2.1　Web组件安全

Web组件包罗万象，本节主要介绍Nginx、PHP、Tomcat组件的安全问题，其他组件在下一节介绍。

2.1.1　Nginx安全

Nginx是一个高性能的HTTP和反向代理Web服务器，在出现之后，使得网站服务从LAMP（Linux、Apache、MySQL、PHP）组合很快变成了LNMP（Linux、Nginx、MySQL、PHP），通过搜索两个关键字发现Nginx的应用数量更高，如图2-1所示，因此本节将介绍Nginx相关的安全问题。

图2-1　Nginx与Apache使用对比

1.Nginx基本安全配置

读者应该全面了解Nginx的配置文件，这里笔者只重点介绍一些常见的安全配置建议。

（1）关闭列目录

Nginx默认是不允许列出整个目录的，不过为了安全，最好还是确认这个选项是否真的关闭，否则有可能导致整个Web站点代码泄露。在配置文件中确认（下述都是在Nginx配置文件中确认或配置），如见到autoindex on；（可能在HTTP、server、location这三个位置），则列目录功能被打开，除非有特殊需要（例如提供下载等），否则建议关闭，如图2-2所示。

图2-2　在Nginx配置文件中确认列目录功能是否打开

（2）关闭版本号显示

Nginx默认会在返回的数据包中显示版本号，如图2-3所示。

这就有可能被别有用心的人针对这个版本进行信息收集，或有针对性地进行攻击。因此要注意遵循对外提示信息越少越好的原则，建议关掉版本号信息，命令如下：

---

server {
server_tokens off;
}

---

关闭后的显示如图2-4所示。

图2-3　显示Nginx版本号

图2-4　关闭Nginx版本号的显示

（3）访问控制

对Nginx是可以做访问限制的，allow是允许访问的IP和IP段，deny是禁止访问的IP和IP段，例如，只允许10.255.0.0/24和主机172.31.255.1访问，代码如下：

---

location / {
    allow 10.255.0.0/24;
    allow 172.31.255.251;
    deny all;
}

---

想更精准地控制访问权限，还可使用auth_basic指令，用户必须输入有效的用户名和密码才能访问站点。用户名和密码应该列在auth_basic_user_file指令设置的文件中：

---

server {
    ...
    auth_basic "Authorized Require";         //可以随意定义，为显示提示的内容
    auth_basic_user_file conf/htpasswd;      //使用htpasswd命令生成的文件
}

---

在网络中，时常会遇到各类爬虫，要通过Web服务器做到反爬（防盗链），可以使用Nginx默认的location实现：

---

location / {
    valid_referers none blocked www.example.com example.com;
    if （$invalid_referer） {
        return 403;
    }
}

---

另外，还可以使用location参数限制外部可以访问的资源，例如，不允许访问zip、rar、gz、bak等文件（有些管理员会把一些日志或网站备份到网站目录下），代码如下：

---

location ~* .*\.（zip|rar|gz|bak）?$ {
          deny all ;
}

---

更多location配置可以参考官方文档。

（4）启用HTTPS

为了站点安全，推荐开启HTTPS（Hyper Text Transfer Protocol over SecureSocket Layer）。HTTPS是以安全为目标的HTTP通道。在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础上加入SSL层（需要在编译时使用--with-http_ssl_modul参数，并获得证书）：

---

server {
    listen          443;                       //将监听端口修改为443,默认为80
    server_name     website.name;              //设置网站名

    ssl on;
    ssl_certificate  cert/2019/cert.pem;       //设置证书位置
    ssl_certificate_key  cert/2019/cert.key;   //设置证书私钥位置
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!
    aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1.2;
    ssl_session_tickets on;
    ssl_stapling        on;
    ssl_stapling_verify on;
    ssl_prefer_server_ciphers on;

---

2.Nginx透过代理获取真实客户端IP

在应用服务器上，Nginx日志中采集的关于定位用户身份信息的IP维度数据有可能会不准确，不准确的原因是：因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP，XFF字段很容易被攻击者伪造，而remote_addr字段一般采集的都是直连时的IP，在经过多层代理、网关等设备时，更容易导致后端服务器获取的客户端IP不真实。

这里给出一个案例，拓扑图如图2-5所示。

图2-5　Nginx透过代理获取真实客户端IP案例

在默认配置下，客户访问Server服务器，只能得到Proxy2的IP，而如果客户端伪造XFF信息，Server端也只能得到伪造后的信息。因此可以使用X-Forwarded-For+Nginx的realip模块获取客户端的真实IP。

首先，确认在编译时已经使用了-with-http_realip_module参数（可以通过nginx-V命令查看），在Server角色的Nginx配置文件中配置三个参数：

·set_real_ip_from：表示从何处获取真实IP，只认可自己信赖的IP，可以是网段，也可以设置多个。

·real_ip_header：表示从哪个header属性中获取真实IP。

·real_ip_recursive：递归检索真实IP，如果从X-Forwarded-For中获取，则需要递归检索；如果从X-Real-IP中获取，则无须递归。

相关配置如下：

proxy1与proxy2服务器正常配置，设置代理并且设置XFF字段信息。此时，即使客户端伪造XFF信息，Server端也可以获取真实的信息。更多细节可以参考heysec公众号中的“日志分析系列（外传一）：Nginx透过代理获取真实客户端IP”。

3.Nginx漏洞回顾

Nginx也出现过比较严重的漏洞，下面列举两个比较严重的漏洞。

（1）Nginx文件解析漏洞

Nginx文件解析漏洞是Nginx中PHP配置不当而造成的，与Nginx版本无关，但在高版本的PHP中，由于security.limit_extensions的引入，使得该漏洞难以被成功利用。当请求中的URL中路径名以*.php结尾，则Nginx不管该文件是否存在，直接交给PHP处理，而如Apache等，会先看该文件是否存在，若存在，则再决定该如何处理。

（2）Nginx 00%截断漏洞

受Nginx 00%截断漏洞影响的Nginx版本为0.5、0.6、0.7～0.7.65、0.8～0.8.37，等等，这是一个很经典的漏洞。很多网站也都因为这个漏洞而被入侵。漏洞形成的原因也很简单，由于Nginx是由C语言写的，在C语言中，\0就是终止符，所以当用户在上传test1.jpg%00.php时，文件系统会认为读取的为test1.jpg，从而绕过检测。

2.1.2　PHP安全

PHP是开发网站时使用得比较多的语言，因此正确配置PHP环境也非常重要，下面以PHP 7.4w为例，介绍一下PHP常见的安全配置（以下设置均在php.ini配置文件中进行）。

（1）关闭PHP版本信息

为了防止黑客获取服务器中PHP版本的信息（例如显示X-Powered-By:PHP/5.3.7），最好关闭显示PHP版本信息，配置如下：

---

expose_php = off

---

这样，在执行telnet domain 80的时候，将无法看到相关信息。

（2）关闭PHP提示错误功能

同样，基于不必要的提示信息越少越好的原则，建议关掉PHP提示错误，在配置文件中进行如下设置：

---

display_errors = OFF

---

（3）设置记录错误日志

在关闭PHP提示错误功能后，需要将错误信息记录下来，便于排查服务器运行的原因，可以进行如下设置：

---

log_errors = On

---

同时设置日志位置：

---

error_log = /usr/local/apache2/logs/php_error.log

---

需要注意的是，该文件必须是Web服务器用户可写的。

（4）设置PHP脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问不应该访问的文件，一定程度上限制了phpshell的危害范围，一般可以设置为只能访问网站目录：

---

open_basedir = /usr/www

---

（5）关闭危险函数

禁止一些危险的系统命令函数，例如system()，或者能够查看PHP信息的phpinfo()函数等：

---

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo,
escapeshellarg, escapeshellcmd, proc_close, proc_open

---

如果要禁止任何文件和目录的操作，那么可以关闭很多文件操作：

---

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir,
fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents,
fputs, fwrite, chgrp,chmod, chown

---

需要注意的是，这只能禁止系统内部（内置）函数，并不能禁止用户自定义的函数。

更多安全配置可以参考https://www.php.net/manual/zh/security.php。

2.1.3　Tomcat安全

Tomcat作为Java开发者所喜爱的Web服务器，也有很广泛的应用，笔者简单介绍一下相关安全建议：

·修改Tomcat的默认口令。

·升级到最新稳定版，出于稳定性考虑，不建议进行跨版本升级。

·服务降权，不要使用root用户启动Tomcat，使用普通用户启动Tomcat。

·更改Tomcat的AJP管理端口，默认为8009，允许配置范围在8000～8999。

·更改Tomcat的默认管理端口，默认为8005，此端口有权停止Tomcat服务，允许配置范围在8000～8999。

·将Tomcat应用根目录配置为Tomcat安装目录以外的目录。

·隐藏Tomcat的版本信息。

·关闭war自动部署功能。