Nginx 官方容器的安全加固主要包括以下几个方面:
-
最小化容器:尽量只包含运行应用程序所需的最小文件和依赖项。这可以减少攻击面,提高安全性。
-
使用非root用户运行容器:默认情况下,Docker 容器以 root 用户身份运行,这可能会带来安全风险。你可以在 Dockerfile 中使用 USER 指令来指定一个非root用户运行容器。
-
限制容器的资源使用:你可以使用 Docker 的资源限制功能来限制容器的 CPU、内存等资源使用,防止容器消耗过多的系统资源。
-
更新和打补丁:定期更新容器的基础镜像和应用程序,以获取最新的安全更新和补丁。
-
使用安全的 Docker 配置:例如,禁用容器的 root 权限,限制容器的网络访问等。
以下是一个加固的 Dockerfile 示例:
# 使用官方的 nginx 镜像作为基础镜像
FROM nginx:latest
# 创建一个新的用户和用户组,用于运行 nginx
RUN groupadd -r nginx && useradd -r -g nginx nginx
# 更改 nginx 的配置文件和内容目录的所有权
RUN chown -R nginx:nginx /etc/nginx /var/cache/nginx
# 切换到新创建的用户
USER nginx
# 指定 nginx 配置文件的路径
CMD ["nginx", "-g", "daemon off;", "-c", "/etc/nginx/nginx.conf"]
这只是一个基本的示例,你可能需要根据你的具体需求进行更多的定制和优化。
6. nginx 隐藏server: nginx信息
在 Nginx 中,你可以通过修改配置文件来隐藏或修改 Server: nginx 响应头。这可以通过在 http、server 或 location 块中添加 server_tokens 指令来实现。
以下是如何在全局范围内禁用 server_tokens 的示例:
http {
server_tokens off;
...
}
这将删除 Server: nginx 响应头中的版本号,但仍然会显示 nginx。如果你想完全删除 Server 响应头,你需要使用第三方模块,如 headers-more-nginx-module。
nginx -V | echo - > test.txt
nginx version: nginx/1.22.1
built by gcc 12.2.1 20220924 (Alpine 12.2.1_git20220924-r4)
built with OpenSSL 3.0.7 1 Nov 2022 (running with OpenSSL 3.0.8 7 Feb 2023)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-perl_modules_path=/usr/lib/perl5/vendor_perl --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-Os -fomit-frame-pointer -g' --with-ld-opt=-Wl,--as-needed,-O1,--sort-common
–add-module=…/headers-more-nginx-module-0.33
如果你已经安装了 headers-more-nginx-module,你可以使用 more_set_headers 指令来删除或修改 Server 响应头,如下所示:
http {
more_set_headers ‘Server: My Custom Server’;
...
}
请注意,隐藏或修改 Server 响应头只能提供有限的安全性,因为它不能防止所有类型的攻击。你应该始终保持你的 Nginx 服务器和所有其他软件的更新,以获取最新的安全补丁。
多阶段编译示例:
https://www.coder.work/article/7364368
https://stackoverflow.com/questions/59189311/edit-hide-nginx-server-header-under-alpine-linux
https://gist.github.com/hermanbanken/96f0ff298c162a522ddbba44cad31081
ARG VERSION=alpine
FROM nginx:${VERSION} as builder
ENV MORE_HEADERS_VERSION=0.33
ENV MORE_HEADERS_GITREPO=openresty/headers-more-nginx-module
# Download sources
RUN wget "http://nginx.org/download/nginx-${NGINX_VERSION}.tar.gz" -O nginx.tar.gz && \
wget "https://github.com/${MORE_HEADERS_GITREPO}/archive/v${MORE_HEADERS_VERSION}.tar.gz" -O extra_module.tar.gz
# For latest build deps, see https://github.com/nginxinc/docker-nginx/blob/master/mainline/alpine/Dockerfile
RUN apk add --no-cache --virtual .build-deps \
gcc \
libc-dev \
make \
openssl-dev \
pcre-dev \
zlib-dev \
linux-headers \
libxslt-dev \
gd-dev \
geoip-dev \
perl-dev \
libedit-dev \
mercurial \
bash \
alpine-sdk \
findutils
SHELL ["/bin/ash", "-eo", "pipefail", "-c"]
RUN rm -rf /usr/src/nginx /usr/src/extra_module && mkdir -p /usr/src/nginx /usr/src/extra_module && \
tar -zxC /usr/src/nginx -f nginx.tar.gz && \
tar -xzC /usr/src/extra_module -f extra_module.tar.gz
WORKDIR /usr/src/nginx/nginx-${NGINX_VERSION}
# Reuse same cli arguments as the nginx:alpine image used to build
RUN CONFARGS=$(nginx -V 2>&1 | sed -n -e 's/^.*arguments: //p') && \
sh -c "./configure --with-compat $CONFARGS --add-dynamic-module=/usr/src/extra_module/*" && make modules
