本發(fā)明涉及網(wǎng)絡(luò)安全配置技術(shù)領(lǐng)域,具體地說是一種基于ssr基線庫對nginx服務(wù)器進行安全配置的方法���。
背景技術(shù):
隨著計算機技術(shù)的發(fā)展���,web應(yīng)用越來越廣泛,對b/s架構(gòu)的軟件的安全要求越來越高����,現(xiàn)在又是在大力發(fā)展網(wǎng)絡(luò)安全�����,同時由于惡意攻擊者及黑色產(chǎn)業(yè)的存在���,對網(wǎng)絡(luò)信息安全的要求也是不斷加大。有效的提升軟件產(chǎn)品的安全性�����,保障軟件的可靠及用戶的放心使用���,這些成為急需解決的技術(shù)問題�。
這個問題的解決從技術(shù)方面來說可以分為很多部分的安全配置��、加固���。在軟件中使用ssl/tls加密通信��,可以在傳輸層保證了我們的通信內(nèi)容不被惡意攻擊者直接明文查看,加密保護了我們對web的訪問�,但是由于ssl/tls近年爆出了一些高風(fēng)險的漏洞���,后果也是很嚴重,影響很大�,而對于我們使用nginx服務(wù)器來說,就需要對其加密套件進行合理選用�����。
上述對加密套件的選用以及對高風(fēng)險漏洞的修復(fù)需要提供一個合理的標準來進行加密套件的選擇和漏洞的查找��。
技術(shù)實現(xiàn)要素:
為克服上述現(xiàn)有技術(shù)存在的不足�����,本發(fā)明的目的在于提供一種基于ssr基線庫對nginx服務(wù)器進行安全配置的方法����。該方法為服務(wù)器的安全配置提供安全標準,保證nginx服務(wù)器的安全穩(wěn)定運行����。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種基于ssr基線庫對nginx服務(wù)器進行安全配置的方法,其特征是:
包括以下步驟�����,
s1,通過ssr基線庫對nginx服務(wù)器所處的環(huán)境進行安全性掃描與漏洞修復(fù)�����;
s2��,查看nginx服務(wù)器的加密套件���;
s3�,通過ssr基線庫對nginx服務(wù)器的加密套件進行安全性分析���;
s4���,對加密套件進行修改,重新配置nginx服務(wù)器的加密套件�。
進一步地,ssr基線庫對nginx服務(wù)器的環(huán)境參數(shù)設(shè)置安全基線���,在進行安全性掃描時����,如果nginx服務(wù)器所處環(huán)境的相應(yīng)參數(shù)超過基線規(guī)定的范圍,則對此處進行漏洞修復(fù)�����。
進一步地��,基線庫對nginx服務(wù)器加密套件的安全性設(shè)置基線����,通過對比nginx服務(wù)器中加密套件與安全基線的關(guān)系判斷nginx服務(wù)器加密套件的安全性���。
進一步地���,對加密套件進行修改包括刪除不安全加密套件和/或增加指定的加密套件。
進一步地�,對加密套件進行安全性分析包括對加密套件的格式和密鑰強度的分析。
進一步地���,對于對稱加密的加密套件選用密鑰強度在128及以上的套件���,對于非對稱加密的加密套件選用密鑰強度在2048及以上的套件。
本發(fā)明的有益效果是:
本發(fā)明在ssr中引入基線庫��,為nginx服務(wù)器的環(huán)境參數(shù)設(shè)置了安全基線,當服務(wù)器所處環(huán)境下的環(huán)境參數(shù)超過基線范圍�����,則提示風(fēng)險項并進行相應(yīng)安全項的修改���,保證了nginx服務(wù)器的安全穩(wěn)定運行��;
基線庫為加密套件設(shè)置了安全基線�,當加密套件的安全性不滿足安全基線的要求��,則進行相應(yīng)加密套件的修改�,保證nginx服務(wù)器配置的安全性。
附圖說明
圖1是本發(fā)明所述方法的流程示意圖����。
具體實施方式
為能清楚說明本方案的技術(shù)特點,下面通過具體實施方式��,并結(jié)合其附圖��,對本發(fā)明進行詳細闡述���。下文的公開提供了許多不同的實施例或例子用來實現(xiàn)本發(fā)明的不同結(jié)構(gòu)���。為了簡化本發(fā)明的公開���,下文中對特定例子的部件和設(shè)置進行描述。此外�����,本發(fā)明可以在不同例子中重復(fù)參考數(shù)字和/或字母��。這種重復(fù)是為了簡化和清楚的目的����,其本身不指示所討論各種實施例和/或設(shè)置之間的關(guān)系�����。應(yīng)當注意�����,在附圖中所圖示的部件不一定按比例繪制�。本發(fā)明省略了對公知組件和處理技術(shù)及工藝的描述以避免不必要地限制本發(fā)明。
nginx服務(wù)器作為一款性能高,并且能實現(xiàn)負載均衡的架構(gòu)�����,深受用戶喜愛,但是其安全性不夠。本發(fā)明提出了使用ssr針對nginx服務(wù)器加密套件以及服務(wù)器運行環(huán)境參數(shù)的安全配置方法�����,對加密套件進行增刪����,以獲得想要使用的加密配件;對服務(wù)器運行環(huán)境進行參數(shù)掃描�,及時修復(fù)風(fēng)險項,保證nginx服務(wù)器安全穩(wěn)定的運行���。
ssr是symantecsystemrecovery的簡稱�����,能夠提供操作系統(tǒng)完整回復(fù)功能�����。如圖1所示����,本發(fā)明的方法包括以下步驟:
s1,通過ssr基線庫對nginx服務(wù)器所處的環(huán)境進行安全性掃描與漏洞修復(fù)��;
s2����,查看nginx服務(wù)器的加密套件;
s3�����,通過ssr基線庫對nginx服務(wù)器的加密套件進行安全性分析���;
s4,對加密套件進行修改�����,重新配置nginx服務(wù)器的加密套件���。
步驟s1中����,利用ssr內(nèi)部的基線庫�����,首先對nginx所處的環(huán)境進行安全掃描,基線庫對nginx服務(wù)器的環(huán)境參數(shù)設(shè)置安全基線�����,在對nginx服務(wù)器進行環(huán)境參數(shù)掃描時��,如果發(fā)現(xiàn)nginx服務(wù)器所處環(huán)境的相應(yīng)參數(shù)超過基線規(guī)定的范圍���,則認為此處存在風(fēng)險����,對分析的風(fēng)險進行漏洞修復(fù)�����,然后進行部署����。
步驟s2中,對nginx服務(wù)器所使用的加密套件進行查看�����。對nginx服務(wù)器使用openssl,通過命令:openssls_client-connectwww.xxx.com:port-cipherexport或工具(sslscan)來查看加密套件�����。
步驟s3中���,基線庫對nginx服務(wù)器加密套件的安全性設(shè)置基線�,通過對比nginx服務(wù)器中加密套件與安全基線的關(guān)系判斷nginx服務(wù)器加密套件的安全性�。例如對密鑰強度的安全基線設(shè)置為對稱加密應(yīng)用128及以上,nginx服務(wù)器中加密套件的密鑰強度小于128�,則認為這個加密套件不安全。
步驟s4中��,對nginx服務(wù)器加密套件進行修改包括刪除nginx服務(wù)器中使用的不安全加密套件����,禁用該種加密方式���,同時增加指定的加密套件���,實現(xiàn)指定的加密方式。來實現(xiàn)nginx服務(wù)器加密套件的重新配置�。其中指定的加密方式為經(jīng)過檢驗的強加密的安全方式���。
本發(fā)明對加密套件的分析包含:協(xié)議版本、密鑰交換算法��、加密算法��、散列算法�����、密鑰長度等方面��,選取安全性高的組合��,禁用安全性低的套件�����,以避免攻擊者利用弱加密套件的漏洞進行攻擊���,保證了數(shù)據(jù)在傳輸層傳輸時的可認證性����、機密性、完整性及重放保護����。
每個套件都以“ssl”或“tls”開頭,緊跟著的是密鑰交換算法���。用“with”這個詞把密鑰交換算法��、加密算法�、散列算法分開(也可以不存在該分隔)�,例如:ssl3_dhe_rsa_with_des_cbc_md5,表示把dhe_rsa(帶有rsa數(shù)字簽名的暫時diffie-hellman)定義為密鑰交換算法;把des_cbc定義為加密算法��;把md5定義為散列算法��。
但該格式并不固定����,比如有tls_ecdhe_rsa_with_aes_128_cbc_sha這樣的寫法,其中的“128”是指加密算法的密鑰強度�����。
ssr基線庫對加密套件中的套件格式及密鑰強度設(shè)置安全基線�,對密鑰的安全性分析表述如下:
dhe(離散對數(shù))優(yōu)于ecdhe(橢圓曲線);非對稱優(yōu)于對稱(des<3des<aes<rsa<dsa(只用于數(shù)字簽名)<ecc)��;散列算法:sha優(yōu)于md5��;分組模式:gcm優(yōu)于cbc����;sha-2(sha-224、sha-256�、sha-384,和sha-512)優(yōu)于sha-1�;rc4應(yīng)被完全移除(安全問題多,如受戒禮漏洞)����;tls優(yōu)于ssl,tls1.1<tls1.3<tls1.2�����。
密鑰強度:對稱加密應(yīng)用128及以上���;非對稱應(yīng)用2048及以上���。
通過ssr基線庫對加密套件的分析�,以下是已經(jīng)被棄用的:anull包含未驗證diffie-hellman密鑰交換����,易受攻擊;enull包含未加密密碼(明文)�����;export被美國法律標記為遺留弱密碼���;rc4包含了密碼�,使用廢棄arcfour算法��;des包含了密碼��,使用棄用數(shù)據(jù)加密標準�����;sslv2包含所有密碼,在舊版本中定義ssl的標準,現(xiàn)在棄用��;md5包含所有的密碼�����,使用過時的消息摘要5作為散列算法����。
通過以上判斷依據(jù)做出相應(yīng)選擇,刪除掉不安全的套件��,對于nginx服務(wù)器其具體方法為:在server.xml中sslconnector中的ciphers字段中刪除或添加相應(yīng)的套件���。
對重新配置的安全套件按照加密套件的安全性強弱進行排列�。
以上所述只是本發(fā)明的優(yōu)選實施方式��,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進和潤飾��,這些改進和潤飾也被視為本發(fā)明的保護范圍�����。