nginx站点安全

zpjx

　　Nginx站点安全
　　一、nginx简介
　　Nginx("engine x") 是一个高性能的 HTTP 和反向代理服务器，也是一个IMAP/POP3/SMTP 代理服务器。Nginx由Igor Sysoev 为俄罗斯访问量第二的Rambler.ru 站点开发。
　　Nginx ("engine x") 是一个高性能的 HTTP 和反向代理服务器，也是一个 IMAP/POP3/SMTP代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日，nginx 1.0.4发布。
　　支持高并发连接．官方测试的是５ｗ并发连接但在实际生产中可制成2-4w并发连接数,得益于nginx使用最新的epoll(linux 2.6内核)和kqueue(freebsd)网络I/O模型.而apache使用的则是传统的select模型,其比较稳定的prefork模式为多进程模式,需要经常派生子进程,所消耗的CPU等服务器资源要比nginx高的多.
　　二、安装nginx
　　安装环境：虚拟机vmware10下centos6.4-64位操作系统最小化安装
　　软件版本：nginx-1.4.4.tar 下载地址：www.nginx.org
　　还需要我们安装事件库，因为nginx是事件触发机制。软件包版本：libevent-2.0.16-stable.tar
　　还需要注意的是预编译环境，在安装时会检测预编译环境的，如果出错，一定要检测自己自己的预编译环境。
　　安装过程：
　　[root@ahao~]# tar -zxvf nginx-1.4.4.tar.gz -C /usr/local/src
　　[root@ahao~]# cd /usr/local/src/nginx-1.4.4/
　　[root@ahaonginx-1.4.4]# groupadd -r nginx
　　[root@ahaonginx-1.4.4]# useradd -r -g nginx -s /sbin/nologin -M nginx
　　[root@ahaonginx-1.4.4]# yum install pcre-devel
　　[root@ahao~]# tar -zxvf libevent-2.0.16-stable.tar.gz -C /usr/local/src
　　[root@ahao~]# cd /usr/local/src/libevent-2.0.16-stable/
　　[root@ahaolibevent-2.0.16-stable]# ./configure --prefix=/usr/local/libevent
　　[root@ahaolibevent-2.0.16-stable]# make && make install
　　[root@ahaolibevent-2.0.16-stable]# cd /usr/local/libevent
　　[root@ahaolibevent]# ll lib
　　[root@ahaolibevent]# vim /etc/ld.so.conf.d/libevent.conf//添加如下目录：
　　/usr/local/libevent/lib
　　[root@ahaolibevent]# ldconfig /重新配置
　　[root@ahaolibevent]# ldconfig -pv |grep libevent 查看一下
　　[root@ahao~]# cd /usr/local/src/nginx-1.4.4/
　　[root@ahao nginx-1.4.4]# ./configure  --conf-path=/etc/nginx/nginx.conf  --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log  --pid-path=/var/run/nginx/nginx.pid  --lock-path=/var/lock/nginx.lock  --user=nginx --group=nginx  --with-http_ssl_module  --with-http_flv_module  --with-http_stub_status_module --with-http_gzip_static_module --http-client-body-temp-path=/var/tmp/nginx/client/--http-proxy-temp-path=/var/tmp/nginx/proxy/  --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/  --with-pcre
　　[root@ahao nginx-1.4.4]# yum install openssl-devel  //出现错误，需要安装openssl-devel包
　　[root@ahaonginx-1.4.4]# make && make install
　　[root@ahaonginx]# cd /usr/local/nginx/sbin/
　　[root@ahaosbin]# ./nginx –t  /测试安装之后的配置文件是否有错，
　　mkdir:cannot create directory `/var/tmp/nginx/client': No such file or directory
　　[root@ahaosbin]# mkdir -pv  /var/tmp/nginx/client
　　[root@ahaosbin]# ./nginx –t
　　nginx:the configuration file /etc/nginx/nginx.conf syntax is ok
　　nginx:configuration file /etc/nginx/nginx.conf test is successful
　　编写控制脚本：
　　#!/bin/bash
　　# ./etc/init.d/functions
　　prog=/usr/local/nginx/sbin/nginx
　　lockfile=/var/lock/nginx.lock
　　start (){
　　if [ -e $lockfile ];then
　　echo "the nginx server isstarted"
　　else
　　echo -n "the nginx server isstarting......"
　　sleep 1
　　$prog && echo -e"[\033[32mOK\033[0m] " && touch $lockfile ||echo"failer"
　　fi
　　}
　　stop () {
　　if [ ! -e $lockfile ];then
　　echo "the nginx server isstoped"
　　else
　　echo -n "the nginx server isstoping......"
　　sleep 1
　　$prog -s stop  && echo "OK" && rm-rf $lockfile || echo "failer"
　　fi
　　}
　　restart(){
　　if [ -e $lockfile ]; then
　　echo -n "the nginx isstoping..."
　　$prog -s stop && echo  "OK" && rm -rf $lockfile ||echo "failer"
　　echo -n "the nginx isstarting..."
　　$prog && echo "OK"&& touch $lockfile ||echo "failer"
　　fi
　　}
　　case"$1" in
　　start)
　　start
　　;;
　　stop)
　　stop
　　;;
　　restart)
　　stop
　　start
　　;;
　　*)
　　echo"USAGE:start|stop|restart"
　　esac
　　service nginx start//启动
　　先测试访问web服务器：

　　三、站点安全
　　Nginx站点安全是基于模块实现的不同的安全设置需要不同的模块。
　　1、身份验证
　　身份验证需要Auth Basic模块。
　　参考网站：http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html
　　配置如下：
　　vim /etc/nginx/nginx.conf /编辑nginx主配置文件添加
　　server {
　　listen       192.168.1.199:80;
　　server_name  tec.abc.com;
　　location / {
　　root   /usr/local/nginx/tec;
　　index  index.html index.htm;
　　}
　　auth_basic      "a-hao";
　　auth_badic_user_file    /usr/local/nginx/tec/.htpasswd;
　　}

　　这里需要我们知道.htpasswd文件的产生，需要httpd-tools软件包，所以需要在主机上安装这样软件包。
　　[root@ahao init.d]# yum install httpd-tools
　　[root@ahao init.d]#  mkdir/usr/local/nginx/tec
　　[root@ahao init.d]# cd /usr/local/nginx/tec
　　[root@ahao tec]# vim index.html //在文件添加一行显示就可以。比如：tec
　　现在我们生成.htpasswd文件
　　[root@ahao tec]# htpasswd -c /usr/local/nginx/tec/.htpasswdaaa
　　完成之后我们可以在浏览器中访问一下（实验环境虚拟机ip是：192.168.1.199）

　　证明身份验证成功。
　　2、来源控制
　　来源控制是基于access模块实现的
　　参考网站：http://nginx.org/en/docs/http/ngx_http_access_module.html
　　配置如下：
　　Access可以在server里引用，也可以在location中引用。
　　为了便于实现的需要，我先安装一个文本编辑器------lynx
　　vim/etc/nginx/nginx.conf /编辑nginx主配置文件添加

　　lynx  /etc/hosts中添加
　　192.168.1.199  www.abc.com
　　192.168.1.199  tec.abc.com
　　完成之后你可以测试：
　　root@ahao tec]# lynx  http://tec.abc.com
　　这个页面是需要经过身份验证的，测试中，成功的话会让你身份验证的。
　　[root@ahao tec]# vim /etc/nginx/nginx.conf

　　[root@ahao tec]# service nginx restart
　　重启之后测试：（本地物理地址是192.168.1.105）

　　所以在我们物理机上是可以访问的。

　　这样就达到目的，物理机192.168.1.105可以访问服务，但是在虚拟机中192.168.1.199就不能访问服务器。
　　3、加密访问
　　加密访问使用的模块是：ssl
　　参考网站：http://nginx.org/en/docs/http/ngx_http_ssl_module.html
　　配置：
　　CA服务器配置：
　　[root@ahao~]# vim /etc/pki/tls/openssl.cnf
　　首先我们要简单的配置ssl模块文件：
　　根据文件中需要一个数据文件来记录证书颁发的情况。所以我们就建立这样的                        文件，
　　[root@ahao~]# cd /etc/pki/CA
　　[root@ahao CA]# touch index.txt
　　[root@ahaoCA]# touch serial //这是记录证书序号的文件，也需要手动建立
　　[root@ahaoCA]# echo "01">serial //加入序号，以“01”开始
　　在openssl.cnf文件中还需要更改证书颁发所允许的地区，要给成不受限的。
　　countryName             = optional
　　stateOrProvinceName     =optional
　　organizationName        = optional
　　还可以根据自己的需要更改默认颁发证书的国家，省份，城市。
　　[root@ahaoCA]# openssl genrsa 1024 >private/cakey.pem //产生私钥文件
　　[root@ahaoCA]# chmod 600 private/cakey.pem  //更改权限
　　//产生公钥文件
　　[root@ahaoCA]# openssl req -new -key private/cakey.pem -x509 -out                             cacert.pem
　　You are about to be asked to enter information that will                                 beincorporated
　　into your certificate request.
　　What you are about to enter is what is called a Distinguished Nameor a                     DN.
　　There are quite a few fields but you can leave some blank
　　For some fields there will be a default value,
　　If you enter '.', the field will be left blank.
　　-----
　　Country Name (2 letter code) [CN]:
　　State or Province Name (full name) [BEIJING]:
　　Locality Name (eg, city) [BEIJING]:
　　Organization Name (eg, company) [Default Company Ltd]:CA
　　Organizational Unit Name (eg, section) []:tec
　　Common Name (eg, your name or your server's hostname) []:rootca.org
　　Email Address []:
　　Web服务器现在需要向CA服务器获取证书（证书的获取是需要个过程，证书上要有web服务        的公钥，公钥从哪里来呢，公钥是从私钥中产生的，所以在请求的过程中，必须要先                有WEB服务的私钥，再发送请求，获得证书。）
　　//产生web服务的私钥文件
　　[root@ahao CA]# mkdir -pv /etc/nginx/certs
　　mkdir: created directory `/etc/nginx/certs'
　　[root@ahao CA]# cd /etc/nginx/certs/
　　[root@ahao certs]# openssl genrsa 1024 >nginx.key
　　[root@ahaocerts]# chmod 600 nginx.key //更改权限
　　[root@ahaocerts]# openssl req -new -key  nginx.key-out nginx.crq // 公钥文件的建立
　　You are about to be asked to enter information that will beincorporated
　　into your certificate request.
　　What you are about to enter is what is called a Distinguished Nameor a DN.
　　There are quite a few fields but you can leave some blank
　　For some fields there will be a default value,
　　If you enter '.', the field will be left blank.
　　-----
　　Country Name (2 letter code) [CN]:
　　State or Province Name (full name) [BEIJING]:HENAN
　　Locality Name (eg, city) [BEIJING]:ZHENGZHOU
　　Organization Name (eg, company) [Default CompanyLtd]:TUOYUANEDU
　　Organizational Unit Name (eg, section) []:tec
　　Common Name (eg, your name or your server's hostname) []:tec.abc.com
　　Email Address []:
　　Please enter the following 'extra' attributes
　　to be sent with your certificate request
　　A challenge password []:
　　An optional company name []:
　　[root@ahaocerts]# openssl ca -in nginx.crq -out nginx.cert //建立请求                        文件
　　Usingconfiguration from /etc/pki/tls/openssl.cnf
　　Check that the request matches the signature
　　Signature ok
　　Certificate Details:
　　Serial Number: 1 (0x1)
　　Validity
　　Not Before: Nov 30 00:17:54 2013 GMT
　　Not After : Nov 30 00:17:54 2014 GMT
　　Subject:
　　countryName               = CN
　　stateOrProvinceName       = HENAN
　　organizationName          =TUOYUANEDU
　　organizationalUnitName    = tec
　　commonName                =tec.abc.com
　　X509v3 extensions:
　　X509v3 Basic Constraints:
　　CA:FALSE
　　Netscape Comment:
　　OpenSSL Generated Certificate

　　X509v3 Subject Key>　　D1:DD:F8:9A:46:B1:01:1D:ED:B2:19:49:6C:7A:E8:48:47:CE:A9:CB

　　X509v3 Authority Key>　　keyid:3E:A6:CE:D8:37:0C:F8:2E:5B:6C:59:2A:DE:39:EF:F9:AF:F3:34:45
　　Certificate is to be certified until Nov 30 00:17:54 2014 GMT (365days)
　　Sign the certificate? [y/n]:y
　　1 out of 1 certificate requests certified, commit? [y/n]y
　　Write out database with 1 new entries
　　Data Base Updated
　　[root@ahao certs]# cat /etc/pki/CA/index.txt //查看是否有证书文件
　　V       141130001754Z                01     unknown  /C=CN/ST=HENAN/O=TUOYUANEDU/OU=tec/CN=tec.abc.com
　　我们还需要将证书与web服务器绑定，
　　[root@ahao nginx]# vim /etc/nginx/nginx.conf //在主配置文档中添加绑定项：

　　我们现在启动一台windowsxp虚拟机，以它来访问web服务，事先在C：\windows\system32\drives\etc\hosts文件中添加192.168.1.199  tec.abc.com
　　设置之后我们可以访问试试：出现下面的情况

　　出现这样的情况，是主机不能识别证书是哪个权威机构颁发的，就是不认可证书，这样的情况在nginx中有一种方法就是需要我们将CA服务器证书与web服务中的证书合成一张证书。
　　[root@ahao certs]# cp /etc/pki/CA/cacert.pem  ./  //将CA证书拷贝过来
　　[root@ahao certs]# mv nginx.cert nginx.cert.bak  //改名字便于区分，
　　[root@ahao certs]# cat nginx.cert.bak  cacert.pem >nginx.cert   // 合成一张证书，合成名字还是原来WEB服务的证书名字。

　　出现CA服务证书，就证明对了，我们就安装证书就可以了

　　就可以正常访问了。