本發(fā)明涉及網(wǎng)絡(luò)安全配置技術(shù)領(lǐng)域,具體地說是一種基于ssr基線庫對(duì)nginx服務(wù)器進(jìn)行安全配置的方法。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的發(fā)展,web應(yīng)用越來越廣泛,對(duì)b/s架構(gòu)的軟件的安全要求越來越高,現(xiàn)在又是在大力發(fā)展網(wǎng)絡(luò)安全,同時(shí)由于惡意攻擊者及黑色產(chǎn)業(yè)的存在,對(duì)網(wǎng)絡(luò)信息安全的要求也是不斷加大。有效的提升軟件產(chǎn)品的安全性,保障軟件的可靠及用戶的放心使用,這些成為急需解決的技術(shù)問題。
這個(gè)問題的解決從技術(shù)方面來說可以分為很多部分的安全配置、加固。在軟件中使用ssl/tls加密通信,可以在傳輸層保證了我們的通信內(nèi)容不被惡意攻擊者直接明文查看,加密保護(hù)了我們對(duì)web的訪問,但是由于ssl/tls近年爆出了一些高風(fēng)險(xiǎn)的漏洞,后果也是很嚴(yán)重,影響很大,而對(duì)于我們使用nginx服務(wù)器來說,就需要對(duì)其加密套件進(jìn)行合理選用。
上述對(duì)加密套件的選用以及對(duì)高風(fēng)險(xiǎn)漏洞的修復(fù)需要提供一個(gè)合理的標(biāo)準(zhǔn)來進(jìn)行加密套件的選擇和漏洞的查找。
技術(shù)實(shí)現(xiàn)要素:
為克服上述現(xiàn)有技術(shù)存在的不足,本發(fā)明的目的在于提供一種基于ssr基線庫對(duì)nginx服務(wù)器進(jìn)行安全配置的方法。該方法為服務(wù)器的安全配置提供安全標(biāo)準(zhǔn),保證nginx服務(wù)器的安全穩(wěn)定運(yùn)行。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種基于ssr基線庫對(duì)nginx服務(wù)器進(jìn)行安全配置的方法,其特征是:
包括以下步驟,
s1,通過ssr基線庫對(duì)nginx服務(wù)器所處的環(huán)境進(jìn)行安全性掃描與漏洞修復(fù);
s2,查看nginx服務(wù)器的加密套件;
s3,通過ssr基線庫對(duì)nginx服務(wù)器的加密套件進(jìn)行安全性分析;
s4,對(duì)加密套件進(jìn)行修改,重新配置nginx服務(wù)器的加密套件。
進(jìn)一步地,ssr基線庫對(duì)nginx服務(wù)器的環(huán)境參數(shù)設(shè)置安全基線,在進(jìn)行安全性掃描時(shí),如果nginx服務(wù)器所處環(huán)境的相應(yīng)參數(shù)超過基線規(guī)定的范圍,則對(duì)此處進(jìn)行漏洞修復(fù)。
進(jìn)一步地,基線庫對(duì)nginx服務(wù)器加密套件的安全性設(shè)置基線,通過對(duì)比nginx服務(wù)器中加密套件與安全基線的關(guān)系判斷nginx服務(wù)器加密套件的安全性。
進(jìn)一步地,對(duì)加密套件進(jìn)行修改包括刪除不安全加密套件和/或增加指定的加密套件。
進(jìn)一步地,對(duì)加密套件進(jìn)行安全性分析包括對(duì)加密套件的格式和密鑰強(qiáng)度的分析。
進(jìn)一步地,對(duì)于對(duì)稱加密的加密套件選用密鑰強(qiáng)度在128及以上的套件,對(duì)于非對(duì)稱加密的加密套件選用密鑰強(qiáng)度在2048及以上的套件。
本發(fā)明的有益效果是:
本發(fā)明在ssr中引入基線庫,為nginx服務(wù)器的環(huán)境參數(shù)設(shè)置了安全基線,當(dāng)服務(wù)器所處環(huán)境下的環(huán)境參數(shù)超過基線范圍,則提示風(fēng)險(xiǎn)項(xiàng)并進(jìn)行相應(yīng)安全項(xiàng)的修改,保證了nginx服務(wù)器的安全穩(wěn)定運(yùn)行;
基線庫為加密套件設(shè)置了安全基線,當(dāng)加密套件的安全性不滿足安全基線的要求,則進(jìn)行相應(yīng)加密套件的修改,保證nginx服務(wù)器配置的安全性。
附圖說明
圖1是本發(fā)明所述方法的流程示意圖。
具體實(shí)施方式
為能清楚說明本方案的技術(shù)特點(diǎn),下面通過具體實(shí)施方式,并結(jié)合其附圖,對(duì)本發(fā)明進(jìn)行詳細(xì)闡述。下文的公開提供了許多不同的實(shí)施例或例子用來實(shí)現(xiàn)本發(fā)明的不同結(jié)構(gòu)。為了簡化本發(fā)明的公開,下文中對(duì)特定例子的部件和設(shè)置進(jìn)行描述。此外,本發(fā)明可以在不同例子中重復(fù)參考數(shù)字和/或字母。這種重復(fù)是為了簡化和清楚的目的,其本身不指示所討論各種實(shí)施例和/或設(shè)置之間的關(guān)系。應(yīng)當(dāng)注意,在附圖中所圖示的部件不一定按比例繪制。本發(fā)明省略了對(duì)公知組件和處理技術(shù)及工藝的描述以避免不必要地限制本發(fā)明。
nginx服務(wù)器作為一款性能高,并且能實(shí)現(xiàn)負(fù)載均衡的架構(gòu),深受用戶喜愛,但是其安全性不夠。本發(fā)明提出了使用ssr針對(duì)nginx服務(wù)器加密套件以及服務(wù)器運(yùn)行環(huán)境參數(shù)的安全配置方法,對(duì)加密套件進(jìn)行增刪,以獲得想要使用的加密配件;對(duì)服務(wù)器運(yùn)行環(huán)境進(jìn)行參數(shù)掃描,及時(shí)修復(fù)風(fēng)險(xiǎn)項(xiàng),保證nginx服務(wù)器安全穩(wěn)定的運(yùn)行。
ssr是symantecsystemrecovery的簡稱,能夠提供操作系統(tǒng)完整回復(fù)功能。如圖1所示,本發(fā)明的方法包括以下步驟:
s1,通過ssr基線庫對(duì)nginx服務(wù)器所處的環(huán)境進(jìn)行安全性掃描與漏洞修復(fù);
s2,查看nginx服務(wù)器的加密套件;
s3,通過ssr基線庫對(duì)nginx服務(wù)器的加密套件進(jìn)行安全性分析;
s4,對(duì)加密套件進(jìn)行修改,重新配置nginx服務(wù)器的加密套件。
步驟s1中,利用ssr內(nèi)部的基線庫,首先對(duì)nginx所處的環(huán)境進(jìn)行安全掃描,基線庫對(duì)nginx服務(wù)器的環(huán)境參數(shù)設(shè)置安全基線,在對(duì)nginx服務(wù)器進(jìn)行環(huán)境參數(shù)掃描時(shí),如果發(fā)現(xiàn)nginx服務(wù)器所處環(huán)境的相應(yīng)參數(shù)超過基線規(guī)定的范圍,則認(rèn)為此處存在風(fēng)險(xiǎn),對(duì)分析的風(fēng)險(xiǎn)進(jìn)行漏洞修復(fù),然后進(jìn)行部署。
步驟s2中,對(duì)nginx服務(wù)器所使用的加密套件進(jìn)行查看。對(duì)nginx服務(wù)器使用openssl,通過命令:openssls_client-connectwww.xxx.com:port-cipherexport或工具(sslscan)來查看加密套件。
步驟s3中,基線庫對(duì)nginx服務(wù)器加密套件的安全性設(shè)置基線,通過對(duì)比nginx服務(wù)器中加密套件與安全基線的關(guān)系判斷nginx服務(wù)器加密套件的安全性。例如對(duì)密鑰強(qiáng)度的安全基線設(shè)置為對(duì)稱加密應(yīng)用128及以上,nginx服務(wù)器中加密套件的密鑰強(qiáng)度小于128,則認(rèn)為這個(gè)加密套件不安全。
步驟s4中,對(duì)nginx服務(wù)器加密套件進(jìn)行修改包括刪除nginx服務(wù)器中使用的不安全加密套件,禁用該種加密方式,同時(shí)增加指定的加密套件,實(shí)現(xiàn)指定的加密方式。來實(shí)現(xiàn)nginx服務(wù)器加密套件的重新配置。其中指定的加密方式為經(jīng)過檢驗(yàn)的強(qiáng)加密的安全方式。
本發(fā)明對(duì)加密套件的分析包含:協(xié)議版本、密鑰交換算法、加密算法、散列算法、密鑰長度等方面,選取安全性高的組合,禁用安全性低的套件,以避免攻擊者利用弱加密套件的漏洞進(jìn)行攻擊,保證了數(shù)據(jù)在傳輸層傳輸時(shí)的可認(rèn)證性、機(jī)密性、完整性及重放保護(hù)。
每個(gè)套件都以“ssl”或“tls”開頭,緊跟著的是密鑰交換算法。用“with”這個(gè)詞把密鑰交換算法、加密算法、散列算法分開(也可以不存在該分隔),例如:ssl3_dhe_rsa_with_des_cbc_md5,表示把dhe_rsa(帶有rsa數(shù)字簽名的暫時(shí)diffie-hellman)定義為密鑰交換算法;把des_cbc定義為加密算法;把md5定義為散列算法。
但該格式并不固定,比如有tls_ecdhe_rsa_with_aes_128_cbc_sha這樣的寫法,其中的“128”是指加密算法的密鑰強(qiáng)度。
ssr基線庫對(duì)加密套件中的套件格式及密鑰強(qiáng)度設(shè)置安全基線,對(duì)密鑰的安全性分析表述如下:
dhe(離散對(duì)數(shù))優(yōu)于ecdhe(橢圓曲線);非對(duì)稱優(yōu)于對(duì)稱(des<3des<aes<rsa<dsa(只用于數(shù)字簽名)<ecc);散列算法:sha優(yōu)于md5;分組模式:gcm優(yōu)于cbc;sha-2(sha-224、sha-256、sha-384,和sha-512)優(yōu)于sha-1;rc4應(yīng)被完全移除(安全問題多,如受戒禮漏洞);tls優(yōu)于ssl,tls1.1<tls1.3<tls1.2。
密鑰強(qiáng)度:對(duì)稱加密應(yīng)用128及以上;非對(duì)稱應(yīng)用2048及以上。
通過ssr基線庫對(duì)加密套件的分析,以下是已經(jīng)被棄用的:anull包含未驗(yàn)證diffie-hellman密鑰交換,易受攻擊;enull包含未加密密碼(明文);export被美國法律標(biāo)記為遺留弱密碼;rc4包含了密碼,使用廢棄arcfour算法;des包含了密碼,使用棄用數(shù)據(jù)加密標(biāo)準(zhǔn);sslv2包含所有密碼,在舊版本中定義ssl的標(biāo)準(zhǔn),現(xiàn)在棄用;md5包含所有的密碼,使用過時(shí)的消息摘要5作為散列算法。
通過以上判斷依據(jù)做出相應(yīng)選擇,刪除掉不安全的套件,對(duì)于nginx服務(wù)器其具體方法為:在server.xml中sslconnector中的ciphers字段中刪除或添加相應(yīng)的套件。
對(duì)重新配置的安全套件按照加密套件的安全性強(qiáng)弱進(jìn)行排列。
以上所述只是本發(fā)明的優(yōu)選實(shí)施方式,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也被視為本發(fā)明的保護(hù)范圍。