Ubuntu 22.04 жүйесінде Nginx веб-серверін қорғау үшін қауіпсіздік баптаулары

Nginx – өзінің өнімділігі мен икемділігі арқасында ең танымал веб-серверлердің бірі. Дегенмен, кез келген басқа веб-сервер сияқты, ол да әртүрлі кибершабуылдардың нысаны болуы мүмкін.

Бұл мақалада біз Ubuntu 22.04 жүйесінде Nginx веб-серверін қорғау үшін қауіпсіздік баптауларының негізгі қадамдарын қарастырамыз, нақты мысалдармен және нұсқаулармен.

Nginx орнату және жаңарту

Қауіпсіздік баптауларын бастамас бұрын, Nginx-ті орнатып, соңғы нұсқасына дейін жаңарту қажет.

1. Nginx орнату:

   sh

    

   sudo apt update sudo apt install nginx

2. Nginx жаңарту:

   sh

    

   sudo apt update sudo apt upgrade nginx

Файрволды (UFW) баптау

UFW (Uncomplicated Firewall) – iptables басқарудың қарапайым құралы. Файрволды тек қажетті порттарға рұқсат беру үшін баптаймыз.

1. SSH, HTTP және HTTPS трафигіне рұқсат беру:

   sh

    

   sudo ufw allow OpenSSH sudo ufw allow 'Nginx Full'

2. Файрволды қосу:

   sh

    

   sudo ufw enable

3. UFW күйін тексеру:

   sh

    

   sudo ufw status

SSL/TLS баптау

Трафикті шифрлау үшін SSL/TLS пайдалану веб-сервердің қауіпсіздігін қамтамасыз етудің міндетті қадамы болып табылады. Біз тегін SSL сертификатын алу үшін Let's Encrypt пайдаланамыз.

1. Certbot орнату:

   sh

    

   sudo apt install certbot python3-certbot-nginx

2. Сертификатты алу және орнату:

   sh

    

   sudo certbot --nginx

3. Сертификаттарды автоматты түрде жаңарту: Certbot сертификаттарды жаңарту үшін cron-тапсырманы автоматты түрде баптайды. Конфигурацияны тексеру:

   sh

    

   sudo systemctl list-timers | grep certbot

Nginx үшін SSL конфигурациясының мысалы:

DDoS-шабуылдардан қорғау

1. ngx_http_limit_req_module модулін орнату: Бұл модуль бір IP-мекенжайдан сұраулар санын шектеуге мүмкіндік береді.

2. Сұраулар санын шектеу баптауы: Nginx конфигурациялық файлын ашыңыз, мысалы:

   sh

    

   sudo nano /etc/nginx/nginx.conf

   http блогына келесі жолдарды қосыңыз:

   nginx

    

   http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { ... location / { limit_req zone=one burst=5 nodelay; ... } } }

   Бұл конфигурация сұрауларды секундына 1 сұрауға дейін шектейді және 5 сұрауға дейін burst болады.

3. Өзгерістерді қолдану үшін Nginx-ті қайта жүктеу:

   sh

    

   sudo systemctl reload nginx

Fail2ban көмегімен кибершабуылдардан қорғау

Fail2ban – бұл серверді күмәнді белсенділік бар IP-мекенжайларды бұғаттау арқылы қорғауға арналған құрал.

1. Fail2ban орнату:

   sh

    

   sudo apt install fail2ban

2. Nginx үшін конфигурациялық файл жасау: /etc/fail2ban/jail.local файлын жасап, оған келесі жолдарды қосыңыз:

   sh

    

   [nginx-http-auth] enabled = true filter = nginx-http-auth action = iptables[name=HTTP, port=http, protocol=tcp] logpath = /var/log/nginx/error.log maxretry = 3

   Сонымен қатар, /etc/fail2ban/filter.d/nginx-http-auth.conf фильтр файлын жасаңыз:

   sh

    

   [Definition] failregex = no user/password was provided for basic authentication.*client: <HOST>

3. Fail2ban-ды қайта іске қосу үшін:

   sh

    

   sudo systemctl restart fail2ban

Жүктемелер өлшемін шектеу

Жүктелетін файлдардың өлшемін шектеу DoS-шабуылдардан және артық ресурстарды пайдаланудан сақтануға көмектеседі.

1. Жүктемелердің максималды өлшемін баптау: Nginx конфигурациялық файлын ашыңыз, мысалы:

   sh

    

   sudo nano /etc/nginx/nginx.conf

   client_max_body_size директивасын қосыңыз немесе өзгертіңіз:

   nginx

    

   http { ... client_max_body_size 10M; ... }

2. Өзгерістерді қолдану үшін Nginx-ті қайта жүктеу:

   sh

    

   sudo systemctl reload nginx

Жүйені жаңарту және патчинг

Операциялық жүйені және орнатылған пакеттерді жүйелі түрде жаңарту серверді осалдықтардан қорғауға көмектеседі.

1. Жүйені жаңарту:

   sh

    

   sudo apt update sudo apt upgrade

2. Автоматты жаңартуларды баптау: Қауіпсіздікті автоматты түрде жаңарту үшін unattended-upgrades пакетін орнатыңыз.

   sh

    

   sudo apt install unattended-upgrades sudo dpkg-reconfigure --priority=low unattended-upgrades

Конфигурациялық файлдарды қорғау

1. Nginx конфигурациялық файлдарының қатынас құқықтарын баптау:

   sh

    

   sudo chown -R root:root /etc/nginx sudo chmod -R 644 /etc/nginx

2. Сындарлы файлдарға қатынас құқықтарын шектеу: Конфигурациялық файлдардың тек root пайдаланушыға қолжетімді екендігіне көз жеткізіңіз.

   sh

    

   sudo chmod 600 /etc/nginx/nginx.conf sudo chmod 600 /etc/nginx/sites-available/default

Қорытынды

Ubuntu 22.04 жүйесінде Nginx веб-серверін қорғау үшін қауіпсіздік баптаулары бірнеше маңызды қадамдарды қамтиды, мысалы, файрволды баптау, SSL/TLS пайдалану, DDoS-шабуылдардан қорғау және fail2ban құралын пайдалану.

Бұл шаралар веб-серверіңіздің қауіпсіздік деңгейін айтарлықтай арттыруға және оны көптеген ықтимал қауіптерден қорғауға көмектеседі.

Жүйені үнемі жаңартып отыру және конфигурациялық файлдарға қатынас құқықтарын баптау да қауіпсіздікті қамтамасыз етуде маңызды рөл атқарады.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.