防盗连、隐藏版本号、防嵌套等 Nginx基本安全配置 _Nginx

在生产环境中Nginx有很多安全方案，我在为生产环境部署中得到很多经验，收集到的一些常用配置，简单记录一下。

安装Nginx正常安全Nginx大家应该都会，但是各位要知道在安全要求很高的生产环境中，是无网络安装的，（当然有些有内网源就简单很多了），所以要自己上传文件上去安装，缺什么依赖没法用命令安装像是yum install或者apt-get install是无法使用的，这里简单说下，等有空再详细说下无网络安装，这里简单说下。
下载编译需要的库源码安装顺序编译安装以下库源码即可安装Nginx

openssl
pcre
zlib
Nginx

注意Nginx安装的时候配置下需要的库免得到时候重新编译安装

cd nginx-1.21.6./configure --with-http_ssl_module --with-http_gzip_static_module --with-http_stub_status_module --with-streammakemake install

这样Nginx就算是安装好了默认安装路径在/usr/local/nginx
隐藏版本号正常Nginx默认配置是会显示版本号的信息的如下

文章插图

只需要在Nginx配置文件中（如nginx.conf）的http{}加入以下参数即可
#隐藏版本号server_tokens off;然后显示就是这样的

文章插图
【防盗连、隐藏版本号、防嵌套等 Nginx基本安全配置】
完全不显示Nginx这个需要修改Nginx源码来实现，具体可以google搜下
防止被嵌套iframe在location /下加入以下属性即可
# 拒绝IFrame嵌套add_header X-Frame-Options SAMEORIGIN;限制ip访问同样在location /下加入以下属性即可
# 限制IP访问allow 192.168.1.0/24;allow 这里填IP;deny all;防盗连这个是这次部署中了解到的技术，之前还真不知道有这功能说白了就是防止别的ip或者域名访问静态资源，比如壁纸，总不能部署的壁纸被别人拿去免费当图床吧？
在http{}下加入如下配置

# 防盗连location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {    root html;    valid_referers none blocked rakers.top; # 这里填写允许的IP或域名    if ($invalid_referer) {        rewrite ^/ http://127.0.0.1/; #这里填资源地址ip或域名        #return 404;    }}