Nginx的配置安全加固分享，涉及预防多方面的潜在危险

cnpanel

.
看到大家重炒古老的NGINX的FAST-CGI解析PHP_PATH_INFO漏洞，真不知该做何感想，下面分享一段NGINX的配置代码，具体作用附有简单注释。
大家要记住一个原则，那就是：能执行php程序的目录一定不要开放读写权限，而可以读写的目录(比如上传)一定不要赋予php执行权限。

这段代码需要放在server段里面(较前位置，最好放在location / {...}前面)，也可以存成一个文件在每个vhost里include一下。

1. # 2011 (C) cnpanel
   
2. # Disable visitors without agent
   
3. if ($http_user_agent ~ ^$) { return  412; }
   
4. # Disable possible Apache access files
   
5. location ~ /\.ht {deny  all;}
   
6. # Never can not visit or download files or DIRs starting with #
   
7. location ~ /\# {deny all;}
   
8. # Disable risk request in some DIRs for secure
   
9. location ~* /(image|images|img|imgs|upload|uploads|upimg|upimgs|upfile|upfiles|down|download|downloads|attachment|attachments|js|css|style|styles|tpl|template|templates|theme|themes|view|views|lang|language|languages|setting|settings|app|apps|include|includes|class|classes|mod|mods|model|models|lib|libs|control|controls|source|sources|plugin|plugins|data|datas|database|tmp|temp|ipdata|html|avatar|avatars)/(.*)\.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ {deny all;}
   

复制代码

【提示】Igor说过if clause和正则会降低一点点nginx的性能，极高并发时会比较明显 （但是谁的配置离的了这两样呢？）
【声明】这段代码的思路是网上综合而来，是我即将发布的lnmp一键脚本的关于nginx的配置的一个文件里面摘抄出来的，绝无雷同，保留权利。

最后再说一句，安全是相对的，是全方位、综合性的，nginx再安全也敌不过系统被人拿shell，或者如果网站程序本身就是筛子，那都根本不用费力气搞什么牛啊马啊的了

配置的最后一句有可能对某些冷门或自编程序不兼容，使用有什么异常也可以留言
如果有什么指教请回复，欢迎大家交流！

hotsnow

学习一下

WAKAKA

mark

wdlth

用白名单。

四师兄

留言做记号 谢谢分享

jasontse

http://blog.s135.com/nginx_0day/
完美解决方案

Poison

apache跑php 有问题 木有？

jasontse

木有

cnpanel

原帖由 jasontse 于 2011-6-9 08:32 发表
http://blog.s135.com/nginx_0day/
完美解决方案

什么叫完美？

这段代码不是单独针对什么历史0day的，这段代码能做的更多

cnpanel

原帖由 ssh 于 2011-6-9 08:54 发表
apache跑php 有问题 木有？

Nginx如果作为前端，这段代码同样会对任何后端起的相同的保护作用，当然仅限于网站层面上

不管后端是Apache、IIS还是Tomcat等等