本发明专利技术公开了一种基于SSR基线库对Nginx服务器进行安全配置的方法,通过SSR基线库分别对Nginx服务器的环境参数进行基线扫描以及对加密套件的安全性进行分析,为Nginx服务器配置安全的加密套件。本发明专利技术在SSR中引入基线库,为Nginx服务器的环境参数和加密套件设置了安全基线,当服务器所处环境下的环境参数超过基线范围,则提示风险项并进行相应安全项的修改,保证了Nginx服务器的安全稳定运行;当加密套件的安全性不满足基线要求,则进行相应加密套件的修改,保证Nginx服务器配置的安全性。
【技术实现步骤摘要】
一种基于SSR基线库对Nginx服务器进行安全配置的方法
本专利技术涉及网络安全配置
,具体地说是一种基于SSR基线库对Nginx服务器进行安全配置的方法。
技术介绍
随着计算机技术的发展,web应用越来越广泛,对B/S架构的软件的安全要求越来越高,现在又是在大力发展网络安全,同时由于恶意攻击者及黑色产业的存在,对网络信息安全的要求也是不断加大。有效的提升软件产品的安全性,保障软件的可靠及用户的放心使用,这些成为急需解决的技术问题。这个问题的解决从技术方面来说可以分为很多部分的安全配置、加固。在软件中使用SSL/TLS加密通信,可以在传输层保证了我们的通信内容不被恶意攻击者直接明文查看,加密保护了我们对web的访问,但是由于SSL/TLS近年爆出了一些高风险的漏洞,后果也是很严重,影响很大,而对于我们使用Nginx服务器来说,就需要对其加密套件进行合理选用。上述对加密套件的选用以及对高风险漏洞的修复需要提供一个合理的标准来进行加密套件的选择和漏洞的查找。
技术实现思路
为克服上述现有技术存在的不足,本专利技术的目的在于提供一种基于SSR基线库对Nginx服务器进行安全配置的方法。该方法为服务器的安全配置提供安全标准,保证Nginx服务器的安全稳定运行。本专利技术解决其技术问题所采用的技术方案是:一种基于SSR基线库对Nginx服务器进行安全配置的方法,其特征是:包括以下步骤,S1,通过SSR基线库对Nginx服务器所处的环境进行安全性扫描与漏洞修复;S2,查看Nginx服务器的加密套件;S3,通过SSR基线库对Nginx服务器的加密套件进行安全性分析;S4,对加密套件进行修改,重新配置Nginx服务器的加密套件。进一步地,SSR基线库对Nginx服务器的环境参数设置安全基线,在进行安全性扫描时,如果Nginx服务器所处环境的相应参数超过基线规定的范围,则对此处进行漏洞修复。进一步地,基线库对Nginx服务器加密套件的安全性设置基线,通过对比Nginx服务器中加密套件与安全基线的关系判断Nginx服务器加密套件的安全性。进一步地,对加密套件进行修改包括删除不安全加密套件和/或增加指定的加密套件。进一步地,对加密套件进行安全性分析包括对加密套件的格式和密钥强度的分析。进一步地,对于对称加密的加密套件选用密钥强度在128及以上的套件,对于非对称加密的加密套件选用密钥强度在2048及以上的套件。本专利技术的有益效果是:本专利技术在SSR中引入基线库,为Nginx服务器的环境参数设置了安全基线,当服务器所处环境下的环境参数超过基线范围,则提示风险项并进行相应安全项的修改,保证了Nginx服务器的安全稳定运行;基线库为加密套件设置了安全基线,当加密套件的安全性不满足安全基线的要求,则进行相应加密套件的修改,保证Nginx服务器配置的安全性。附图说明图1是本专利技术所述方法的流程示意图。具体实施方式为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。Nginx服务器作为一款性能高,并且能实现负载均衡的架构,深受用户喜爱,但是其安全性不够。本专利技术提出了使用SSR针对Nginx服务器加密套件以及服务器运行环境参数的安全配置方法,对加密套件进行增删,以获得想要使用的加密配件;对服务器运行环境进行参数扫描,及时修复风险项,保证Nginx服务器安全稳定的运行。SSR是SymantecSystemRecovery的简称,能够提供操作系统完整回复功能。如图1所示,本专利技术的方法包括以下步骤:S1,通过SSR基线库对Nginx服务器所处的环境进行安全性扫描与漏洞修复;S2,查看Nginx服务器的加密套件;S3,通过SSR基线库对Nginx服务器的加密套件进行安全性分析;S4,对加密套件进行修改,重新配置Nginx服务器的加密套件。步骤S1中,利用SSR内部的基线库,首先对Nginx所处的环境进行安全扫描,基线库对Nginx服务器的环境参数设置安全基线,在对Nginx服务器进行环境参数扫描时,如果发现Nginx服务器所处环境的相应参数超过基线规定的范围,则认为此处存在风险,对分析的风险进行漏洞修复,然后进行部署。步骤S2中,对Nginx服务器所使用的加密套件进行查看。对Nginx服务器使用openssl,通过命令:openssls_client-connectwww.xxx.com:port-cipherEXPORT或工具(sslscan)来查看加密套件。步骤S3中,基线库对Nginx服务器加密套件的安全性设置基线,通过对比Nginx服务器中加密套件与安全基线的关系判断Nginx服务器加密套件的安全性。例如对密钥强度的安全基线设置为对称加密应用128及以上,Nginx服务器中加密套件的密钥强度小于128,则认为这个加密套件不安全。步骤S4中,对Nginx服务器加密套件进行修改包括删除Nginx服务器中使用的不安全加密套件,禁用该种加密方式,同时增加指定的加密套件,实现指定的加密方式。来实现Nginx服务器加密套件的重新配置。其中指定的加密方式为经过检验的强加密的安全方式。本专利技术对加密套件的分析包含:协议版本、密钥交换算法、加密算法、散列算法、密钥长度等方面,选取安全性高的组合,禁用安全性低的套件,以避免攻击者利用弱加密套件的漏洞进行攻击,保证了数据在传输层传输时的可认证性、机密性、完整性及重放保护。每个套件都以“SSL”或“TLS”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开(也可以不存在该分隔),例如:SSL3_DHE_RSA_WITH_DES_CBC_MD5,表示把DHE_RSA(带有RSA数字签名的暂时Diffie-HellMan)定义为密钥交换算法;把DES_CBC定义为加密算法;把MD5定义为散列算法。但该格式并不固定,比如有TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA这样的写法,其中的“128”是指加密算法的密钥强度。SSR基线库对加密套件中的套件格式及密钥强度设置安全基线,对密钥的安全性分析表述如下:DHE(离散对数)优于ECDHE(椭圆曲线);非对称优于对称(DES<3DES<AES<RSA<DSA(只用于数字签名)<ECC);散列算法:SHA优于MD5;分组模式:GCM优于CBC;SHA-2(SHA-224、SHA-256、SHA-384,和SHA-512)优于SHA-1;RC4应被完全移除(安全问题多,如受戒礼漏洞);TLS优于ssl,tls1.1<tls1.3<tls1.2。密钥强度:对称加密应用128及以上;非对称应用2048及以上。通过SSR基线库对加密套件的分析,以下是已经被弃用的:aNULL包含未验证本文档来自技高网...
【技术保护点】
一种基于SSR基线库对Nginx服务器进行安全配置的方法,其特征是:包括以下步骤,S1,通过SSR基线库对Nginx服务器所处的环境进行安全性扫描与漏洞修复;S2,查看Nginx服务器的加密套件;S3,通过SSR基线库对Nginx服务器的加密套件进行安全性分析;S4,对加密套件进行修改,重新配置Nginx服务器的加密套件。
【技术特征摘要】
1.一种基于SSR基线库对Nginx服务器进行安全配置的方法,其特征是:包括以下步骤,S1,通过SSR基线库对Nginx服务器所处的环境进行安全性扫描与漏洞修复;S2,查看Nginx服务器的加密套件;S3,通过SSR基线库对Nginx服务器的加密套件进行安全性分析;S4,对加密套件进行修改,重新配置Nginx服务器的加密套件。2.根据权利要求1所述的一种基于SSR基线库对Nginx服务器进行安全配置的方法,其特征是:SSR基线库对Nginx服务器的环境参数设置安全基线,在进行安全性扫描时,如果Nginx服务器所处环境的相应参数超过基线规定的范围,则对此处进行漏洞修复。3.根据权利要求1所述的一种基于SSR基线库对Nginx服务器进行安全配置的方法,其特征...
【专利技术属性】
技术研发人员:路廷文,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。