基线检查

1、身份鉴别

1、账户安全

项目

详情

说明

设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

2、功能配置

1、请求主体超时

项目

详情

说明

设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求主体超时时间。 client_body_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值。

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

2、请求头超时

项目

详情

说明

设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

3、会话保持超时

项目

详情

说明

设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端连接保持会话超时时间。 keepalive_timeout 60; 设置客户端连接保持会话的超时时间为 10,具体数值可根据应用业务场景设 置合适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

4、DNS解析超时

项目

详情

说明

DNS 解析超时时间

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置 DNS 解析超时时间。 resolver_timeout 60 设置 DNS 解析超时时间为 60,具体数值可根据应用业务场景设置合适的参 数值。

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

5、响应客户端超时

项目

详情

说明

设置响应客户端的超时时间。当客户端没有任何活动,Nginx 将会关闭连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置响应客户端的超时时间。 send_timeout 600; 设置响应客户端的超时时间为 60,具体数值可根据应用业务场景设置合适 的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

3、日志配置

1、错误日志

项目

详情

说明

开启错误日志记录功能,对运行错误进行收集。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉 error_log 前面的"#"号注释符。 error_log logs/error.log;

符合性依据

1、查看/logs/error.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。

2、访问日志

项目

详情

说明

开启访问日志记录功能,对运行错误进行记录。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉#access_log 前面的"#"号注释符。 access_log logs/access.log;

符合性依据

1、查看/logs/access.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。

4、防攻击管理

1、错误页面处理

项目

详情

说明

Nginx 错误页面重定向

检测步骤

1、参考配置操作 (1) 修改 nginx.conf 配置文件: error_page 400 error/400.html; error_page 403 error/403.html; error_page 404 error/404.html; error_page 500 error/500.html; error_page 501 error/501.html; error_page 502 error/502.html; error_page 503 error/503.html; xxx.html 为要设置的错误页面。 (2)重新启动 Nginx 服务

符合性依据

在 URL 地址栏中输入 http://ip/xxxxxxx~~~(一个不存在的页面) 检测是否指向指定错误页面

2、敏感信息保护

项目

详情

说明

设置服务器的回显内容不含有中间件版本信息。

检测步骤

1、参考配置操作 修改 nginx.conf 配置文件: http { server_tokens off; } 设置 server_tokens 值为 off,即可在所有地方隐藏 nginx 的版本信息。

符合性依据

1、探测的回显内容不包含中间件版本信息。 2、检查/nginx.conf 配置文件是否具有相应设置

3、目录遍历检查

项目

详情

说明

设置服务器目录浏览功能关闭

检测步骤

1、参考配置操作 修改 nginx.conf 配置文件: http { autoindex off; } 设置 autoindex 值为 off,即可关闭目录浏览功能,阻止目录遍历

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

4、敏感文件访问

项目

详情

说明

用户可以通过 location 配置实现对网页下敏感文件的过滤防护。 检

检测步骤

1、参考配置操作 修改 nginx.conf 的配置文件中 location 设置。 Location~.*.(sql|log|txt|rar|zip|sh|py|svn|git){deny all;}

符合性依据

对下列文件类型不少于一项(sql、log、txt、rar、zip、sh、py、svn、git)进行 过滤设置即为符合: 其中正则匹配式涉及到的各文件类型,需要根据实际业务情况进行修改

影响性分析

加固操作对业务的影响需要在测试环境中进行测试。

5、补丁管理

1、补丁更新

项目

详情

说明

定期对 Nginx 进行版本升级

检测步骤

1、参考配置操作 (1)可以用-v 参数查看 nginx 的版本。 (2)假设你的 nginx 安装在/usr/local/nginx 目录 #/usr/local/nginx/sbin/nginx -v 或者通过访问 nginx 的页面,查看响应头中的 server 信息

符合性依据

1、与官网版本对照是否为最新版本 2、可根据实际业务需求更新版本

上一页nginx下一页tomcat

最后更新于