web服務(wù)器 Nginx

（1）概念

成都創(chuàng)新互聯(lián)公司專注于汪清網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供汪清營(yíng)銷型網(wǎng)站建設(shè)，汪清網(wǎng)站制作、汪清網(wǎng)頁(yè)設(shè)計(jì)、汪清網(wǎng)站官網(wǎng)定制、小程序制作服務(wù)，打造汪清網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供汪清網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

Web服務(wù)器是一臺(tái)使用HTTP協(xié)議與客戶機(jī)瀏覽器進(jìn)行信息交流（因此又稱為HTTP服務(wù)器）、為互聯(lián)網(wǎng)客戶提供服務(wù)（信息瀏覽，下載資源等）的主機(jī)。發(fā)展趨勢(shì)：從HTML到XML、從有線到無(wú)線、從無(wú)聲到有聲

1.Linux是架設(shè)安全高效Web服務(wù)器的操作系統(tǒng)

架設(shè)Web服務(wù)器常見(jiàn)的操作系統(tǒng)：Windows、Linux、Unix。Linux安全性能最高，可以支持多個(gè)硬件平臺(tái)，可以根據(jù)不同需求隨意修改、調(diào)整與復(fù)制各種程序的源碼以及發(fā)布在互聯(lián)網(wǎng)上，網(wǎng)絡(luò)功能比較強(qiáng)大。

2.目前主流服務(wù)器：Apache、 Nginx、 IIS

Unix/Linux操作系統(tǒng)下使用最廣泛的免費(fèi)HTTP服務(wù)器：Apache、Nginx。Windows（NT/2000/2003）操作系統(tǒng)使用ⅡS，綜合使用最多的Web服務(wù)器是 IIs、Apache。

選擇WEB服務(wù)器應(yīng)考慮的本身特性因素有：性能、安全性、日志和統(tǒng)計(jì)、虛擬主機(jī)、代理服務(wù)器、緩沖服務(wù)和集成應(yīng)用程序等。下面介紹目前最主流的三大web服務(wù)器：

① 大型

IIS：

微軟的Internet Information Services （IIS），IIS 允許在互聯(lián)網(wǎng)上發(fā)布信息，提供了一個(gè)圖形界面的管理工具，稱為Internet服務(wù)管理器，可用于監(jiān)視配置和控制Internet服務(wù)。IIS是一種Web服務(wù)組件，其中包括Web服務(wù)器（網(wǎng)頁(yè)瀏覽）、FTP服務(wù)器（文件傳輸）、NNTP服務(wù)器（新聞服務(wù)）和SMTP服務(wù)器（郵件傳輸），使得在網(wǎng)絡(luò)上發(fā)布信息很容易。它提供ISAPI(Intranet Server API）作為擴(kuò)展Web服務(wù)器功能的編程接口，它還提供一個(gè)Internet數(shù)據(jù)庫(kù)連接器，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的查詢和更新。

Apache：

Apache是世界上用的最多的Web服務(wù)器，源于NCSAhttpd服務(wù)器的補(bǔ)丁（pache 補(bǔ)丁）。它的成功之處主要在于：源代碼開(kāi)放、有開(kāi)放的開(kāi)發(fā)隊(duì)伍、支持跨平臺(tái)的應(yīng)用（可以運(yùn)行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺(tái)上）、可移植性。

② 小型

nginx：

nginx的模塊都是靜態(tài)編譯的，對(duì)fcgi的支持非常好，在處理鏈接的的方式上nginx支持epoll，支持通用語(yǔ)言接口（如：php、python、perl等），支持正向和反向代理、虛擬主機(jī)、url重寫(xiě)、壓縮傳輸?shù)取?/p>

（2）工作原理

當(dāng)客戶端Web瀏覽器連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件反饋到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類型）。Web服務(wù)器主要是處理向?yàn)g覽器發(fā)送HTML以供瀏覽，而應(yīng)用程序服務(wù)器提供訪問(wèn)商業(yè)邏輯的途徑以供客戶端應(yīng)用程序使用。應(yīng)用程序服務(wù)器可以管理自己的資源，例如看大門的工作（gate-keeping duties）包括安全（security），事務(wù)處理（transaction processing），資源池（resource pooling）， 和消息（messaging）。就象Web服務(wù)器一樣，應(yīng)用程序服務(wù)器配置了多種可擴(kuò)展（scalability）和容錯(cuò)（fault tolerance）技術(shù)。Web服務(wù)器的工作原理一般可分成如下4個(gè)步驟：

① 連接過(guò)程：是Web服務(wù)器和其瀏覽器之間所建立起來(lái)的一種連接。查看連接過(guò)程是否實(shí)現(xiàn)，用戶可以找到和打開(kāi)socket這個(gè)虛擬文件，這個(gè)文件的建立意味著連接過(guò)程這一步驟已經(jīng)成功建立。

② 請(qǐng)求過(guò)程：是Web的瀏覽器運(yùn)用socket這個(gè)文件向其服務(wù)器而提出各種請(qǐng)求。

③ 應(yīng)答過(guò)程：是運(yùn)用HTTP協(xié)議把在請(qǐng)求過(guò)程中所提出來(lái)的請(qǐng)求傳輸?shù)絎eb的服務(wù)器，進(jìn)而實(shí)施任務(wù)處理，然后運(yùn)用HTTP協(xié)議把任務(wù)處理的結(jié)果傳輸?shù)絎eb的瀏覽器，同時(shí)在Web的瀏覽器上面展示上述所請(qǐng)求之界面。

④ 關(guān)閉連接：是當(dāng)上一個(gè)步驟--應(yīng)答過(guò)程完成以后，Web服務(wù)器和其瀏覽器之間斷開(kāi)連接之過(guò)程。Web服務(wù)器上述4個(gè)步驟環(huán)環(huán)相扣、緊密相聯(lián)，邏輯性比較強(qiáng)，可以支持多個(gè)進(jìn)程、多個(gè)線程以及多個(gè)進(jìn)程與多個(gè)線程相混合的技術(shù)。

Web服務(wù)器可以解析HTTP協(xié)議。當(dāng)Web服務(wù)器接收到一個(gè)HTTP請(qǐng)求（request），會(huì)返回一個(gè)HTTP響應(yīng)（response）。為了處理一個(gè)request，Web服務(wù)器可以response一個(gè)靜態(tài)頁(yè)面（HTML頁(yè)面）或圖片，進(jìn)行頁(yè)面跳轉(zhuǎn)(redirect），或把動(dòng)態(tài)響應(yīng)委托給服務(wù)器端。Web服務(wù)器的代理模型非常簡(jiǎn)單。當(dāng)一個(gè)request被送到Web服務(wù)器里來(lái)時(shí)，它只單純的把request傳遞給可以很好的處理request的程序（服務(wù)器端腳本，如：CGI腳本，JSP腳本，servlets，ASP腳本，服務(wù)器端JavaScript等）。Web服務(wù)器僅僅提供一個(gè)可以執(zhí)行服務(wù)器端程序和返回（程序所產(chǎn)生的）響應(yīng)的環(huán)境，而不會(huì)超出職能范圍。服務(wù)器端程序功能通常有：事務(wù)處理、數(shù)據(jù)庫(kù)連接、和消息等。雖然Web服務(wù)器不支持事務(wù)處理或數(shù)據(jù)庫(kù)連接池，但它可以配置各種策略來(lái)實(shí)現(xiàn)容錯(cuò)性、可擴(kuò)展性（如：負(fù)載平衡、緩沖）。集群特征經(jīng)常被誤認(rèn)為僅僅是應(yīng)用程序服務(wù)器專有的特征。

（3）配置

如何設(shè)置默認(rèn)文檔；在同一臺(tái)服務(wù)器上架設(shè)多個(gè)Web站點(diǎn)；（可以通過(guò)改變端口號(hào)）創(chuàng)建Web虛擬目錄；

1、了解DNS主機(jī)名和IP地址。

如果此WEB服務(wù)器在Internet上，需向ISP申請(qǐng)和注冊(cè)此服務(wù)器的DNS主機(jī)名和IP地址。如果此服務(wù)器只在企業(yè)網(wǎng)內(nèi)使用，則在內(nèi)部的DNS服務(wù)器上注冊(cè)。

2、打開(kāi)服務(wù)器文檔，選擇"端口"-"Internet端口"，啟用"TCP/ IP端口"。

3、選擇"Internet協(xié)議"，完成以下選項(xiàng)后，保存文檔。

① 綁定主機(jī)名：

A、選擇"是"則您可在"主機(jī)名"項(xiàng)中輸入主機(jī)別名，WEB用戶可用此別名替代Domino服務(wù)器名訪問(wèn)WEB服務(wù)器。

B、選擇"否"（缺省）則不允許使用別名。

② DNS查詢： 選擇"是"則Domino服務(wù)器查詢發(fā)送請(qǐng)求的WEB客戶機(jī)的DNS名。

③ Domino日志文件和數(shù)據(jù)庫(kù)將包含WEB客戶機(jī)的DNS主機(jī)名： 選擇"否"（缺省）則不查詢，Domino日志文件和數(shù)據(jù)庫(kù)將只包含WEB客戶機(jī)的IP地址（ 注意：選擇"否"將提高Domino服務(wù)器性能，因?yàn)榉?wù)器不使用資源執(zhí)行DNS查詢 ）

④ "允許HTTP客戶瀏覽數(shù)據(jù)庫(kù)"：選擇"是"則允許WEB用戶在URL中使用OpenServer命令來(lái)顯示服務(wù)器上數(shù)據(jù)庫(kù)列表。選擇"否"（缺省）則不允許。但即使WEB用戶不能看到服務(wù)器上數(shù)據(jù)庫(kù)列表，他們?nèi)阅艽蜷_(kāi)有權(quán)限訪問(wèn)的單個(gè)數(shù)據(jù)庫(kù)。

4、啟動(dòng)HTTP任務(wù)。在服務(wù)器控制臺(tái)上，輸入：loap http

小型項(xiàng)目

（1）概念

1、Nginx（俄羅斯程序設(shè)計(jì)師Igor Sysoev用C語(yǔ)言進(jìn)行編寫(xiě)）是一款輕量級(jí)的Web 服務(wù)器/反向代理服務(wù)器及電子郵件（IMAP/POP3/SMTP）代理服務(wù)器。

2、特點(diǎn)：占有內(nèi)存少（在高連接并發(fā)的情況下，Nginx是Apache服務(wù)器不錯(cuò)的替代品，能夠支持高達(dá) 50,000 個(gè)并發(fā)連接數(shù)的響應(yīng)），并發(fā)能力強(qiáng)。

3、中國(guó)大陸使用nginx網(wǎng)站用戶有：百度、京東、新浪、網(wǎng)易、騰訊、淘寶等。

4、Nginx代碼完全用C語(yǔ)言從頭寫(xiě)成，已經(jīng)移植到許多體系結(jié)構(gòu)和操作系統(tǒng)，包括：Linux、FreeBSD、Solaris、Mac OS X、AIX以及Microsoft Windows。

5、Nginx有自己的函數(shù)庫(kù)，并且除了zlib、PCRE和OpenSSL之外，標(biāo)準(zhǔn)模塊只使用系統(tǒng)C庫(kù)函數(shù)。而且，如果不需要或者考慮到潛在的授權(quán)沖突，可以不使用這些第三方庫(kù)。

（2）安裝

官網(wǎng)：

選擇要安裝的版本：

（3）使用

打開(kāi)conf/nginx.conf，修改端口號(hào)，和主頁(yè)根地址為：打包后index.html的目錄

模擬域名配置（本地域名設(shè)置）：

在瀏覽器地址欄輸入配置好的“域名：端口號(hào)”回車：

安全開(kāi)發(fā)運(yùn)維必備的Nginx代理Web服務(wù)器性能優(yōu)化與安全加固配置

為了更好的指導(dǎo)部署與測(cè)試藝術(shù)升系統(tǒng)nginx網(wǎng)站服務(wù)器高性能同時(shí)下安全穩(wěn)定運(yùn)行,需要對(duì)nginx服務(wù)進(jìn)行調(diào)優(yōu)與加固;

本次進(jìn)行Nginx服務(wù)調(diào)優(yōu)加固主要從以下幾個(gè)部分：

本文檔僅供內(nèi)部使用，禁止外傳，幫助研發(fā)人員，運(yùn)維人員對(duì)系統(tǒng)長(zhǎng)期穩(wěn)定的運(yùn)行提供技術(shù)文檔參考。

Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器，也是一個(gè)IMAP/POP3/SMTP服務(wù)器。Nginx作為負(fù)載均衡服務(wù)器, Nginx 既可以在內(nèi)部直接支持 Rails 和 PHP 程序?qū)ν膺M(jìn)行服務(wù)，也可以支持作為 HTTP代理服務(wù)器對(duì)外進(jìn)行服務(wù)。

Nginx版本選擇:

項(xiàng)目結(jié)構(gòu):

Nginx文檔幫助:

Nginx首頁(yè)地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請(qǐng)求匹配的url實(shí)是一個(gè)正則表達(dá)式:

Nginx 匹配判斷表達(dá)式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開(kāi)啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡(luò)傳輸;

http_fastcgi_module模塊

nginx可以用來(lái)請(qǐng)求路由到FastCGI服務(wù)器運(yùn)行應(yīng)用程序由各種框架和PHP編程語(yǔ)言等。可以開(kāi)啟FastCGI的緩存功能以及將靜態(tài)資源進(jìn)行剝離，從而提高性能。

keepalive模塊

長(zhǎng)連接對(duì)性能有很大的影響，通過(guò)減少CPU和網(wǎng)絡(luò)開(kāi)銷需要開(kāi)啟或關(guān)閉連接;

http_ssl_module模塊

Nginx開(kāi)啟支持Https協(xié)議的SSL模塊

Linux內(nèi)核參數(shù)部分默認(rèn)值不適合高并發(fā),Linux內(nèi)核調(diào)優(yōu)，主要涉及到網(wǎng)絡(luò)和文件系統(tǒng)、內(nèi)存等的優(yōu)化，

下面是我常用的內(nèi)核調(diào)優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開(kāi)的文件，以及其他信息。NGINX 每個(gè)連接可以使用兩個(gè)文件描述符。

例如如果NGINX充當(dāng)代理時(shí)，通常一個(gè)文件描述符表示客戶端連接，另一個(gè)連接到代理服務(wù)器，如果開(kāi)啟了HTTP 保持連接，這個(gè)比例會(huì)更低（譯注：為什么更低呢）。

對(duì)于有大量連接服務(wù)的系統(tǒng)，下面的設(shè)置可能需要調(diào)整一下：

精簡(jiǎn)模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來(lái)越多,建議一般常用的服務(wù)器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級(jí)別穩(wěn)妥起見(jiàn)采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級(jí)別。

GCC編譯參數(shù)優(yōu)化 [可選項(xiàng)] 總共提供了5級(jí)編譯優(yōu)化級(jí)別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應(yīng)用的性能，調(diào)優(yōu)的時(shí)候web應(yīng)用不需要關(guān)掉但值得一提，因?yàn)樗鼈兊挠绊懣赡芎苤匾?/p>

簡(jiǎn)單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉(zhuǎn) (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因?yàn)榘踩渲貌缓线m導(dǎo)致的安全問(wèn)題,Nginx的默認(rèn)配置中存在一些安全問(wèn)題,例如版本號(hào)信息泄露、未配置使用SSL協(xié)議等。

對(duì)Nginx進(jìn)行安全配置可以有效的防范一些常見(jiàn)安全問(wèn)題，按照基線標(biāo)準(zhǔn)做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務(wù)器系統(tǒng)應(yīng)用安全運(yùn)行;

Nginx安全配置項(xiàng)：

溫馨提示: 在修改相應(yīng)的源代碼文件后需重新編譯。

設(shè)置成功后驗(yàn)證:

應(yīng)配置非root低權(quán)限用戶來(lái)運(yùn)行nginx服務(wù),設(shè)置如下建立Nginx用戶組和用戶，采用user指令指運(yùn)行用戶

加固方法:

我們應(yīng)該為提供的站點(diǎn)配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩琒SL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

不應(yīng)使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應(yīng)該使用較新的TLS協(xié)議也應(yīng)該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來(lái)提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術(shù)，如果他們的垃圾信息鏈接顯示在訪問(wèn)日志中，并且這些日志被搜索引擎掃描，則會(huì)對(duì)網(wǎng)站排名產(chǎn)生不利影響

加固方法:

當(dāng)惡意攻擊者采用掃描器進(jìn)行掃描時(shí)候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯(cuò)誤或者重定向;

Nginx支持webdav，雖然默認(rèn)情況下不會(huì)編譯。如果使用webdav，則應(yīng)該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應(yīng)設(shè)置為off

當(dāng)訪問(wèn)一個(gè)特制的URL時(shí)，如"../nginx.status"，stub_status模塊提供一個(gè)簡(jiǎn)短的Nginx服務(wù)器狀態(tài)摘要,大多數(shù)情況下不應(yīng)啟用此模塊。

加固方法：nginx.conf文件中stub_status不應(yīng)設(shè)置為：on

如果在瀏覽器中出現(xiàn)Nginx自動(dòng)生成的錯(cuò)誤消息，默認(rèn)情況下會(huì)包含Nginx的版本號(hào),這些信息可以被攻擊者用來(lái)幫助他們發(fā)現(xiàn)服務(wù)器的潛在漏洞

加固方法: 關(guān)閉"Server"響應(yīng)頭中輸出的Nginx版本號(hào)將server_tokens應(yīng)設(shè)置為：off

client_body_timeout設(shè)置請(qǐng)求體（request body）的讀超時(shí)時(shí)間。僅當(dāng)在一次readstep中，沒(méi)有得到請(qǐng)求體，就會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應(yīng)設(shè)置為：10

client_header_timeout設(shè)置等待client發(fā)送一個(gè)請(qǐng)求頭的超時(shí)時(shí)間（例如：GET / HTTP/1.1）。僅當(dāng)在一次read中沒(méi)有收到請(qǐng)求頭，才會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應(yīng)設(shè)置為：10

keepalive_timeout設(shè)置與client的keep-alive連接超時(shí)時(shí)間。服務(wù)器將會(huì)在這個(gè)時(shí)間后關(guān)閉連接。

加固方法：nginx.conf文件中keepalive_timeout應(yīng)設(shè)置為：55

send_timeout設(shè)置客戶端的響應(yīng)超時(shí)時(shí)間。這個(gè)設(shè)置不會(huì)用于整個(gè)轉(zhuǎn)發(fā)器，而是在兩次客戶端讀取操作之間。如果在這段時(shí)間內(nèi)，客戶端沒(méi)有讀取任何數(shù)據(jù)，Nginx就會(huì)關(guān)閉連接。

加固方法：nginx.conf文件中send_timeout應(yīng)設(shè)置為：10

GET和POST是Internet上最常用的方法。Web服務(wù)器方法在RFC 2616中定義禁用不需要實(shí)現(xiàn)的可用方法。

加固方法:

limit_zone 配置項(xiàng)限制來(lái)自客戶端的同時(shí)連接數(shù)。通過(guò)此模塊可以從一個(gè)地址限制分配會(huì)話的同時(shí)連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應(yīng)設(shè)置為：slimits $binary_remote_addr 5m

該配置項(xiàng)控制一個(gè)會(huì)話同時(shí)連接的最大數(shù)量，即限制來(lái)自單個(gè)IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應(yīng)設(shè)置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實(shí)Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進(jìn)行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時(shí)加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點(diǎn)引用我們的靜態(tài)資源，我們需要設(shè)置那些域名可以訪問(wèn)我們的靜態(tài)資源。

描述: 下面收集了Web服務(wù)中常規(guī)的安全響應(yīng)頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進(jìn)行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務(wù)器上, 導(dǎo)致服務(wù)器被警告關(guān)停，將會(huì)對(duì)業(yè)務(wù)或者SEO排名以及企業(yè)形象造成影響，我們可以通過(guò)如下方式進(jìn)行防范。

執(zhí)行結(jié)果:

描述: 有時(shí)你的網(wǎng)站可能只需要被某一IP或者IP段的地址請(qǐng)求訪問(wèn)，那么非白名單中的地址訪問(wèn)將被阻止訪問(wèn), 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實(shí)現(xiàn)這個(gè)合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負(fù)載網(wǎng)站使用PHP-FPM管理FastCGI對(duì)于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開(kāi) resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

nginx漏洞會(huì)被修改頁(yè)面嗎為什么

會(huì)。為了保障 Nginx 服務(wù)器的安全性。

Nginx 漏洞的影響因漏洞的具體性質(zhì)而異，不同的漏洞可能會(huì)導(dǎo)致不同的影響。有些漏洞可能會(huì)影響 Nginx 的安全性能，導(dǎo)致攻擊者可以利用漏洞進(jìn)行未經(jīng)授權(quán)的訪問(wèn)、篡改或者刪除 Nginx 服務(wù)器上的文件。為了保障 Nginx 服務(wù)器的安全性，會(huì)及時(shí)修復(fù)漏洞、加強(qiáng)安全措施，以避免攻擊者利用漏洞進(jìn)行攻擊。

Nginx 漏洞是指 Nginx 軟件在設(shè)計(jì)、開(kāi)發(fā)、部署和運(yùn)行過(guò)程中出現(xiàn)的安全問(wèn)題和缺陷。Nginx 是一款開(kāi)源的高性能 Web 服務(wù)器和反向代理服務(wù)器，廣泛應(yīng)用于各種網(wǎng)絡(luò)應(yīng)用和服務(wù)中。

如何在NGINX網(wǎng)站服務(wù)器中實(shí)施SSL完美前向保密技術(shù)

先不妨進(jìn)入到NGINX的配置目錄：

cd /etc/nginx/

我們需要生成安全性足夠強(qiáng)的Diffie-Hellman參數(shù)。一些人認(rèn)為，4096比特過(guò)長(zhǎng)了，會(huì)給系統(tǒng)的處理器帶來(lái)不必要的負(fù)擔(dān);但是就現(xiàn)在的計(jì)算能力而言，這似乎值得一試。想了解更多信息，請(qǐng)參閱下面的“參考資料”部分。

openssl dhparam -out dh4096.pem 4096

要是有這個(gè)配置文件很方便，該文件是專門針對(duì)手頭的任務(wù)，在include文件中被劃分開(kāi)來(lái);這樣一來(lái)，更容易跨數(shù)量眾多的系統(tǒng)來(lái)實(shí)施完美前向保密。

vi /etc/nginx/perfect-forward-secrecy.conf

將下列內(nèi)容粘貼到上述文件中：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \

EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \

EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";

ssl_dhparam dh4096.pem;