1. nginx 漏洞修复处理:
1)server 增加如下配置:
ssl_protocols TLSv1.2; (TLS Version 1.0 Protocol Detection 漏洞修复)
ssl_dhparam {$path}/dhparams.pem; (Secure Sockets Layer,SSL 公共密钥小于1024的安全隐患, 当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险)
2)dhparams.pem 文件生成命令:
openssl dhparam -out dhparam.pem 2048
3)ssl 生成证书命令:(TLS/SSL 证书密钥大小过小 漏洞修复)
# 生成一个RSA私钥,1024是加密强度,系统现在为1024有中危漏洞,需改为:2048
$ openssl genrsa -out private.key 2048
# 生成一个证书请求
$ openssl req -new -key private.key -out cert_req.csr
# 自己签发证书,如果要权威CA签发的话,要把cert_req.csr发给CA
$ openssl x509 -req -days 365 -in cert_req.csr -signkey private.key -out server_cert.crt
# 优先采取服务器算法
ssl_prefer_server_ciphers on;
# 使用 DH 文件
ssl_dhparam ssl/dhparam.pem;
# 协议版本
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 定义算法
ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL';
复制代码
安全的响应头# 启用 HSTS 。允许 https 网站要求浏览器总是通过 https 来访问
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 减少点击劫持
add_header X-Frame-Options DENY;
# 禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
复制代码
服务器优化# 配置共享会话缓存大小
ssl_session_cache shared:SSL:10m;
# 配置会话超时时间
ssl_session_timeout 10m;
复制代码
http2 配置
http2 配置很简单,只要后面增加 http2。
下面 [::]: 表示 ipv6 的配置,不需要可以不加那一行listen 80;
listen [::]:80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
