Nginx安全加固配置基线v1.0.docxVIP

Nginx安全加固配置基线

内部 Copyright?上海斗象信息科技有限公司2019AllRightsReservedPAGE\*Arabic20/NUMPAGES\*Arabic22

NGINX安全加固配置基线

NGINX安全加固配置基线

目录

TOC\o1-3\h\z\u8590924801.概述 2

12347525791.1适用范围 2

13521142921.2规范依据 2

3129530902.安全配置基线标准 3

6151321272.1初始设置 3

5393818312.1.1安装 3

8619596302.1.2配置软件更新 3

2.2基本配置 4

4271387092.2.1最小化NGINX模块 4

20299338892.2.2账户安全 5

2.2.3权限 6

17951149502.2.4网络配置 7

4992079472.2.5信息披露 8

21168400472.3日志配置 9

3690900802.3.1启用详细的日志记录 9

13642020242.3.2启用访问日志 10

16080019962.3.3启用错误日志 10

17553329242.3.4配置错误日志被发送到远程syslog服务器 10

18975948292.3.5配置访问日志被发送到远程syslog服务器 11

5966494062.4加密配置 11

12854187992.4.1配置HTTP被重定向到HTTPS 11

3482659732.4.2安装可信证书 12

14132701362.4.3配置私钥权限 12

16620399322.4.4配置使用TLS1.2协议 13

15853405952.4.5禁用弱密码 13

9897718362.4.6配置自定义Diffie-Hellman参数 13

6869179902.4.7启用OCSP 14

1585716582.4.8启用HSTS 14

2.4.9启用HTTP公钥锁定 14

3339650872.4.10禁用会话恢复 15

15764475982.4.11使用HTTP/2.0 15

18490265472.5请求过滤和限制 15

3533196922.5.1访问控制 16

4517794892.5.2请求限制 16

17031794782.5.3浏览器安全 18

概述

适用范围

本配置基线适用于NGINX1.14.0，主要涉及NGINX中间件安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

规范依据

根据目前NGINX中间件安全现状，综合参考安全运维专家意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

安全配置基线标准

初始设置

安装

安装NGINX

基线名称

安装NGINX

基线编号

Tophant-NGINX-1

基线说明

建议在大多数情况下使用供应商提供的NGINX源文件

配置方法

使用命令：yuminstallnginx-y

检查方法

使用命令：nginx–v

备注

使用供应商提供的NGINX包的主要好处是：

1.易于安装

2.依赖性解决方案

3.提高维护和安全补丁的有效性

从源代码安装NGINX

基线名称

从源码安装NGINX

基线编号

Tophant-NGINX-2

基线说明

直接从源安装NGINX允许您在不使用包管理器的情况下安装NGINX。

配置方法

安装取决于操作系统平台。有关源代码构建，请参阅NGINX文档“从源代码构建nginx”。

检查方法

使用命令：nginx-v