From 1b90c2203c1ce616b14119778049766d9ca56408 Mon Sep 17 00:00:00 2001 From: alien Date: Wed, 11 Sep 2019 20:18:07 +0300 Subject: [PATCH] nginx best practices --- 6. For administrators | 18 +++++++++++++++++- 1 file changed, 17 insertions(+), 1 deletion(-) diff --git a/6. For administrators b/6. For administrators index 4103611..3a580d8 100644 --- a/6. For administrators +++ b/6. For administrators @@ -78,4 +78,20 @@ попытках входа, желательно их влючить. Проведите бенчмарк. https://www.cisecurity.org/benchmark/kubernetes/ Даже если вы не используете Rancher, почитайте инструкцию по харденингу https://rancher.com/docs/rancher/v2.x/en/security/hardening-2.2/ - и бенчмаркингу https://releases.rancher.com/documents/security/latest/Rancher_Benchmark_Assessment.pdf \ No newline at end of file + и бенчмаркингу https://releases.rancher.com/documents/security/latest/Rancher_Benchmark_Assessment.pdf +6.3 Bare-metal Nginx +https://geekflare.com/nginx-webserver-security-hardening-guide/ +https://www.upguard.com/articles/10-tips-for-securing-your-nginx-deployment + - SSL/TLS - используйте только SSL/TLS-соединение, отключайте или настраивайте редирект на HTTP. Используйте + протокол TSL вместо устаревшего SSL3. Проверьте безопасность SSL на https://www.ssllabs.com/ssltest/. Отключите + устаревшие шифры. Используйте chain сертификат, так как иначе могут возникать ошибки в Chrome. Настройте DH для TSL, + сгенерируйте уникальный DH GROUP и добавьте ssl_dhparam. + - Минимизируйте утечки информации - удалите версию из баннера nginx. + - Отключите неежелательные методы - TRACE и DELETE, так как это может повлиять на возможность проведения XSS-атак. + Подумайте об отключении TRACE и TRACK. + - Для предотврещания clickjacking-атак можно добавлять заголовок X-FRAME-OPTIONS. + - Добавьте заголовок X-XSS-Protection для защиты от XSS-атак. + - Подумайте об использовании ModSecurity в качестве WAF. + - Всегда обновляйте nginx до последней версии. + - Отключите все неиспользуемые модули. + - Ограничте размер буфера для клиента.