^/(.*)$ $host permanent;
}
|
7、强制要求referer
1
2
3
|
if ($http_referer = "" ) {
return 403;
}
|
如果不想用403,也可以rewrite一个url,比如一个400页面:
1
2
3
4
5
6
7
|
<
html
>
<
head
><
title
>400 Bad Request</
title
></
head
>
<
body
bgcolor
=
"white"
>
<
center
><
h1
>400 Bad Request</
h1
></
center
>
<
hr
><
center
>nginx/1.2.0</
center
>
</
body
>
</
html
>
|
小结
可以将上述规则结合起来使用,同时匹配多条规则时才会封杀,
下面是一个来自老外的稍微复杂一点的例子:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
set $add 1;
location /index.php {
limit_except GET POST {
deny all;
}
set $ban "";
if ($http_referer = "" ) {set $ban $ban$add;}
if ($request_method = POST ) {set $ban $ban$add;}
if ($query_string = "action=login" ){set $ban $ban$add;}
if ($ban = 111 ) {
access_log /var/log/[133]nginx/ban IP;
return 404;
}
proxy_pass http://127.0.0.1:8000; #here is a patch
}
|
其它方法
8、封杀IP
定时做日志分析,手动将恶意IP加入iptables拒绝名单,推荐使用ipset模块。
1
2
3
4
5
6
7
|
yum
install
ipset ipset-service -y
ipset create badip
hash
:net maxelem 65535
iptables -I INPUT -m
set
--match-
set
badip src -p tcp --dport 80 -j DROP
/etc/init
.d
/iptables
save
ipset add badip 1.1.1.2
ipset add badip 2.2.2.0
/24
/etc/init
.d
/ipset
save
|
ipset 还支持timeout,类似redis的TTL,timeout之后会自动删除,比较人性化。
比如下面的例子就是timeout默认3600秒,支持自定义timeout
1
2
3
4
5
|
ipset destroy badip
ipset create badip
hash
:net maxelem 65535 timeout 3600
ipset add badip 1.1.1.1
ipset add badip 2.2.2.0
/24
timeout 60
ipset add badip 3.3.3.0
/24
timeout 7200
|
在日志分析的自动化程度比较高,准确率比较好的情况下,可以考虑通过条件触发ipset。
9、限速
适当限制客户端的请求带宽,请求频率,请求连接数,这里不展开论述。根据具体需求,阀值应当稍稍宽泛一点。特别要注意办公室/网吧场景的用户,他们的特点是多人使用同一个网络出口。
10、目录只读
如果没有上传需求,完全可以把网站根目录弄成只读的,加固安全。
做了一点小动作,给网站根目录搞了一个只读的挂载点。这里假设网站根目录为/var/www/html
1
2
3
4
|
mkdir
-p
/data
mkdir
-p
/var/www/html
mount
--bind
/data
/var/www/html
mount
-o remount,ro --bind
/data
/var/www/html
|
网站内容实际位于/data,网站内容更新就往/data里更新,目录/var/www/html无法执行任何写操作,否则会报错“Read-only file system”,极大程度上可以防止提权篡改。
11、overlayfs
这种方法跟上面的方法类似,但是有所区别
假设网站根目录/var/www/html有一个目录upload是要求可读写的,其他只读即可,那么仔细看下面的操作
1
2
3
4
5
6
|
mkdir
-p
/data/lower
mkdir
-p
/data/upper
mkdir
-p
/data/worker
mv
/var/www/html/upload
/data/upper/
mv
/var/www/html/
*
/data/lower/
mount
-t overlayfs overlay -o lower=
/data/lower
,upper=
/data/upper
,workdir=
/data/worker
/var/www/html
|
这样就完美实现了读写分离,底层目录只读,上层目录可写。
如果程序被篡改,上层目录/data/upper除upload内容之外,还会生成其他文件。
overlayfs因为特殊的机制,建议使用linux内核4.0+,否则比较消耗硬盘的inode。
12、定时总结和丰富过滤规则