以下配置为产品环境的nginx基于安全和效率的主配置文件,不包含fastcgi相关配置

cat /etc/nginx/nginx.conf

user                   nginx;

worker_processes       auto;

error_log              /var/log/nginx/error.log;

pid                    /run/nginx.pid;

include                /usr/share/nginx/modules/*.conf;

events {

    use                epoll;

    multi_accept       on;

    worker_connections 2048;

}

http {

   # 基本安全设置

    ## 1.不返回版本号

    server_tokens       off;

    ## 2.只允许同源的fram/iframe/object加载,避免劫持

    add_header          X-Frame-Options SAMEORIGIN;

    ## 3.关闭资源类型猜想,避免资源代码攻击

    add_header          X-Content-Type-Options nosniff;

    ## 4.开启XSS过滤,若检查到XSS攻击,停止渲染页面

    add_header          X-XSS-Protection "1; mode=block";

   # 配置文件包含和媒体文件包含

    include             /etc/nginx/conf.d/*.conf;

    include             mime.types;

    default_type        application/octet-stream;

   # sendfile和tcp连接设置

    sendfile            on;

    tcp_nopush          on;

    tcp_nodelay         on;

    keepalive_timeout   65;

    types_hash_max_size 2048;

   # 开启gzip压缩

    gzip                on;

    gzip_min_length     5k;

    gzip_buffers        4 16k;

    gzip_comp_level     2;

    gzip_vary           on;

   # 设定请求大小和缓冲大小

    client_max_body_size        100m;

    client_body_buffer_size     8K;

    client_header_buffer_size   64k;

    large_client_header_buffers 4 128k;

   # 防DDOS攻击配置

    ## 2.同一IP总共最多存在50个并发

    limit_conn_zone $binary_remote_addr zone=TCLZone:20m ;

    limit_conn_log_level notice;

    limit_conn  TCLZone  50;

    ## 3.同一IP每秒最多处理10个请求,5个排队

    limit_req_zone $binary_remote_addr  zone=CLZone:20m rate=10r/s;

    limit_req_log_level notice;

    limit_req zone=CLZone burst=5 nodelay;

   # 日志格式及日志路径,产品环境用json格式,其他环境用默认

    log_format  main    '$remote_addr - $remote_user [$time_local] "$request" '

                        '$status $body_bytes_sent "$http_referer" '

                        '"$http_user_agent" "$http_x_forwarded_for"';

    log_format main_json '{"@timestamp":"$time_local",'

                         '"N_client_ip": "$remote_addr",'

                         '"N_request": "$request",'

                         '"N_request_time": "$request_time",'

                         '"N_status": "$status",'

                         '"N_bytes": "$body_bytes_sent",'

                         '"N_user_agent": "$http_user_agent",'

                         '"N_x_forwarded": "$http_x_forwarded_for",'

                         '"N_referer": "$http_referer"'

                         '}';

    access_log  /var/log/nginx/access.log  main_json;

   # 禁止使用IP解析,禁止非法域名解析

    server {

        listen 80;

        server_name - ;

        return 501;

    }

}

nginx产品环境安全配置-主配置文件的更多相关文章

  1. Linux系统下Nginx+PHP 环境安装配置

    一.编译安装Nginx 官网:http://wiki.nginx.org/Install 下载:http://nginx.org/en/download.html # tar -zvxf nginx- ...

  2. django+vue+nginx生产环境部署配置

    部署环境: 1. linux redhat 7.1 2.python 3.6.3 3. vue 4. nginx 5. gunicorn 6. supervisord 安装: 一. 基础环境安装 1. ...

  3. CentOS 7 安装php5.6,Nginx,Memcached环境及配置

    安装php5.6版本以后不再需要安装Zend Guard,而是用yum命令安装php-opcache及php-pecl-apcu就可以有效的提高php执行速度. 1. 配置yum源 事先确认yum源的 ...

  4. nginx.conf(centos7 1.14)主配置文件修改

    #nginx1.14 centos7# For more information on configuration, see:# * Official English Documentation: h ...

  5. 搭建Nginx+Java环境测试并且运行

    一.简介: Tomcat在高并发环境下处理动态请求时性能很低,而在处理静态页面更加脆弱.虽然Tomcat的最新版本支持epoll,但是通过Nginx来处理静态页面要比通过Tomcat处理在性能方面好很 ...

  6. docker+nginx 安装部署修改资源目录配置文件和容器端口信息

    查看docker镜像 可以先查看docker下是否存在nginx镜像,使用如下这些命令查看: docker images: 列出所有镜像. docker images nginx: 列出所有nginx ...

  7. ubuntu16.04深度学习环境的配置【转】

    本文转载自:https://my.oschina.net/u/3837179/blog/1920756 在ubuntu中配置GPU的深度学习环境相较于win问题要多很多,这几天琢磨了一下Ubuntu下 ...

  8. Python-搭建Nginx+Django环境

    1.安装 flup 模块 下载:http://projects.unbit.it/downloads/uwsgi-latest.tar.gz 安装:python setup.py install 2. ...

  9. Nginx安装,目录结构与配置文件详解

    1.Nginx简介 Nginx(发音同 engine x)是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行.由俄罗斯的程序设 ...

随机推荐

  1. 基于linux下的NIST数字测试包安装过程

    基于linux下的NIST数字测试包安装过程 1. 首先解决windows文件不能粘贴到Ubuntu的问题 选择利用VMware Tools进行解决 打开虚拟机VMware Workstation,启 ...

  2. 使用Github Packages功能上传nuget包到Github

    前几天微软收购npm的新闻对于软粉来收很是振奋.微软收购npm很可能是为了加强Github Packages.目前Github,Typescript,VSCode,npm这些开源社区的重磅工具全部都在 ...

  3. 【Weiss】【第03章】练习3.20:中缀表达式转后缀表达式

    [练习3.20] a.编写一个程序将中缀表达式转换为后缀表达式,该中缀表达式含括号及四则运算. b.把幂操作符添加到你的指令系统中去. c.编写一个程序将后缀表达式转化为中缀表达式. Answer: ...

  4. Vulnhub 靶场 Dijnn WP

    About djinn: 1 描述 难度级别:中等 Flag:user.txt和root.txt 说明:该计算机是VirtualBox以及VMWare兼容的.DHCP将自动分配IP.您将在登录屏幕上看 ...

  5. VS2019 C++动态链接库的创建使用(1) - 创建使用dll

    静态库:函数和数据被编译进一个二进制文件,通常扩展名为.lib,在使用静态库的情况下,在编译链接可执行文件时,链接器从库中复制这些函数和数据并把它们和应用程序的其它模块组合起来创建最终的可执行文件. ...

  6. Mol Cell Proteomics. | Identification of salivary biomarkers for oral cancer detection with untargeted and targeted quantitative proteomics approaches (解读人:卜繁宇)

    文献名:Identification of salivary biomarkers for oral cancer detection with untargeted and targeted qua ...

  7. 你需要了解的 HTTP Status Code

    你需要了解的 HTTP Status Code Intro 现在前后端分离的开发模式越来越流行,后端负责开发对应的 API,前端只需要 关注前端页面的数据展示和前端逻辑即可. 对于前后端分离这种开发模 ...

  8. Anaconda常用命令收藏----后期还会更新

    一.更换jupyter notobook的打开目录 一般载在安装好Anaconda的时候,打开jupyter指向的目录一般是系统的根目录,如C:\Users\25282,但是这样的话对C盘是个不小的负 ...

  9. Centos单机部署Elasticsearch7.2集群

    配置node0 # ======================== Elasticsearch Configuration ========================= # # NOTE: E ...

  10. pikachu学习-暴力破解模块

    安装好XAMPP,burpsuite,配置好pikachu我们就可以进行pikachu平台的漏洞学习 我这篇博客主要写暴力破解模块讲解,它分为4个小模块,分别是“基于表单的暴力破解”,“验证码绕过(o ...