Ubuntu 14.04でNginxを保護する方法

このチュートリアルを実行する前に、次の前提条件を満たしていることを確認してください。

特に断りのない限り、このチュートリアルでルート権限を必要とするすべてのコマンドは、sudo権限を持つ非ルートユーザーとして実行する必要があります。

ソフトウェアを最新バージョンに更新することは、Nginxだけでなく、システム全体を保護するための素晴らしい第一歩です。

警告：システム上のすべてのパッケージを更新する前に、これがNginx以外のシステムで実行中の問題で問題を引き起こすかどうかを確認してください。 一度に非常に多くのパッケージに影響する操作を実行する前に、システム全体のバックアップを作成することをお勧めします。 すべてのパッケージを更新した後に問題が発生した場合、バックアップに戻すことができます。 リポジトリパッケージリストを更新し、Ubuntuサーバーで `+ apt-get +`で管理されている現在インストールされているすべてのパッケージを更新するには、次のコマンドを実行します。

または、NginxをUbuntuリポジトリの最新バージョンにアップグレードすることもできます。 これにより、Nginxパッケージと必要な依存関係がアップグレードされます。

Nginx Webサーバーの強化を開始するには、公開する情報を制限することから始めましょう。 貴重な情報は、HTTPサーバーヘッダーからアプリケーションエラーレポートまで、あらゆるレベルで漏洩します。

それでは、HTTPヘッダーから始めましょう。 デフォルトでは、NginxはHTTPヘッダーに名前とバージョンを表示します。 この情報は、次のように `+ curl +`で確認できます。

出力は次のようになります。

ご覧のとおり、Nginxのバージョンとオペレーティングシステムの名前は上記の出力で確認できます。 これは必ずしも深刻な問題ではなく、攻撃者がNginxサーバーを侵害するために解決しようとするパズルの一部です。 そのため、Nginxのメイン設定ファイル「+ / etc / nginx / nginx.conf +」をnanoで次のように開いて、この情報を非表示にします。

それから、 `+ http `設定部分の中に ` server_tokens off; +`の行を次のように追加します：

/etc/nginx/nginx.conf

その後、ファイルを保存して終了し、Nginxをリロードして変更を有効にします。

ここで、同じcurlコマンドを再試行すると：

以下の情報が表示されます。

上記の出力は、これがNginxサーバーであるという事実のみを開示しています。 これも削除できるのではないかと思うかもしれません。 残念ながら、設定オプションがないため、これは簡単に達成できません。 代わりに、ソースからNginxを再コンパイルする必要がありますが、努力する価値はありません。

+ Server`ヘッダーの他に、機密情報を含む別のヘッダー- + X-Powered-By`があります。 このヘッダーは通常、PHP、Tomcat、またはNginxの背後にあるサーバー側エンジンのバージョンを示します。 PHPでNginxを実行すると、 `+ curl +`の出力は次のようになります。

上記の「+ X-Powered-By 」ヘッダーは、サーバーがPHPバージョン5.5.9を実行しているUbuntu 14であることを示しています。 ` X-Powered-By `ヘッダーからこの情報を隠すことは非常に重要です。 Nginxでこれを行うことはできませんが、代わりにバックエンドエンジンで対応するオプションを見つける必要があります。 例えば、PHPの場合、メインの ` php.ini `設定ファイルでオプション ` expose_php = Off `を設定する必要があります。 デフォルトでは、このオプションは「 On +」に設定されています。

次に行うことは、4xx（クライアント側）エラーページを変更することです。このページからの情報は、攻撃者によって使用される可能性があります。 通常、これらは「+ Unauthorized 401+」および「+ Forbidden 403+」エラーページです。 問題をデバッグしているのでない限り、通常、通常の訪問者にこれらのエラーを表示する必要はありません。 これらのエラーについて知る必要がある場合、Nginxエラーログ（ + / var / log / nginx / error.log +）でそれらを見つけることができます。

これらの2つのエラーページを変更するには、サーバーブロックの構成ファイルを開きます。たとえば、デフォルトのファイルです。

メインサーバーの「+ server +」設定部分内で次を指定します。

/ etc / nginx / sites-enabled / default

ファイルへの変更を保存した後、コマンドで有効になるようにNginxをリロードしてください。

上記のヒントは、情報漏えいを防ぐアイデアを提供します-重要でないWebコンテンツをできるだけ少なく表示します。 Nginxだけでなく、バ​​ックエンドエンジン（PHP、Tomcatなど）、そしてもちろんWebアプリケーションでもサービスとデバッグ情報を非表示にする必要があります。

NginxでSSLを使用して安全なHTTPSプロトコルを実行することは、ユーザーの資格情報、プライベートデータなどの機密情報を処理するサイトにとって必須です。 SSLは、サイトユーザーがどこにいて、どのインターネット接続を使用していても、ユーザーが送受信する情報が保護されるようにする唯一の手段です。

記事https://www.digitalocean.com/community/tutorials/how-to-create-an-ssl-certificate-on-nginx-for-ubuntu-14-04[NginxでUbuntuのSSL証明書を作成する方法14.04]は、デフォルトのHTTPS設定で無料のSSLを簡単にセットアップする方法を説明しています。 この記事は良い出発点ですが、データを効率的に保護するものではありません。 現在、デフォルトのSSL設定とアルゴリズムは、攻撃者によるトラフィックの復号化を防ぐほど強力ではありません。

そのため、より強力な暗号化アルゴリズムと設定でNginxのSSL証明書を構成します。 これにより、データの保護レベルが高くなり、HTTPSサービスが最高のセキュリティ標準とプラクティスに準拠するようになります。

次のコマンドを使用して、SSL証明書用のディレクトリを作成することから始めましょう。

SSLには、強力な署名アルゴリズムSHA256を使用した証明書が必要です。 テスト目的または非実稼働環境では、自己署名証明書を使用して、SSL警告を無視できます。 次のコマンドで作成してみましょう。

このコマンドは、サイトとビジネスの詳細に関するいくつかの簡単な質問をします。 その後、ファイル「+ / etc / nginx / ssl / nginx.key 」に2048ビットのRSA暗号化キーを作成し、ファイル「 / etc / nginx / ssl / nginx.crt +」にSHA256証明書を作成します。

次に、より強力な4096ビット長のhttps://wiki.openssl.org/index.php/Diffie-Hellman_parameters[DH parameters]を生成する必要があります。 しばらく待機する準備をしてください。ドロップレットによっては、最大30分かかる場合があります。 コマンドを実行します。

これで、サーバーブロックのSSL部分を構成できます。 例として、デフォルトのサーバーブロックを設定しましょう。 nanoで編集するためにその構成ファイルを開きます。

このファイルで、サーバー構成部分を編集して、次のように `+ server_name +`ディレクティブの後にSSL部分を追加します。

/ etc / nginx / sites-enabled / default

上記のディレクティブで指定した命令は次のとおりです。

上記の設定を有効にするには、次のコマンドでnginxを再度リロードする必要があります。

新しいSSL構成をテストするには、https：//www.ssllabs.com/ssltest/analyze.html [SSL Labs]が提供するような外部ツールを使用するのが最適です。 そこで、SSLが信頼されていないという警告を無視する必要があります。 これは自己署名証明書であるため、当然です。 このサイトは、登録されたドメイン名を持つサイトのみをテストすることに注意してください。 DropletのIPアドレスだけでSSL接続をテストすることはできません。

全体的な結果は「テスト」のように「T」になるはずですが、本質的にはA（可能な限り最高）であり、「」「信頼の問題が無視される場合：A」

image：https：//assets.digitalocean.com/articles/nginx_security_1404/ssltest.png [SSL Check]

後で、SSL警告を削除し、SSLテストをクリーンな「A」にすることをお勧めします。 1つのオプションは、記事https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-14-で説明されているように* Let’s Encrypt *を使用することです04 [Ubuntu 14.04でLet’s Encryptを使用してNginxを保護する方法]。 無料で、最大4096のRSAキーサイズを指定できます。また、自己署名に関する警告は表示されません。 それ以外の場合は、市販のSSLプロバイダーを選択できます。 いずれかを選択するときは、SHA256証明書を選択するようにしてください。

パスワード認証は、サイトコントロールパネル、phpmyadminなど、サイトの機密領域のセキュリティを確保するのに必ずしも十分ではありません。 攻撃者は、そのような領域の弱いパスワードやソフトウェアの脆弱性を悪用して不正アクセスを取得することがあります。 正当なユーザーのIPを特定できる場合は、IPの制限を追加することを強くお勧めします。

たとえば、WordPressサイトがあり、その管理領域が `+ / wp-admin / `にある場合、そのアクセスを自分のIPまたはすべての管理者のIPに制限する必要があります。 この目的のために、対応するサーバーブロックを開きます-Nginxのデフォルトサーバーブロックは ` / etc / nginx / sites-enabled / default +`です：

`+ server +`設定パート内に以下を追加します：

/ etc / nginx / sites-enabled / default

上記で、 + 192.168.1.1 +`と `+ 10.0.0.1 +`をIPに置き換えてください。 同様に、ネットワークマスク（ `+ / 24 +）を変更することにより、他のIPまたはネットワークへのアクセスを許可できます。

このような設定を有効にするには、次のコマンドでNginxを再度リロードする必要があります。

許可されたIPアドレス範囲外のブラウザでサイトの「+ / wp-admin / +」部分にアクセスしようとすると、エラーが発生します。 このエラーは403 Forbiddenになります（以前に説明したようにこのエラーを404 Not foundに変更していない限り）。 同時に、次のコマンドを使用してエラーログに真のエラーコードが表示されます。

`+ access forbidden +`エラーは次のように表示されます。

エラーページの変更やIPによるアクセスの制限など、セキュリティへの複数のアプローチの適用の組み合わせは、Nginxを強化する累積効果を示しています。 例に従って、通常のWordPress管理ページの代わりに、攻撃者と彼らが使用する自動化ツールには404 not foundページが表示されます。 これは混乱を招き、WordPressを侵害する他のアプローチを試みることを思いとどまらせる可能性があります。

[[step-4-- performing-a-security-audit]] === ステップ4-Securityセキュリティ監査の実行

自分の意見とは無関係にセキュリティチェックを行うことは常に良い考えです。 この目的のために、Web脆弱性をスキャンするセキュリティ監査ツールを使用できます。 市販のツールを含むこのようなツールは数多くあり、最初は無料でオープンソースのwapitiを使用できます。 Wapitiには、より高度なツールの機能の一部が欠けている場合がありますが、セキュリティ監査とは何かを知ることができます。

Ubuntuにapt経由でwapitiをインストールできます。

次に、コマンドでwapitiを使用してサイトのスキャンを開始します。

`+ example.org `をサイトの名前に置き換えてください。 コマンドに2つの追加の引数を指定しました。 最初の「 -n 10+」は、同じパターンのURLの数を10に制限するため、無限ループが防止されます。 2番目の引数 `+ -b folder +`は、スキャンの範囲を指定されたドメインのみに設定します。

スキャンが完了すると、スキャンを実行したディレクトリ内の「+ generated_report 」というディレクトリ内に結果が表示されます。 最適に表示するには、このディレクトリをローカルコンピューターにダウンロードし、Webブラウザーで ` index.html`ファイルを開きます。

レポート内では、SQLインジェクション、ブラインドSQLインジェクション、ファイル処理、クロスサイトスクリプティング、CRLF、コマンド実行、リソース消費、Htaccessバイパス、バックアップファイル、潜在的に危険なファイルの10のカテゴリに分類された脆弱性が表示されます。

理想的には、レポートはこのように見えるはずで、脆弱性は見つかりません。

image：https：//assets.digitalocean.com/articles/nginx_security_1404/wapiti_report.png [Wapiti Report]

脆弱性がある場合は、スキャンの対応する部分を展開して詳細を確認できます。

NginxおよびWebサイトの最も完全かつ徹底的な監査を保証するために、このようなスキャンを頻繁にさまざまなツールで実行してください。

[[step-5-- taking-additional-security-measures]] === ステップ5-追加のセキュリティ対策を講じる

Nginxのセキュリティに関するいくつかのトピックは、それらに関する優れた記事が既にあるため、この記事では取り上げません。 次のことを理解してください。

Naxsiは、Nginx用のWebアプリケーションファイアウォールです。 悪意のあるシグニチャのコンパイルを使用して、既知および未知のWeb脆弱性から保護します。

Naxsiは複雑なソフトウェアであり、その調整にはある程度の時間と労力がかかることを知っておく必要があります。 幸いなことに、ほとんどの一般的なWebアプリケーションには、必要に応じてさらにカスタマイズできる構成が用意されています。

Fail2banは、Webセキュリティを次のレベルに引き上げ、nginxサーバーを予防的に保護するための優れたツールです。 これまでのところ、ユーザーが特定の情報を見つけてサイトの一部にアクセスすることを制限しています。 fail2banを使用すると、悪意のあるアクティビティを実行していることを検出した場合、攻撃者を一定期間さらにブロックできます。

監視はセキュリティに不可欠であり、MonitはNginxを適切にサポートするこの目的に最適なツールです。 Webログには悪意のあるアクティビティのトレースが表示されるだけでなく、CPU負荷とメモリ使用量のスパイクも表示されます。

この記事では、ステップ5-エラーとキーワードのログを監視することに特に注意してください。 そこで、誰かがサイトの重要な部分にアクセスしたり、アクセスしようとしたときなど、セキュリティイベントが発生したときにカスタムアラートを送信するように設定できます。

ファイアウォールを持つことは、nginxとドロップレット全体のセキュリティにとって非常に重要です。 標準のhttp（tcp 80）ポートに加えて、許可された着信接続にhttps（tcp 443）ポートを追加してください。

AIDEなどのファイルとディレクトリの整合性チェッカーは、ファイルとディレクトリの変更を警告します。 これは、Webファイルの場合に特に便利です。サイトの一部が変更され、新しいファイル/ディレクトリが追加されるときに注意する必要があるためです。 AIDEの詳細については、この記事から始めてください。

上記の記事は少し時代遅れで、Ubuntu向けに特別に書かれたものではありません。 ただし、Ubuntu 14.04にも簡単に適用して適用できるはずです。 AIDE、または他の同様のツールを構成するときは、WebログやWebキャッシュなどの一時ファイルを監視対象から除外してください。

この記事を読んだ後は、Nginxのセキュリティについてより自信を持つはずです。 あなたのウェブ環境が安全に設計された通りに動作するという安心感を得るために、機能とセキュリティのバランスを必ず確認してください。 また、Nginxの保護は継続的なタスクであり、定期的な更新、再構成、スキャンなどが必要であることに注意してください。