Hlavní navigace

Tipy na zabezpečení a zrychlení nginx

Jan Fikar 22. 12. 2015

Před časem jsme informovali o tipech pro Apache, nyní na serveru Tecmint vychází dvanáct tipů na zabezpečení a zrychlení webového serveru nginx. Dozvíte se, jak vypnout nepotřebné moduly, proč zakázat server_tokens, jak zakázat nechtěné user_agentsmethods.

Dále nastavíme vyrovnávací paměť, omezíme počet spojení z jedné IP, zakážeme hotlinkování obrázků, kde je to možné, zakážeme SSL a místo něj dáme TLS a na závěr přesměrujeme HTTP provoz na HTTPS .

Našli jste v článku chybu?
  • 25. 12. 2015 22:44

    Vít Šesták

    Moc bych ten článek nedoporučoval.

    1. Udržovat Nginx aktuální – relativně OK, ale hlavní jsou případné bezpečnostní updaty. Při kompilaci ze zdrojáků může být zbytečně moc ruční práce ty případné bezpečnostní updaty řešit. Nezmiňují se ale o Debianím repozitáři s aktuální verzí, což mi přijde v některých směrech jako lepší alternativa.

    2. Odstranit nepotřebné moduly – pokud mám trošku RAMky ušetřit za cenu ruční kompilace, tak říkám ne. Attack surface tím nejspíš nesnížím, zmíněné moduly můžu nejspíš vypnout i v konfiguráku.

    3. Vypnutí server_tokens mi přijde jako asi nejlepší rada z toho článku :)

    4. Blokace UA: Hmm, mohlo by se teoreticky hodit, ale asi to nevyužiju.

    5. Statický obsah to má AFAIK defaultně a na dynamickém obsahu si to pořeší samotná aplikace. Proč se s tím párat v Nginxu?

    6. WTF? Nastavit velikosti bufferů může mít nějaký smysl z hlediska výkonu, ale pochybuju, že tím zabráním buffer overflow. A radši na to nebudu sahat, dokud tomu dostatečně nerozumím. Ostatně, s defaultními hodnotami bude server asi počítat nejvíc (tj. v případě chyby projevující se jen u určitých velikostí bufferu bude defaultní konfigurace právě ta nejvíce otestovaná), takže to může mít teoreticky přesně opačný efekt.

    7. Limit počtu spojení – taky bych na to radši nesahal. Co vím, kolik lidí přistupuje z téže IP adresy skrze NAT? Kdysi jsem četl, že Vodafone má údajně snad jen 8 IP adres na celou ČR pro mobilní internet. Dovedete si představit, co s tím udělá omezení počtu přístupů z jedné IP adresy… Taky se to bude „fajn“ ladit, až si někdo bude stěžovat, že mu to nejede.

    8. OK, error logy se hodí, ale přijde mi to trošku jako cpt. Obvious.

    9. Zákaz hotlinkování – mohlo by se hodit, ale obávám se, že přes vhodný meta tag můžu zakázat posílání refereru a tím obejít toto opatření. A odstřihnout lidi bez refereru je už docela kontroverzní.

    10. OK, zakázat SSL se hodí, ale dá se toho řešit víc. Spíš bych doporučil https://mozilla.github.io/server-side-tls/ssl-config-generator/ , který se tomu věnuje podrobněji.

    11. Cool, self-signed certifikát. To asi nemá moc široké využití. A v době Let's Encrypt je to obzvlášť ostuda.

    12. OK, takové přesměrování se hodí, ale je to spíš drobnost, kterou si v případě potřeby vygooglím. Kdyby řešil aspoň HSTS… (To mimochodem řeší https://mozilla.github.io/server-side-tls/ssl-config-generator/ .)


    Sečteno a podtrženo, prakticky jediný přínos článku vidím v zákazu server_tokens.

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu