一 日志审计
1 应记录访问日志
修改nginx.conf ,设置access_log
2 应记录错误日志
修改nginx.conf ,设置error_log
二 其他安全
1 应配置自定义错误信息
修改nginx.conf,在每个站点server里添加自定义错误页面,例如
error_page 404 /404.html;
2 应配置客户端保持活动的超市时间
修改nginx.conf,具体是指如下:
keepalive_timeout 5 5;
# 第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,制定了消息头保持活动的有效时间
3 应配置客户端请求读取超时时间
修改nginx.conf
#设置客户端请求头读取超时时间
client_header_timeout 10;
#设置客户端请求体读取超时时间
client_body_timeout 10;
4 应配置响应客户端的超时时间
sendZ_timeout 10;
5 应隐藏nginx版本信息
修改nginx解压路径(如/usr/local/nginx-1.5.6/src/http/ngx_http_header_filter_moudule.c)文件的第48和49行,自定义头信息:
static char ngx_http_server_string[]="Server:xxx.com" CRLF;
stati char ngx_http_server_full_string[]="Server:xxx.com" CRLF;
添加如下代码到nginx.conf
server_tokens off;
6 限制客户单下载的并发连接数
编辑nginx.conf
7 限制客户端下载速度
8 配置防盗链接设置
修改nginx.conf
9 配置IP访问范围
配置nginx.conf
location /{
deny 192.168.1.1 #拒绝IP
allow 192.168.1.0/24 #允许网段
}
