nginx基本安全优化

一、调整参数隐藏nginx软件版本号信息

查看nginx版本信息：

[root@nginx conf]# curl -I 192.168.200.102
HTTP/1.1 200 OK
Server: nginx/1.8.1　　　　#这里显示了nginx的版本号即软件名称；
Date: Fri, 31 Aug 2018 09:20:47 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 31 Aug 2018 08:41:19 GMT
Connection: keep-alive
ETag: "5b88ff2f-264"
Accept-Ranges: bytes

 隐藏nginx版本号只需要在nginx.conf文件中的http标签段内加入“server_tokens off”参数即可。

server_tokens参数的官方说明如下：

syntax：    server_tokens on | off;    #此行为参数语法，on为开启状态，off为关闭状态；
default:    server_tokens on;            #此行意思是不配置改参数，软件默认情况的结果；
context:    http,server,location          #此行为server_tokens参数可以放置的位置;
参数作用：激活或禁止nginx的版本信息显示在报错信息和server的响应首部位置中；
Enables or disables emitting of nginx version in error messages and inter"Server" response header field.    #此行是参数的原文作用；

官方资料地址：

操作如下：

[root@nginx conf]# cat nginx.conf
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
	server_tokens off;        #加入这一行即可；
    keepalive_timeout  65;
    server {
        listen       80;
        server_name  localhost;
        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

再次查看，nginx的版本信息就隐藏了：

[root@nginx conf]# systemctl reload nginx

[root@nginx conf]# curl -I 192.168.200.102
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 31 Aug 2018 09:34:16 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 31 Aug 2018 08:41:19 GMT
Connection: keep-alive
ETag: "5b88ff2f-264"
Accept-Ranges: bytes

 二、更改源码隐藏nginx软件名

建议在编译安装前修改，安装后修改软件名，需要重新编译。

第一步：依次修改3个nginx源码文件：

修改nginx.h文件
路径为：nginx源码包下面的 src/core/nginx.h

修改后如下：
...
#define NGINX_VERSION      "1.0"
#define NGINX_VER          "Web" NGINX_VERSION
...
#define NGINX_VAR          "Web"
...

修改ngx_http_header_filter_module.c文件
路径为：nginx源码包下面的 src/http/ngx_http_header_filter_module.c

修改第49行，修改后如下：
static char ngx_http_server_string[] = "Server: Web" CRLF;
也可以 通过sed替换修改，命令如下：
sed -i '49 $#nginx#Web#g' ngx_http_header_filter_module.c

修改ngx_http_header_filter_module.c文件
路径为：nginx源码包下面的 src/http/ngx_http_header_filter_module.c
修改后如下：
第22行："<hr><center>Web</center>" CRLF
第29行："<hr><center>Web</center>" CRLF

 第二步：修改后编译软件使其生效（如果是已经安装好的，需要重新编译。）

systemctl stop nginx

./configure --user=www --group=www --prefix=/application/nginx-1.8.1 --with-http_stub_status_module --with-http_ssl_module

make && make install

systemctl start nginx

[root@nginx nginx-1.8.1]# curl -I 192.168.200.102
HTTP/1.1 200 OK
Server: Web            #服务名称和版本号已隐藏；
Date: Fri, 31 Aug 2018 15:00:46 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 31 Aug 2018 08:41:19 GMT
Connection: keep-alive
ETag: "5b88ff2f-264"
Accept-Ranges: bytes

 三、更改nginx服务的默认用户

 查看nginx服务对应的默认用户，一般情况下，nginx服务启动后，默认使用的用户是nobody，查看默认的配置文件，如下：

[root@nginx conf]# grep '#user' nginx.conf.default
#user  nobody;

 更改nginx的默认用户，操作如下：

一、为nginx服务建立新用户
[root@nginx conf]# useradd www -s /sbin/nologin -M
[root@nginx conf]# id www
uid=1002(www) gid=1002(www) 组=1002(www)

二、配置nginx服务，让其使用刚建立的nginx用户
第一种为直接更改配置文件参数，将默认的#user nobody;改为如下内容：
user nginx nginx

第二种方法为直接在编译nginx软件是指定编译的用户和组，命令如下：
./configure --user=www --group=www --prefix=/application/nginx-1.8.1 --with-http_stub_status_module --with-http_ssl_module

三、检查更改用户的效果
[root@nginx conf]# ps -ef |grep nginx|grep -v frep
root       7360      1  0 23:00 ?        00:00:00 nginx: master process /application/nginx/sbin/nginx
www        7362   7360  0 23:00 ?        00:00:00 nginx: worker process
root       7416   1271  0 23:16 pts/0    00:00:00 grep --color=auto nginx

 通过查看更改后的nginx进程，可以看到worker processes进程对应的用户都变成了nginx。当然，nginx的主进程还是以root身份运行的，后面的文章中会有更改root主进程服务用户的深度安全优化与架构技巧。