Os passos a seguir foram baseados nas configurações de servidor utilizando nosso Post Instalando o Proxy Reverso com Ngnix no CentOS7.
Uma possível configuração, para melhorar a configuração de segurança de um site “por trás” do NginX é adicionar os seguintes itens no arquivo de configuração desse site:
- Vamos adicionar na configuração global, um cabeçalho que evita que a maioria dos navegadores faça detecção MIME e protejer de clickjacking. Para isso, edite o arquivo /etc/nginx/nginx.conf e, dentro da sessão http{ adicione o seguinte conteúdo:
add_header X-Content-Type-Options “nosniff”;
add_header X-Frame-Options “SAMEORIGIN”;
- Dentro de upstream (veja nosso post sobre como Configurar o proxy reverso NginX para balancear conexões entre servidores), na linha em que cadastrou o server, adicione a variável max_conns=100, exemplo:
upstream pool_seusite.suaempresa.com {
least_conn;
server 192.168.0.15 fail_timeout=30s max_fails=3 max_conns=100;
}- Ainda no arquivo conf do seu site, adicione as linhas em cinza do exemplo abaixo:
upstream pool_site_suaempresa.com.br {
least_conn;
server IP_SERVIDOR1 fail_timeout=30s max_fails=3;
server IP_SERVIDOR2 fail_timeout=30s max_fails=3;
}
limit_conn_zone $binary_remote_addr zone=limitconnbyaddr:20m;
limit_conn_status 429;
server {
listen 80;
server_name www.suaempresa.com.br suaempresa.com.br;
access_log /var/log/nginx/suaempresa.com.br.log main;
error_log /var/log/nginx/suaempresa.com.br.log;
limit_conn limitconnbyaddr 50;
location / {
proxy_pass http://pool_site_suaempresa.com.br;
proxy_read_timeout 5m;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Client-IP $remote_addr;
proxy_http_version 1.1;
proxy_set_header Connection "";
}
}- Dentro da configuração de conexão (server), adicione os seguintes filtros em cinza do exemplo abaixo:
upstream pool_site_suaempresa.com.br {
least_conn;
server IP_SERVIDOR1 fail_timeout=30s max_fails=3;
server IP_SERVIDOR2 fail_timeout=30s max_fails=3;
}
server {
listen 80;
server_name www.suaempresa.com.br suaempresa.com.br;
access_log /var/log/nginx/suaempresa.com.br.log main;
error_log /var/log/nginx/suaempresa.com.br.log;
## Block SQL injections
set $block_sql_injections 0;
if ($query_string ~ "union.*select.*\(") {
set $block_sql_injections 1;
}
if ($query_string ~ "union.*all.*select.*") {
set $block_sql_injections 1;
}
if ($query_string ~ "concat.*\(") {
set $block_sql_injections 1;
}
if ($block_sql_injections = 1) {
return 403;
}
## Block file injections
set $block_file_injections 0;
if ($query_string ~ "[a-zA-Z0-9_]=http://") {
set $block_file_injections 1;
}
if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") {
set $block_file_injections 1;
}
if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") {
set $block_file_injections 1;
}
if ($block_file_injections = 1) {
return 403;
}
## Block common exploits
set $block_common_exploits 0;
if ($query_string ~ "(<|%3C).*script.*(>|%3E)") {
set $block_common_exploits 1;
}
if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") {
set $block_common_exploits 1;
}
if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") {
set $block_common_exploits 1;
}
if ($query_string ~ "proc/self/environ") {
set $block_common_exploits 1;
}
if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") {
set $block_common_exploits 1;
}
if ($query_string ~ "base64_(en|de)code\(.*\)") {
set $block_common_exploits 1;
}
if ($block_common_exploits = 1) {
return 403;
}
## Block spam
set $block_spam 0;
if ($query_string ~ "\b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)\b") {
set $block_spam 1;
}
if ($query_string ~ "\b(erections|hoodia|huronriveracres|impotence|levitra|libido)\b") {
set $block_spam 1;
}
if ($query_string ~ "\b(ambien|blue\spill|cialis|cocaine|ejaculation|erectile)\b") {
set $block_spam 1;
}
if ($query_string ~ "\b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)\b") {
set $block_spam 1;
}
if ($block_spam = 1) {
return 403;
}
## Block user agents
set $block_user_agents 0;
# Don't disable wget if you need it to run cron jobs!
if ($http_user_agent ~ "Wget") {
set $block_user_agents 1;
}
# Disable Akeeba Remote Control 2.5 and earlier
if ($http_user_agent ~ "Indy Library") {
set $block_user_agents 1;
}
# Common bandwidth hoggers and hacking tools.
if ($http_user_agent ~ "libwww-perl") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "GetRight") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "GetWeb!") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "Go!Zilla") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "Download Demon") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "Go-Ahead-Got-It") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "TurnitinBot") {
set $block_user_agents 1;
}
if ($http_user_agent ~ "GrabNet") {
set $block_user_agents 1;
}
if ($block_user_agents = 1) {
return 403;
}
location / {
proxy_pass http://pool_site_suaempresa.com.br;
proxy_read_timeout 5m;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Client-IP $remote_addr;
proxy_http_version 1.1;
proxy_set_header Connection "";
}
}Fontes/Referências
NVLAN – Configurar o proxy reverso NginX para balancear conexões entre servidores
NVLAN – Instalando o Proxy Reverso com Ngnix no CentOS7
https://howtoforge.com/nginx-how-to-block-exploits-sql-injections-file-injections-spam-user-agents-etc
https://learn.microsoft.com/pt-br/aspnet/core/host-and-deploy/linux-nginx
https://tecmint.com/limit-connections-in-nginx
Mais Informações
Esperamos ter te ajudado e estaremos sempre a disposição para mais informações.
Se você tem interesse em algum assunto específico, tem alguma dúvida, precisa de ajuda, ou quer sugerir um post, entre em contato conosco pelo e-mail equipe@nvlan.com.br.
