وب‌سرور Nginx: مهمترین ترفندهای امنیتی

Nginx یک وب‌سرور سبک و با سطح عملکرد بالاست که می‌تواند به عنوان reverse proxy یا پروکسی ایمیل IMAP/POP3 نیز مورد استفاده قرار گیرد.  این وب‌سرور بر روی سیستم‌عامل‌های یونیکس، لینوکس، نسخه‌های مختلف BSD، مک، سولاریس و مایکروسافت ویندوز اجرا می‌شود. مطابق داده‌های نت‌کرافت، حدود ۱۳٫۵ درصد کل دامین‌های اینترنت از وب‌سرور Nginx استفاده می‌کنند.

وب‌سرور Nginx یکی از کاربردی‌ترین سرورهایی است که برای رفع مشکل موسوم به C10k نوشته شده است. برخلاف سرورهای معمولی، Nginx برای مدیریت درخواست‌ها به thread تکیه ندارد. به جای آن، از یک ساختار مقیاس‌پذیر مبتنی بر موقعیت استفاده می‌کند. به همین علت است که Nginx در برخی از وب‌سایت‌های پرترافیک مانند وردپرس، هولو، گیت‌هاب و سورس‌فورج به کار رفته است.

امنیت وب‌سرور Nginx

امنیت وب‌سرور Nginx در لینوکس یا یونیکس

در این مطلب قصد داریم که نحوه ارتقای امنیت وب‌سرورهای Nginx را در سیستم‌عامل‌های لینوکس یا یونیکس آموزش دهیم.

فایل‌های تنظیمات پیش‌فرض و پورت Nginx

/usr/local/nginx/conf/ یا /etc/nginx/– دایرکتوری تنظیمات پیش‌فرض سرور

/usr/local/nginx/conf/nginx.conf فایل تنظیمات اصلی –

/usr/local/nginx/html/ یا /var/www/html– موقعیت پیش‌فرض اسناد

/usr/local/nginx/logs/ یا /var/log/nginx – موقعیت پیش‌فرض فایل تاریخچه عملکرد

پورت پیش‌فرض اچ‌تی‌تی‌پی : TCP 80

پورت پیش‌فرض اچ‌تی‌تی‌پی‌اس : TCP 443

در همین حال می‌توانید با استفاده از فرمان زیر، تغییرات وب‌سرور Nginx را بررسی کنید:

# /usr/local/nginx/sbin/nginx -t

و یا با کمک این فرمان:

# nginx -t

نمونه خروجی

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful

برای بازیابی تغییرات داریم:

# /usr/local/nginx/sbin/nginx -s reload

و یا اینکه:

# nginx –s reload

برای متوقف‌کردن سرور، فرمان زیر را تایپ کنید:

# /usr/local/nginx/sbin/nginx -s stop

و یا:

# nginx -s stop

۱) فعالسازی SELinux

SELinux یک ویژگی کرنل لینوکس است که سازوکاری برای سیاست‌های امنیتی در کنترل دسترسی‌ها ایجاد می‌کند. نتیجه عملکرد SELinux سطح امنیتی بسیار بالا برای سرور خواهد بود. در این حالت، جلوی بسیاری از حملات به سیستم گرفته می‌شود. در اینجا می‌توانید ببینید که چگونه SELinux در سیستم‌های مبتنی بر CentOS / RHEL فعال می‌شود.

قفل بولی سیستم

فرمان getsebool –a را اجرا کرده و سیستم را قفل کنید:

getsebool -a | less
getsebool -a | grep off
getsebool -a | grep on

برای تأمین امنیت سیستم می‌توانید یک بار دیگر نگاهی به تنظیمات نیز داشته باشید. در این حالت، آنهایی را که با فرمان getsebool هنوز به صورت “on” باقی مانده‌اند، به صورت “Off” دربیاورید. مقدار درست بولین SE Linux را برای حفظ کارآیی و امنیت سیستم انتخاب کنید. به خاطر داشته باشید که SELinux می‌تواند ۲ تا ۸ درصد به حجم نصب معمولی CentOS یا RHEL اضافه کند.

۲) کمترین اولویت‌بندی در توزیع فایل‌ها در دایرکتوری

تمام فایل صفحات وب، اچتمل و پی‌اچ‌پی را به صورت پارتیشن‌های جداگانه در سرور ذخیره کنید. به عنوان مثال، یک پارتیشن با نام /dev/sda5 ایجاد کرده و آنها را در دایرکتوری /nginx قرار دهید. حتماً دقت کنید که /nginx با مجوزهای noexec، nodev و nosetuid همراه باشد. در اینجا یک نمونه از ورودی /etc/fstab را برای جایگذاری در /nginx ملاحظه می‌کنید:

LABEL=/nginx     /nginx          ext3   defaults,nosuid,noexec,nodev 1 2

به خاطر داشته باشید که برای ایجاد یک پارتیشن جدید باید از فرمان‌های fdisk و mkfs.ext3 استفاده کنید.

۳) ورود به تنظیمات اساسی لینوکس در /etc/sysctl.conf

با استفاده از /etc/sysctl.conf می‌توانید به تنظیمات شبکه و کرنل لینوکس دسترسی پیدا کنید.

# Avoid a smurf attack
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Turn on protection for bad icmp error messages
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Turn on syncookies for SYN flood attack protection
net.ipv4.tcp_syncookies = 1
# Turn on and log spoofed, source routed, and redirect packets
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# No source routed packets here
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
# Turn on reverse path filtering
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Make sure no one can alter the routing tables
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
# Don't act as a router
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Turn on execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
# Tuen IPv6
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1
# Optimization for port usefor LBs
# Increase system file descriptor limit
fs.file-max = 65535
# Allow for more PIDs (to reduce rollover problems); may break some programs 32768
kernel.pid_max = 65536
# Increase system IP port limits
net.ipv4.ip_local_port_range = 2000 65000
# Increase TCP max buffer size setable using setsockopt()
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
# Increase Linux auto tuning TCP buffer limits
# min, default, and max number of bytes to use
# set max to at least 4MB, or higher if you use very high BDP paths
# Tcp Windows etc
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1

۴) حذف تمام ماژول‌های ناخواسته Nginx

شما می‌بایست تعداد ماژول‌هایی را که مستقیماً در وب‌سرور Nginx کامپایل می‌شوند، به حداقل برسانید. این موضوع باعث می‌شود که با محدود کردن عملکردهای وب‌سرور، میزان ریسک به کمترین حدّ ممکن برسد. می‌توانید nginx را تنها با ماژول‌های مورد نیاز تنظیم و نصب نمایید. به عنوان مثال، برای غیرفعال‌کردن ماژول‌های SSI و autoindex داریم:

# ./configure --without-http_autoindex_module --without-http_ssi_module
# make
# make install

اگر می‌خواهید ببنید که امکان فعال و غیرفعال‌کردن کدامیک از ماژول‌ها برای وب‌سرور Nginx وجود دارد، از فرمان زیر استفاده کنید:

# ./configure --help | less

در نتیجه، ماژول‌های nginx غیرضروری را می‌توانید حذف کنید.

تغییر تیتر نسخه Nginx ( به صورت اختیاری)

برای ویرایش فایل src/http/ngx_http_header_filter_module.c، فرمان زیر را تایپ کنید:

# vi +48 src/http/ngx_http_header_filter_module.c

خطوط زیر را پیدا کنید…

static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

و آنها را به صورت زیر تغییر دهید:

static char ngx_http_server_string[] = "Server: Ninja Web Server" CRLF;
static char ngx_http_server_full_string[] = "Server: Ninja Web Server" CRLF;

حالا فایل را ذخیره کرده و ببندید. اکنون می‌توانید سرور را کامپایل کنید. در فایل nginx.conf، خط زیر را وارد کنید تا نمایش نسخه nginx در تمام صفحات خطای خودکار متوقف شود:

server_tokens off

۵) استفاده از ابزار mod_security (در سرورهای پشتیبان آپاچی)

ابزار mod_security موجب ایجاد یک فایروال در سطح برنامه سرور آپاچی می‌شود. با نصب این ابزار می‌توانید جلوی بسیاری از حملات نفوذ مخرب را بگیرید.

۶) نصب ابزار امنیتی SELinux برای ارتقای امنیت وب‌سرور Nginx

این یک واقعیت است که SELinux به صورت پیش‌فرض از وب‌سرور nginx محافظت نمی‌کند. با این وجود، شما می‌توانید عملیات نصب و ارتقای امنیت را به صورت زیر انجام دهید. ابتدای نصب نیاز به پشتیبانی زمانی کامپایل SELinux خواهید داشت:

# yum -y install selinux-policy-targeted selinux-policy-devel

از طریق صفحه پروژه، ابزار امنیتی SELinux را به منظور ارتقای وب‌سرور nginx دریافت کنید:

# cd /opt
# wget 'http://downloads.sourceforge.net/project/selinuxnginx/se-ngix_1_0_10.tar.gz?use_mirror=nchc'

برای این فایل، فرمان tar را اجرا کنید:

# tar -zxvf se-ngix_1_0_10.tar.gz

برای کامپایل همین فایل:

# cd se-ngix_1_0_10/nginx
# make

نمونه خروجی

Compiling targeted nginx module
/usr/bin/checkmodule:  loading policy configuration from tmp/nginx.tmp
/usr/bin/checkmodule:  policy configuration loaded
/usr/bin/checkmodule:  writing binary representation (version 6) to tmp/nginx.mod
Creating targeted nginx.pp policy package
rm tmp/nginx.mod.fc tmp/nginx.mod

نصب ماژول nginx.pp SELinux

# /usr/sbin/semodule -i nginx.pp

۷) فایروال بر اساس جدول محدودکننده IP ها

اسکریپت‌هایی که در ادامه می آیند، همه چیز را بلوکه کرده و تنها به موارد زیر اجازه می‌دهند:

#!/bin/bash
IPT="/sbin/iptables"
#### IPS ######
# Get server public ip
SERVER_IP=$(ifconfig eth0 | grep 'inet addr:' | awk -F'inet addr:' '{ print $2}' | awk '{ print $1}')
LB1_IP="204.54.1.1"
LB2_IP="204.54.1.2"
# Do some smart logic so that we can use damm script on LB2 too
OTHER_LB=""
SERVER_IP=""
[[ "$SERVER_IP" == "$LB1_IP" ]] && OTHER_LB="$LB2_IP" || OTHER_LB="$LB1_IP"
[[ "$OTHER_LB" == "$LB2_IP" ]] && OPP_LB="$LB1_IP" || OPP_LB="$LB2_IP"
### IPs ###
PUB_SSH_ONLY="122.xx.yy.zz/29"
#### FILES #####
BLOCKED_IP_TDB=/root/.fw/blocked.ip.txt
SPOOFIP="127.0.0.0/8 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 169.254.0.0/16 0.0.0.0/8 240.0.0.0/4 255.255.255.255/32 168.254.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 192.0.2.0/24"
BADIPS=$( [[ -f ${BLOCKED_IP_TDB} ]] && egrep -v "^#|^$" ${BLOCKED_IP_TDB})
### Interfaces ###
PUB_IF="eth0"   # public interface
LO_IF="lo"      # loopback
VPN_IF="eth1"   # vpn / private net
### start firewall ###
echo "Setting LB1 $(hostname) Firewall..."
# DROP and close everything
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# Unlimited lo access
$IPT -A INPUT -i ${LO_IF} -j ACCEPT
$IPT -A OUTPUT -o ${LO_IF} -j ACCEPT
# Unlimited vpn / pnet access
$IPT -A INPUT -i ${VPN_IF} -j ACCEPT
$IPT -A OUTPUT -o ${VPN_IF} -j ACCEPT
# Drop sync
$IPT -A INPUT -i ${PUB_IF} -p tcp ! --syn -m state --state NEW -j DROP
# Drop Fragments
$IPT -A INPUT -i ${PUB_IF} -f -j DROP
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL ALL -j DROP
# Drop NULL packets
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " NULL Packets "
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL NONE -j DROP
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# Drop XMAS
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " XMAS Packets "
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# Drop FIN packet scans
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " Fin Packets Scan "
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags FIN,ACK FIN -j DROP
$IPT  -A INPUT -i ${PUB_IF} -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
# Log and get rid of broadcast / multicast and invalid
$IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j LOG --log-prefix " Broadcast "
$IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type broadcast -j DROP
$IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j LOG --log-prefix " Multicast "
$IPT  -A INPUT -i ${PUB_IF} -m pkttype --pkt-type multicast -j DROP
$IPT  -A INPUT -i ${PUB_IF} -m state --state INVALID -j LOG --log-prefix " Invalid "
$IPT  -A INPUT -i ${PUB_IF} -m state --state INVALID -j DROP
# Log and block spoofed ips
$IPT -N spooflist
for ipblock in $SPOOFIP
do
$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j LOG --log-prefix " SPOOF List Block "
$IPT -A spooflist -i ${PUB_IF} -s $ipblock -j DROP
done
$IPT -I INPUT -j spooflist
$IPT -I OUTPUT -j spooflist
$IPT -I FORWARD -j spooflist
# Allow ssh only from selected public ips
for ip in ${PUB_SSH_ONLY}
do
$IPT -A INPUT -i ${PUB_IF} -s ${ip} -p tcp -d ${SERVER_IP} --destination-port 22 -j ACCEPT
$IPT -A OUTPUT -o ${PUB_IF} -d ${ip} -p tcp -s ${SERVER_IP} --sport 22 -j ACCEPT
done
# allow incoming ICMP ping pong stuff
$IPT -A INPUT -i ${PUB_IF} -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -m limit --limit 30/sec  -j ACCEPT
$IPT -A OUTPUT -o ${PUB_IF} -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# allow incoming HTTP port 80
$IPT -A INPUT -i ${PUB_IF} -p tcp -s 0/0 --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o ${PUB_IF} -p tcp --sport 80 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# allow outgoing ntp
$IPT -A OUTPUT -o ${PUB_IF} -p udp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i ${PUB_IF} -p udp --sport 123 -m state --state ESTABLISHED -j ACCEPT
# allow outgoing smtp
$IPT -A OUTPUT -o ${PUB_IF} -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i ${PUB_IF} -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
### add your other rules here ####
#######################
# drop and log everything else
$IPT -A INPUT -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix " DEFAULT DROP "
$IPT -A INPUT -j DROP
exit 0

۸) کنترل حملات جریان بافر

برای این منظور، فایل nginx.conf را ویرایش کرده و محدودیت بافر را برای همه کلاینت‌ها تنظیم کنید.

# vi /usr/local/nginx/conf/nginx.conf

برای ویرایش و تنظیم مقادیر بافر وب‌سرور Nginx برای کلاینت‌ها به صورت زیر عمل می‌کنیم:

## Start: Size Limits & Buffer Overflows ##
client_body_buffer_size  ۱K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
## END: Size Limits & Buffer Overflows ##

که در آن:

client_body_buffer_size 1k – مقدار مشخص‌کننده اندازه بافر برای بدنه متن درخواستی از کلاینت (پیش‌فرض ۸ یا ۱۶ کیلوبایت)

client_header_buffer_size 1k – مقدار مشخص‌کننده اندازه هدربافر برای هدر درخواستی از کلاینت. برای جلوگیری از مشکلات عمده‌ای که در درخواست‌ها پیش می‌آیند، مقدار یک کیلو مناسب خواهد بود. در عین حال، اگر یک هدر سفارشی دارید و یا اینکه یک کوکی با ابعاد بزرگ از طرف کلاینت ارسال می‌شود، حتماً باید آن را افزایش دهید.

client_max_body_size 1k– مقدار مشخص‌کننده حداکثر اندازه قابل‌قبول برای متن درخواستی کلاینت. این مقدار توسط خط طول محوا در تیتر درخواست مشخص می‌شود. اگر اندازه بیشتر از مقدار داده شده باشد، کلاینت با پیغام خطای زیر روبرو خواهد شد:

Request Entity Too Large (413)

در صورتی که با روش POST فایل‌ها را آپلود می‌کنید، باید این مقدار را افزایش دهید.

large_client_header_buffers 2 1k –کمقدار مشخص‌کننده حداکثر تعداد و ابعاد بافرها برای تیترهای قابل‌خواندن از طریق کلاینت. به صورت پیش‌فرض، اندازه یک بافر برابر اندازه یک صفحه تنظیم شده است؛ موضوعی که نسبت به پلتفرم، برابر ۴ یا ۸ کیلوبایت خواهد بود. دو مقدار یک کیلوبایت، داده آدرس اینترنتی به میزان ۲ کیلوبایت را قبول می‌کنند که چنین چیزی می‌تواند جلوی ربات‌های بدافزار و حملات داس را بگیرد.

در همین حال، باید مقادیر timeout را برای بهبود عملکرد سرور و کلاینت‌ها تنظیم کنید. ویرایش این مقادیر به صورت زیر انجام می‌‌گیرد:

## Start: Timeouts ##
client_body_timeout   ۱۰;
client_header_timeout 10;
keepalive_timeout     ۵ ۵;
send_timeout          ۱۰;
## End: Timeouts ##

client_body_timeout 10; – مقدار مشخص‌کننده زمان تایم‌اوت برای متن درخواستی از کلاینت. تایم‌اوت تنها زمانی تنظیم می‌شود که بدنه تنها در یک رید‌استپ دریافت نشود. اگر کلاینت در این فاصله زمانی چیزی ارسال نکند، سرور انجینیکس پیغام خطای زیر را نشان خواهد داد:

Request time out (408)

مقدار پیش‌فرض برای این متغیر برابر ۶۰ خواهد بود.

client_header_timeout 10; – مقدار مشخص‌کننده زمان تایم‌اوت برای عنوان درخواست کلاینت. این تایم‌اوت زمانی تنظیم می‌شود که هدر یا عنوان در یک ریداستپ دریافت نشود. اگر کلاینت بعد از این زمان چیزی ارسال نکند، سرور انجینیکس پیغام خطای زیر را نشان خواهد داد:

Request time out (408)

keepalive_timeout 5 5; – اولین پارامتر زمان پایان حفظ ارتباط با کلاینت را مشخص می‌کند. بعد از این فاصله زمانی است که سرور ارتباط را قطع خواهد کرد. دومین پارامتر که به صورت اختیاری است، مقدار زمان را برای هدر مشخص می‌کند. این هدر برخی مرورگرهای وب را مجاب می‌کند که اتصال را قطع کنند.

send_timeout 10; – مقدار مشخص‌کننده زمان تایم‌اوت برای واکنش کلاینت. تایم‌اوت زمان کلی انتقال پاسخ را درنظر نمی‌گیرد؛ بلکه ملاک فاصله بین دو عملیات خواندن صفحه است. اگر کلاینت در این فاصله واکنشی نشان ندهد، انجینیکس کل ارتباط را خاتمه می‌دهد.

۹) کنترل ارتباط‌های مشابه

امکان استفاده از ماژول NginxHttpLimitZone برای محدود کردن تعداد ارتباط‌های مشابه در یک مقطع زمانی خاص، و از طرف یک IP وجود خواهد داشت. برای این منظور باید فایل nginx.conf را ویرایش کنید:

### Directive describes the zone, in which the session states are stored i.e. store in slimits. ###
### ۱m can handle 32000 sessions with 32 bytes/session, set to 5m x 32000 session ###
limit_zone slimits $binary_remote_addr 5m;
### Control maximum number of simultaneous connections for one session i.e. ###
### restricts the amount of connections from a single ip address ###
limit_conn slimits 5;

تنظیمات بالا موجب می‌شود که کلاینت‌های ریموت نتوانند بیشتر از ۵ ارتباط باز برای هر آدرس IP داشته باشند.

۱۰) مجوز دسترسی تنها به IP خودمان

اگر یک ربات تنها یک اسکن سرور برای تمام دامین‌ها انجام می‌دهد، به‌راحتی می‌توانید جلوی آن را بگیرید. شما فقط باید به دامین‌های مجازی معتبر یا درخواست‌های reverse proxy مجوز بدهید. در صورتی که بخواهید درخواست‌های یک IP خاص نشان داده نشوند، به صورت زیر عمل می‌کنید:

## Only requests to our Host are allowed i.e. ariaservice.net, images.ariaservice.net and www. ariaservice.net
if ($host !~ ^( ariaservice.net|www.ariaservice.net|images.ariaservice.net)$ ) {
return 444;
}
##

۱۱) محدود کردن روش‌های در دسترس

فرمان‌های GET و POST از متداول‌ترین روش‌ها در اینترنت هستند. روش‌های مرتبط با وب‌سرور به صورت کامل در راهنمای RFC 2616 آورده شده‌اند. به شکل زیر می‌توان تنها به روش‌های GET، HEAD و POST اجازه ورود داد:

## Only allow these request methods ##
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
## Do not accept DELETE, SEARCH and other methods ##

توضیح روش‌های اچ‌تی‌تی‌پی

روش GET برای درخواست یک سند مانند http://www.ariaservice.net/index.php به کار می‌رود.

روش HEAD به GET شباهت دارد؛‌ با این تفاوت که در آن سرور نباید متن پیام را در پاسخ داشته باشد.

روش POST ممکن هر چیزی را دربر داشته باشد؛ از جمله ذخیره یا بروزرسانی داده، سفارش یک محصول یا ارسال یک ایمیل با تکمیل یک فرم. چنین چیزی معمولاً با اسکریپت‌های جانبی سرور مانند PHP، PERL و Python پردازش می‌شود. اگر می‌خواهید فایل در سرور ارسال کنید و فرم‌ها را پردازش نمایید، باید از این روش استفاده کنید.

۱۲) چگونه می‌تواند برخی کاربران خاص را گرفت؟

برای کاربران جعلی مانند اسکنرها، ربات‌ها و اسپمرها که می‌خواهند از سرور شما سوء استفاده کنند، این کار به راحتی صورت می‌گیرد:

## Block download agents ##
if ($http_user_agent ~* LWP::Simple|BBBike|wget) {
return 403;
}
##

بلوکه کردن ربات‌های با عناوین msnbot و scrapbot:

## Block some robots ##
if ($http_user_agent ~* msnbot|scrapbot) {
return 403;
}

جلوگیری از اسپم‌های ارجاع‌دهنده

اسپم ارجاع‌دهنده واقعاً خطرناک است. این ابزار می‌تواند به رتبه‌بندی سئو به میزان قابل‌ملاحظه‌ای آسیب بزند؛ چرا که بازدیدکنندگان را به سایت اسپم خود ارجاع خواهد داد. با استفاده از خطوط زیر می‌توانید دسترسی به اسپم‌های ارجاع‌دهنده را محدود کنید:

## Deny certain Referers ###
if ( $http_referer ~* (babes|forsale|girl|jewelry|love|nudit|organic|poker|porn|sex|teen) )
{
# return 404;
return 403;
}
##

۱۳) چگونه جلوی هات‌لینکینگ تصاویر را بگیریم؟

هات‌لینکینگ تصویر یا اچتمل  به این معناست که شخصی به یکی از تصاویر وب‌سایت شما لینک می‌دهد، ولی آن را در وب‌سایت خود به نمایش درمی‌آورد. در نتیجه، شما پول پهنای باند را می‌پردازید، در حالی که بخش از آن به ظاهر یک وب‌سایت دیگر اختصاص می‌یابد. چنین چیز معمولاً‌ در تالارهای گفتگو یا بلاگ‌ها اتفاق می‌افتد. توصیه می‌شود که در سطح سرور این دسترسی را محدود کنید:

# Stop deep linking or hot linking
location /images/ {
valid_referers none blocked www.example.com example.com;
if ($invalid_referer) {
return   ۴۰۳;
}
}

مثال: باز نویسی و نمایش تصویر

یک مثال دیگر با لینک به یک تصویر مسدود شده:

valid_referers blocked www.example.com example.com;
if ($invalid_referer) {
rewrite ^/images/uploads.*\.(gif|jpg|jpeg|png)$ http://www.examples.com/banned.jpg last
}

۱۴) محدودیت‌های دایرکتوری

می‌توانید برای یک دایرکتوری خاص، محدودیت دسترسی ایجاد کنید. تمام دایرکتوری‌های وب باید بر اساس موقعیت‌های خاص تنظیم شوند و دسترسی به آنها تنها در زمان نیاز مقدور باشد.

محدودیت دسترسی بر اساس آدرس IP

ایجاد محدودیت دسترسی به دایرکتور /docs/ بر اساس آدرس IP

location /docs/ {
## block one workstation
deny    ۱۹۲٫۱۶۸٫۱٫۱;
## allow anyone in 192.168.1.0/24
allow   ۱۹۲٫۱۶۸٫۱٫۰/۲۴;
## drop rest of the world
deny    all;
}

محافظت از دایرکتوری با کلمه عبور

ابتدا یک فایل پسورد ایجاد کرده و یک کاربر با عنوان vivek اضافه کنید:

# mkdir /usr/local/nginx/conf/.htpasswd/
# htpasswd -c /usr/local/nginx/conf/.htpasswd/passwd vivek

فایل nginx.conf را ویرایش کرده و به صورت زیر از دایرکتوری‌های موردنیاز محافظت کنید:

### Password Protect /personal-images/ and /delta/ directories ###
location ~ /(personal-images/.*|delta/.*) {
auth_basic  "Restricted";
auth_basic_user_file   /usr/local/nginx/conf/.htpasswd/passwd;
}

بعد از اینکه فایل پسورد تولید شد، کاربران دیگر را می‌توانید با استفاده از فرمان زیر اضافه کنید:

# htpasswd -s /usr/local/nginx/conf/.htpasswd/passwd username

۱۵) تنظیمات اس‌اس‌ال وب‌سرور Nginx

اچ‌تی‌تی‌پی یک پروتکل با متن ساده است و به‌آسانی می‌توان آن را مورد پایش غیرمستقیم قرار داد. بر این اساس، شما می‌بایست با استفاده از SSL به رمزنگاری محتوا برای کاربرانتان اقدام کنید.

۱۶) تنظیمات امنیتی پی‌اچ‌بی برای وب‌سرور Nginx

پی‌اچ‌پی یکی از محبوب‌ترین زبان‌های برنامه‌نویسی برای سرورهاست. برای تنظیمات امنیتی موردنظر، فایل /etc/php.ini را به صورت زیر ویرایش می‌کنیم:

# Disallow dangerous functions
disable_functions = phpinfo, system, mail, exec
## Try to limit resources  ##
# Maximum execution time of each script, in seconds
max_execution_time = 30
# Maximum amount of time each script may spend parsing request data
max_input_time = 60
# Maximum amount of memory a script may consume (8MB)
memory_limit = 8M
# Maximum size of POST data that PHP will accept.
post_max_size = 8M
# Whether to allow HTTP file uploads.
file_uploads = Off
# Maximum allowed size for uploaded files.
upload_max_filesize = 2M
# Do not expose PHP error messages to external users
display_errors = Off
# Turn on safe mode
safe_mode = On
# Only allow access to executables in isolated directory
safe_mode_exec_dir = php-required-executables-path
# Limit external access to PHP environment
safe_mode_allowed_env_vars = PHP_
# Restrict PHP information leakage
expose_php = Off
# Log all errors
log_errors = On
# Do not register globals for input data
register_globals = Off
# Minimize allowable PHP post size
post_max_size = 1K
# Ensure PHP redirects appropriately
cgi.force_redirect = 0
# Disallow uploading unless necessary
file_uploads = Off
# Enable SQL safe mode
sql.safe_mode = On
# Avoid Opening remote files
allow_url_fopen = Off

۱۷) در صورت امکان وب‌سرور Nginx را در یک فضای ایزوله یا اصطلاحاً Chroot Jail اجرا کنید.

چنین کاری خطر نفوذ بالقوه به سیستم را به میزان قابل‌ملاحظه‌ای کاهش می‌دهد. شما می‌توانید تنظیمات بسیار ساده ایزوله‌سازی را برای وب‌سرور nginx به کار ببرید. FreeBSD jails، XEN، لینوکس کانتینرز در دبیان/اوبونتو، LXD در فدورا و OpenVZ، همگی می‌توانند ابزاری برای این منظور باشند.

۱۸) محدودیت تعداد ارتباط برای هر IP در سطح فایروال

یک سرور همیشه باید نگران ارتباط ها باشد و ارتباط برای هر IP را محدود کند. این یکی از کارهای اساسی در سرورهاست. در مثال زیر مشاهده می‌کنیم که سرور در صورتی که یک IP در طول ۶۰ بیشتر از ۱۵ تلاش برای ارتباط به پورت ۸۰ داشته باشد، ارتباط را قطع خواهد کرد:

/sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60  --hitcount 15 -j DROP
service iptables save

BSD PF: ایجاد محدودیت برای ارتباطات وب‌سرور Nginx در هر ثانیه

فایل /etc/pf.conf را ویرایش کرده و مطابق زیر، آن را بروزرسانی کنید. در اینجا تعداد ارتباطات برای هر منبع به ۱۰۰ عدد محدود شده است. مقدار ۱۵/۵ مشخص‌کننده تعداد ارتباط‌ها در ثانیه یا یک بازه زمانی است. به عبارت دیگر محدودیت تعداد ارتباط ها ۱۶ است که در یک بازه ۵ ثانیه‌ای اِعمال می‌شود. اگر هر کسی از این قوانین تخطّی کند، به جدول IPهای مخرب راه پیدا خواهد کرد و تمام ارتباطات آن بلوکه خواهد شد.

webserver_ip=”۲۰۲٫۵۴٫۱٫۱”
table <abusive_ips> persist
block in quick from <abusive_ips>
pass in on $ext_if proto tcp to $webserver_ip port www flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload <abusive_ips> flush)

تمام مقادیر را می‌توانید به نسبت نیازها و ترافیکی که در اختیار دارید، تغییر دهید. درنظر داشته باشید که مرورگرها می‌توانند ارتباط‌های چندگانه با سایت شما داشته باشند.

۱۹) تنظیم سیستم‌عامل برای محافظت از وب‌سرور

ابزار SELinux را مطابق دستورالعمل گفته‌شده، فعال کنید. مجوزها را در آدرس سند /nginx به‌درستی تنظیم کنید. سرور nginx به صورت کاربری با عنوان nginx راه‌اندازی می‌شود. با این وجود فایل‌های موجود در آدرس /nginx یا /usr/local/nginx/html نباید به مالکیت آن کاربر درآیند یا توسط آن ویرایش شوند. برای پیدا کردن فایل‌هایی که مجوزهای نادرست دارند، داریم:

# find /nginx -user nginx
# find /usr/local/nginx/html -user nginx

مطمئن شوید که حتماً مالکیت فایل را به کاربر روت یا دیگر کاربرها انتقال داده‌اید:

# ls -l /usr/local/nginx/html/

نمونه خروجی:

-rw-r--r-- 1 root root 925 Jan  ۳ ۰۰:۵۰ error4xx.html
-rw-r--r-- 1 root root  ۵۲ Jan  ۳ ۱۰:۰۰ error5xx.html
-rw-r--r-- 1 root root 134 Jan  ۳ ۰۰:۵۲ index.html

در همین حال، باید فایل‌های پشتیبان ناخواسته‌ای که توسط vi یا دیگر ویرایشگرهای متنی ایجاد شده‌اند را حذف کنید:

# find /nginx -name '.?*' -not -name .ht* -or -name '*~' -or -name '*.bak*' -or -name '*.old*'
# find /usr/local/nginx/html/ -name '.?*' -not -name .ht* -or -name '*~' -or -name '*.bak*' -or -name '*.old*'

با استفاده از گزینه –delete در فرمان find، از دست فایل‌های موردنظر راحت می‌شوید.

۲۰) محدود کردن ارتباطات خروجی انجینیکس

مهاجمان فایل‌ها را به صورت محلی و با استفاده از ابزارهایی مانند wget روی سرور شما دریافت می‌کنند.  با استفاده از iptable ها می‌توانید جلوی ارتباطات خروجی کاربر nginx را بگیرید. ماژول ipt_owner  سعی می‌کند که مشخصه‌های مختلف یک بسته داخلی را با سازنده آن تطبیق دهد. این ماژول تنها در زنجیره OUTPUT یافت می‌شود.

در این مثال، به کاربر vivek اجازه داده می‌شود که با استفاده از پورت ۸۰، ارتباط خروجی داشته باشد‌؛ موضوعی که برای دسترسی RHN یا دریافت بروزرسانی‌های CentOS مفید خواهد بود.

/sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp --dport 80 -m state --state NEW,ESTABLISHED  -j ACCEPT

این دستور را به اسکریپت پایه iptable خود اضافه کنید. در همین حال، به کاربر nginx اجازه ندهید که ارتباط خارجی داشته باشد.

۲۱) نرم‌افزار خود را همیشه به‌روز نگه دارید.

همیشه باید نرم‌افزار و کرنل خود را به‌روز نگه دارید. اگر کاربر لینوکس دبیان یا اوبونتو هستید، می‌توانید با استفاده از فرمان apt-get و دریافت پچ‌ها، آنها را بروزرسانی کنید.

$ sudo apt-get update
$ sudo apt-get upgrade

اگر از لینوکس‌های خانواده RHEL/CentOS/Oracle/Scientific استفاده می‌کنید، فرمان yum به کمک شما می‌آید:

$ sudo yum update

ضمن اینکه در لینوکس آلپاین، باید از فرمان apk استفاده کنید:

# apk update
# apk upgrade

۲۲) جلوگیری از دزدیِ کلیک یا کلیک‌جکینگ

خط زیر را در تنظیمات nginx.conf یا دامین مجازی‌تان وارد کنید تا از کلیک‌جکینگ جلوگیری کنید:

add_header X-Frame-Options SAMEORIGIN;

۲۳) غیرفعال‌کردن استفاده از متن محتوا در برخی مرورگرها

برای این منظور، در nginx.conf یا دامین مجازی‌تان، خط زیر را اضافه نمایید:

add_header X-Content-Type-Options nosniff;

فعال‌کردن اسکریپت‌های اشتراکی XSS نیز با اضافه‌کردن خط زیر صورت می‌گیرد:

add_header X-XSS-Protection "1; mode=block";

۲۴) اجبار به استفاده از HTTPS

هیچ دلیلی برای استفاده از HTTP وجود ندارد. باید همه را به صورت پیش‌فرض، مجبور به استفاده از HTTPS کنید.

۲۵) پایش وب‌سرور nginx

با استفاده از ابزار Stub Status می‌توانید تعداد کلی درخواست‌های کلاینت و دیگر اطلاعات را مشاهده کنید.

ترفند اضافه: بررسی تاریخچه عملکرد و حسابرسی سرور

فایل‌های تاریخچه را بررسی کنید. این فایل‌ها به شما درکی از حملات صورت گرفته به سرور ارائه می‌دهند. در صورت نیاز می‌توانید، سطح امنیتی سرور خود را افزایش دهید.

# grep "/login.php??" /usr/local/nginx/logs/access_log
# grep "...etc/passwd" /usr/local/nginx/logs/access_log
# egrep -i "denied|error|warn" /usr/local/nginx/logs/error_log

ضمن اینکه سرویس auditd برای حسابرسی سیستم ارائه شده است. این سرویس را می‌توانید برای اهدافی مانند اتفاقات مرتبط با SELinux، تأیید دسترسی، اصلاح فایل‌ها و حساب‌های کاربری استفاده کنید.

جمع‌بندی

اگر تمام موارد بالا را رعایت کرده باشید، اینک وب‌سرور nginx شما به شکل مناسبی حفاظت شده است. ‌هم‌اکنون می‌توانید با خیال راحت صفحات وب خود را در اختیار همگان قرار دهید. در همین حال، باید توجه داشته باشید که همیشه باید از منابع بیشتر برای ارتقای امنیت سرور استفاده کنید. به عنوان مثال، درنظر بگیرید که وردپرس یا هر برنامه ثالث دیگر نیازمند اقدامات امنیتی خاص خود خواهد بود.

با ما در تماس باشید

کارشناسان ما در هر لحظه منتظر پاسخوگویی به سوالات شما هستند.

کلیه حقوق مادی و معنوی سیستم متعلق به آریانت می‌باشد.