关于Linux+Nginx 的安全检测笔记
一、 检测到弱密码套件RSA
解决办法1:在nginx配置文件中,对被检测出的接口配置禁用该套件
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4:!RSA:!SHA; #使用此加密套件。
解决方法2:SSL 和 TLS 部署最佳实践:使用安全密码套件
二、 检测到弱密码套件SHA1
同上解决方案
三、 检测到使用了老版本TLS
解决办法1:使用TLS v1.1 和 v1.2 ,目前他们已知的安全问题,只有 v1.2 提供了现代的加密算法。
四、 检测到不必要的响应头(Server)
*注意:之前尝试过server_tokens off方法的话,一定要去掉,不然就会引起访问https时,网页无法正常显示,直接显示源码
解决办法1:去官网下载对应版本的nginx压缩包到服务器上,解压后修改ngx_http_header_filter_module.c文件。如下
修改前
static u_char ngx_http_server_string[] = "Server: nginx" CRLF;
static u_char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "Server: " NGINX_VER_BUILD CRLF;
修改后
static u_char ngx_http_server_string[] = "" CRLF;
static u_char ngx_http_server_full_string[] = "" NGINX_VER CRLF;
static u_char ngx_http_server_build_string[] = "" NGINX_VER_BUILD CRLF;
修改完成后重新编译安装nginx,这个步骤自己查一下,本人是把必要的原配置备份好后直接重新安装上传配置的方便。