网站安全-Web安全攻防-nginx漏洞修复

网站安全-Web安全攻防-nginx漏洞修复

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。下文中,网络安全既指计算机网络安全,又指计算机通信网络安全。

网站安全-Web安全攻防-nginx漏洞修复相对概念
从用户(个人或企业)的角度来讲,其希望:
(1)在网络上传输的个人信息(如银行账号和上网登录口令等)不被他人发现,这就是用户对网络上传输的信息具有保密性的要求。
(2)在网络上传输的信息没有被他人篡改,这就是用户对网络上传输的信息具有完整性的要求。
(3)在网络上发送的信息源是真实的,不是假冒的,这就是用户对通信各方提出的身份认证的要求。
(4)信息发送者对发送过的信息或完成的某种操作是承认的,这就是用户对信息发送者提出的不可否认的要求。
从网络运行和管理者的角度来讲,其希望本地信息网正常运行,正常提供服务,不受网外攻击,未出现计算机病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁。从安全保密部门的角度来讲,其希望对非法的、有害的、涉及国家安全或商业机密的信息进行过滤和防堵,避免通过网络泄露关于国家安全或商业机密的信息,避免对社会造成危害,对企业造成经济损失。从社会教育和意识形态的角度来讲,应避免不健康内容的传播,正确引导积极向上的网络文化。

关于阿里云的服务器、系统相关漏洞修复问题:

风险重要提醒(必读)
由于云安全中心漏洞修复在测试中无法覆盖所有系统环境,进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过控制台手动创建快照并自行搭建环境充分测试修复方案。

另请参考系统软件漏洞修复最佳实践。

系统漏洞修复

什么是nginx?

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。
其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。nginx服务器修复

nginx反向代理是什么-什么是nginx反向代理

使用代理服务器可以将请求转发给内部的Web服务器,使用这种加速模式显然可以提升静态网页的访问速度。因此也可以考虑使用这种技术,让代理服务器将请求 均匀转发给多台内部Web服务器之一上,从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同,标准代理方式是客户使用代理访问多个外部Web 服务器,而这种代理方式是多个客户使用它访问内部Web服务器,因此也被称为反向代理模式。

nginx 实现反向代理负载均衡

1)环境:

a. 本地使用Windows系统,然后使用VirutalBox安装一个虚拟的Linux系统。
在本地的Windows系统上分别安装nginx(侦听8080端口)和apache(侦听80端口)。在虚拟的Linux系统上安装apache(侦听80端口)。这样相当于拥有了1台nginx在前端作为反向代理服务器;后面有2台apache作为应用程序服务器(可以看作是小型的server cluster。;-));
b. nginx用来作为反向代理服务器,放置到两台apache之前,作为用户访问的入口。
nginx仅仅处理静态页面,动态的页面(php请求)统统都交付给后台的两台apache来处理。也就是说,可以把网站的静态页面或者文件放置到nginx的目录下;动态的页面和数据库访问都保留到后台的apache服务器上。
c. 如下两种方法实现server cluster的负载均衡。
假设前端nginx(为127.0.0.1:8080)仅仅包含一个静态页面index.html;后 台的两个apache服务器(分别为localhost:80和158.37.70.143:80),一台根目录放置phpMyAdmin文件夹和 test.php(里面测试代码为print "server1";),另一台根目录仅仅放置一个test.php(里面测试代码为print "server2";)。漏洞修复 2)针对不同请求的负载均衡:

a. 在最简单地构建反向代理的时候(nginx仅仅处理静态不处理动态内容,动态内容交给后台的apache server来处理),具体的设置为:在nginx.conf中修改:
location ~ \.php$ {
proxy_pass 158.37.70.143:80;
}
>;这样当客户端访问localhost:8080/index.html的时候,前端的nginx会自动进行响应;
>;当用户访问localhost:8080/test.php的时候(这个时候nginx目录下根本就没有该文件),但是通过上面的设置location ~ \.php$(表示正则表达式匹配以.php结尾的文件,详情参看location是如何定义和匹配的),nginx服务器会自动pass给158.37.70.143的apache服务器了。该服务器下的test.php就会被自动解析,然后将html的 结果页面返回给nginx,然后nginx进行显示(如果nginx使用memcached模块或者squid还可以支持缓存),输出结果为打印 server2。
如上是最为简单的使用nginx做为反向代理服务器的例子。
b. 我们现在对如上例子进行扩展,使其支持如上的两台服务器。
设置nginx.conf的server模块部分,将对应部分修改为:
location ^~ /phpMyAdmin/ {
proxy_pass 127.0.0.1:80;
}
location ~ \.php$ {
proxy_pass 158.37.70.143:80;
}
上面第一个部分location ^~ /phpMyAdmin/,表示不使用正则表达式匹配(^~),而是直接匹配,也就是如果客户端访问的URL是以http://localhost:8080/phpMyAdmin/开头的话(本地的nginx目录下根本没有phpMyAdmin目录),nginx会自动pass到127.0.0.1:80的Apache服务器,该服务器对phpMyAdmin目录下的页面进行解析,然后将结果发送给nginx,后者显示;
如果客户端访问URL是http://localhost/test.php的话,则会被pass到158.37.70.143:80的apache进行处理。
因此综上,实现了针对不同请求的负载均衡。
>;如果用户访问静态页面index.html,最前端的nginx直接进行响应;
>;如果用户访问test.php页面的话,158.37.70.143:80的Apache进行响应;
>;如果用户访问目录phpMyAdmin下的页面的话,127.0.0.1:80的Apache进行响应。
3)访问同一页面的负载均衡:
即用户访问http://localhost:8080/test.php这个同一页面的时候,实现了两台服务器的负载均衡(实际情况中,这两个服务器上的数据要求同步一致,这里我们分别定义了打印server1和server2是为了进行辨认区别)。
a. 现在的情况是在windows下nginx是localhost侦听8080端口;
两台apache,一台是127.0.0.1:80(包含test.php页面但是打印server1),另一台是虚拟机的158.37.70.143:80(包含test.php页面但是打印server2)。网站服务器安全修复
b. 因此重新配置nginx.conf为:
>;首先在nginx的配置文件nginx.conf的http模块中添加,服务器集群server cluster(我们这里是两台)的定义:
upstream myCluster {
server 127.0.0.1:80;
server 158.37.70.143:80;
}
表示这个server cluster包含2台服务器
>;然后在server模块中定义,负载均衡:
location ~ \.php$ {
proxy_passhttp://myCluster; #这里的名字和上面的cluster的名字相同
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For$proxy_add_x_forwarded_for;
}
这样的话,如果访问http://localhost:8080/test.php页面的话,nginx目录下根本没有该文件,但是它会自动将其pass到myCluster定义的服务区机群中,分别由127.0.0.1:80;或者158.37.70.143:80;来做处理。上面在定义upstream的时候每个server之后没有定义权重,表示两者均衡;如果希望某个更多响应的话例如:
upstream myCluster {
server 127.0.0.1:80weight=5;
server 158.37.70.143:80;
}
这样表示5/6的几率访问第一个server,1/6访问第二个。另外还可以定义max_fails和fail_timeout等参数。

综上,通过使用nginx的反向代理服务器reverse proxy server的功能,将其布置到多台apache server的前端。nginx仅仅用来处理静态页面响应和动态请求的代理pass,后台的apache server作为app server来对前台pass过来的动态页面进行处理并返回给nginx。
通过以上的架构,我们可以实现nginx和多台apache构成的机群cluster的负载均衡。
两种均衡:
1)可以在nginx中定义访问不同的内容,代理到不同的后台server;如上例子中的访问phpMyAdmin目录代理到第一台server上;访问test.php代理到第二台server上;

2)可以在nginx中定义访问同一页面,均衡(当然如果服务器性能不同可以定义权重来均衡)地代理到不同的后台server上。如上的例子访问test.php页面,会均衡地代理到server1或者server2上。
实际应用中,server1和server2上分别保留相同的app程序和数据,需要考虑两者的数据同步。

点赞
  1. AnWen AnWen说道:
    Google Chrome Google Chrome Windows 10 Windows 10

    注意以上中的 不建立快照直接修复,如果选择这一项,一定要有把握修复成功,如果不使用 自动创建快照并修复,可以在修复这些之前,可先对网站、数据库进行备份并下载到本地,以防万一导致损失!

发表评论

电子邮件地址不会被公开。必填项已用 * 标注!昵称可为公司名称哦!SEO优化、网站诊断分析方案请联系微信/QQ:2690502116。