基线检查
1、身份鉴别
1、账户安全
项目 | 详情 |
说明 | 设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
2、功能配置
1、请求主体超时
项目 | 详情 |
说明 | 设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求主体超时时间。 client_body_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值。 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
2、请求头超时
项目 | 详情 |
说明 | 设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
3、会话保持超时
项目 | 详情 |
说明 | 设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端连接保持会话超时时间。 keepalive_timeout 60; 设置客户端连接保持会话的超时时间为 10,具体数值可根据应用业务场景设 置合适的参数值 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
4、DNS解析超时
项目 | 详情 |
说明 | DNS 解析超时时间 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置 DNS 解析超时时间。 resolver_timeout 60 设置 DNS 解析超时时间为 60,具体数值可根据应用业务场景设置合适的参 数值。 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
5、响应客户端超时
项目 | 详情 |
说明 | 设置响应客户端的超时时间。当客户端没有任何活动,Nginx 将会关闭连接 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,设置响应客户端的超时时间。 send_timeout 600; 设置响应客户端的超时时间为 60,具体数值可根据应用业务场景设置合适 的参数值 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
3、日志配置
1、错误日志
项目 | 详情 |
说明 | 开启错误日志记录功能,对运行错误进行收集。 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉 error_log 前面的"#"号注释符。 error_log logs/error.log; |
符合性依据 | 1、查看/logs/error.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。 |
2、访问日志
项目 | 详情 |
说明 | 开启访问日志记录功能,对运行错误进行记录。 |
检测步骤 | 1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉#access_log 前面的"#"号注释符。 access_log logs/access.log; |
符合性依据 | 1、查看/logs/access.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。 |
4、防攻击管理
1、错误页面处理
项目 | 详情 |
说明 | Nginx 错误页面重定向 |
检测步骤 | 1、参考配置操作 (1) 修改 nginx.conf 配置文件: error_page 400 error/400.html; error_page 403 error/403.html; error_page 404 error/404.html; error_page 500 error/500.html; error_page 501 error/501.html; error_page 502 error/502.html; error_page 503 error/503.html; xxx.html 为要设置的错误页面。 (2)重新启动 Nginx 服务 |
符合性依据 | 在 URL 地址栏中输入 http://ip/xxxxxxx~~~(一个不存在的页面) 检测是否指向指定错误页面 |
2、敏感信息保护
项目 | 详情 |
说明 | 设置服务器的回显内容不含有中间件版本信息。 |
检测步骤 | 1、参考配置操作 修改 nginx.conf 配置文件: http { server_tokens off; } 设置 server_tokens 值为 off,即可在所有地方隐藏 nginx 的版本信息。 |
符合性依据 | 1、探测的回显内容不包含中间件版本信息。 2、检查/nginx.conf 配置文件是否具有相应设置 |
3、目录遍历检查
项目 | 详情 |
说明 | 设置服务器目录浏览功能关闭 |
检测步骤 | 1、参考配置操作 修改 nginx.conf 配置文件: http { autoindex off; } 设置 autoindex 值为 off,即可关闭目录浏览功能,阻止目录遍历 |
符合性依据 | 检查/nginx.conf 配置文件是否具有相应设置 |
4、敏感文件访问
项目 | 详情 |
说明 | 用户可以通过 location 配置实现对网页下敏感文件的过滤防护。 检 |
检测步骤 | 1、参考配置操作 修改 nginx.conf 的配置文件中 location 设置。 Location~.*.(sql|log|txt|rar|zip|sh|py|svn|git){deny all;} |
符合性依据 | 对下列文件类型不少于一项(sql、log、txt、rar、zip、sh、py、svn、git)进行 过滤设置即为符合: 其中正则匹配式涉及到的各文件类型,需要根据实际业务情况进行修改 |
影响性分析 | 加固操作对业务的影响需要在测试环境中进行测试。 |
5、补丁管理
1、补丁更新
项目 | 详情 |
说明 | 定期对 Nginx 进行版本升级 |
检测步骤 | 1、参考配置操作 (1)可以用-v 参数查看 nginx 的版本。 (2)假设你的 nginx 安装在/usr/local/nginx 目录 #/usr/local/nginx/sbin/nginx -v 或者通过访问 nginx 的页面,查看响应头中的 server 信息 |
符合性依据 | 1、与官网版本对照是否为最新版本 2、可根据实际业务需求更新版本 |
最后更新于