Nginx安全基线检查

检查是否配置Nginx账号锁定策略。 | 身份鉴别

描述

  1. 执行系统命令passwd -S nginx来查看锁定状态
    出现Password locked证明锁定成功

如:nginx LK ..... (Password locked.)或nginx L ....

  1. 默认符合,修改后才有(默认已符合)
  2. 执行系统命令passwd -l nginx进行锁定

加固建议

  • 配置Nginx账号登录锁定策略: Nginx服务建议使用非root用户(如nginx,nobody)启动,并且确保启动用户的状态为锁定状态。
  • 可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。命令 passwd -S <用户> 如passwd -S nginx可查看用户状态。
  • 修改配置文件中的nginx启动用户修改为nginx或nobody 如: user nobody; 如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf

Nginx后端服务指定的Header隐藏状态 | 服务配置

描述

隐藏Nginx后端服务指定Header的状态

加固建议

  • 打开conf/nginx.conf配置文件;
  • 在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;

Nginx的WEB访问日志记录状态 | 服务配置

描述

开启Nginx的WEB访问日志记录

加固建议

  • 打开conf/nginx.conf配置文件;
  • 在http下配置access_log项
    access_log logs/host.access.log main;
  • 并删除off项 如出现多项不支持,执行ln <conf_path> /etc/nginx/nginx.conf

确保NGINX配置文件权限为644 | 文件权限

描述

把控配置文件权限以抵御外来攻击

加固建议

执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)

nginxconfetc用户passwd配置文件锁定