Nginx是Web服务器领域的后起之秀，以其现代软件架构设计所提供的高性能和灵活性而被越来越多的网站所采用，在2018年2月活跃网站中的使用比例已达到21.23%（数据来源：Netcraft），是继Apache之后的第二大Web服务器软件。在该部分，我们重点关注2个方面的Nginx的安全设置：使用HTTPS加密和使用NAXSI加固。

使用HTTPS加密网站

从CA签发机构购买了SSL证书后，在Nginx上配置HTTPS的方法是在配置文件nginx.conf中，添加以下配置项：

ssl on;
ssl_certificate /opt/cert/server.crt; #指定证书存储位置
ssl_certificate_key /opt/cert/server.key; #指定私钥存储位置
ssl_session_timeout 5m; #指定SSL会话超时时间
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定SSL协议版本
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#指定SSL加密算法
ssl_prefer_server_ciphers on; #指定优先采用服务器端加密算法

在配置完成后，使用nginx -t检查配置项是否有误。如无报错，则可以通过重启nginx进程来使配置文件生效。

使用NAXSI加固Web

NAXSI是Nginx服务器上常见的Web应用防火墙。NAXSI的含义是“Nginx Anti XSS & SQL Injection”（Nginx防御跨站脚本和SQL注入），其官方网站是https://github.com/nbs-system/naxsi。从技术上来说，NAXSI是Nginx的第三方模块，适用于很多类UNIX的操作系统平台上。

NAXSI和ModSecurity相比，有如下的不同点：

NAXSI可以通过学习模式建立白名单机制，从而使用默认拒绝的方式来最大化的保障Web安全。这通常适用于网站代码和功能不频繁变化的场景，否则极易产生误报。
在黑名单模式下，NAXSI规则更加简洁，它通过对HTTP请求体中出现的所有恶意字符设置分数并求和、达到一定阈值则拒绝请求的方式来实现安全防御；而在ModSecurity使用场景下，通常通过设置精细的正则表达式在一条规则中即判断是放行或者禁止。

NAXSI的核心规则集下载地址是：https://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules。

我们通过以下规则来熟悉NAXSI的原理：

MainRule "str:\"" "msg:double quote" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8,$XSS:8" id:1001;
 MainRule "str:0x" "msg:0x, possible hex encoding" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:2" id:1002;
MainRule "str:'" "msg:simple quote" "mz:ARGS|BODY|URL|$HEADERS_VAR:Cookie" "s:$SQL:4,$XSS:8" id:1013;

其中：

id为1001的规则表示，如果在请求体（BODY）、统一资源定位符（URL）、请求参数（ARGS）、请求头部（Cookie）任何地方出现了双引号（"），那么就把该请求可能是SQL注入、跨站脚本攻击的判断分数分别设置为8
id为1002的规则表示，如果在请求体（BODY）、统一资源定位符（URL）、请求参数（ARGS）、请求头部（Cookie）任何地方出现了双引号（"），那么就把该请求可能是SQL注入判断分数设置为2
id为1013的规则表示，如果在请求体（BODY）、统一资源定位符（URL）、请求参数（ARGS）、请求头部（Cookie）任何地方出现了单引号（’），那么就把该请求可能是SQL注入的判断分数设置为4并且把跨站脚本攻击的判断分数设置为8

通过在Nginx配置文件中加入以下示例片段即可根据每条规则得出来的分数累加值加以控制，也就是放行或者禁止：

CheckRule "$SQL >= 8" BLOCK;
CheckRule "$RFI >= 8" BLOCK;
CheckRule "$TRAVERSAL >= 4" BLOCK;
CheckRule "$EVADE >= 4" BLOCK;
CheckRule "$XSS >= 8" BLOCK;

关注Nginx漏洞情报

Nginx漏洞信息会由官方发布，笔者建议Nginx管理员重点下相关漏洞。在出现高危漏洞时，及时进行版本升级。

本文内容来自作者图书作品《Linux 系统安全：纵深防御、安全扫描与入侵检测》，点击购买。

创作场景

Linux 系统安全（七）：Nginx 安全