技术领域
本发明涉及网站安全配置领域,具体的说是对SSR的Nginx服务器加密套件的安全配置方法。
背景技术:
随着计算机技术的发展,web应用越来越广泛,对B/S架构的软件的安全要求越来越高。现在在大力发展网络安全,由于恶意攻击者及黑色产业的存在,对网络信息安全的要求也是不断加大。如何有效的提升服务器产品的安全性,保障软件的可靠及用户的放心使用,成为急需解决的技术问题。这个问题的解决从技术方面来说可以分为很多部分的安全配置、加固;本发明鉴于此,提出了对SSR的Nginx服务器加密套件的安全配置方法,就SSR所使用到的web容器--Nginx服务器的加密通信套件部分进行安全配置。Nginx是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器;并且能实现负载均衡的架构深受用户喜爱,并且开源,但是其安全性不够。
技术实现要素:
本发明针对目前技术发展的需求和不足之处,提供对SSR的Nginx服务器加密套件的安全配置方法。
本发明所述对SSR的Nginx服务器加密套件的安全配置方法,解决上述技术问题采用的技术方案如下:所述对SSR的Nginx服务器加密套件的安全配置方法,对Nginx服务器的加密套件进行合理选用,通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件;其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。
优选的,步骤2)对SSR加密套件进行安全性分析:分析判断SSR的Nginx服务器所使用的加密套件哪些是安全的,哪些是不安全的。
优选的,步骤3)对SSR的Nginx服务器配置文件中加密套件进行修改:删除SSR的Nginx服务器所使用的不安全加密套件,以禁用该种加密,并增加指定的加密套件,实现指定的加密方式。
优选的,通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度方面,选取安全性高的组合,禁用安全性低的加密套件。
本发明所述对SSR的Nginx服务器加密套件的安全配置方法与现有技术相比具有的有益效果是:本发明通过分析、比较各个套件的不同部分;选择出不安全的加密套件以禁用;禁用后,客户端与服务端协商选用的加密套件时就不会再选用到这些弱加密套件,只能选用到安全性高的加密套件;保障了传输层信息传输的安全;增强SSR的自身安全性,使SSR更加安全的运行,提高了产品的安全稳定性,使用户使用更加放心。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明所述对SSR的Nginx服务器加密套件的安全配置方法进一步详细说明。
本发明提出对SSR的Nginx服务器加密套件的安全配置方法,使用SSR针对Nginx服务器加密套件进行安全配置,对Nginx服务器的加密套件进行合理选用,将Nginx服务器默认提供的众多加密套件中安全性较弱的套件禁用,只留下安全性高的可选项以供客户端、服务端协商选用;即通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件,增强SSR自身安全性。SSL/TLS协议是网络安全通信的基石,保证了数据在传输层传输时的可认证性、机密性、完整性及重放保护。使用SSL/TLS加密通信在传输层保证通信内容不被恶意攻击者直接明文查看,加密保护了对web的访问。
实施例:
本实施例所述对SSR的Nginx服务器加密套件的安全配置方法,其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。
其中,步骤1)对SSR加密套件进行查看:查看SSR的Nginx服务器所使用的加密套件;步骤2)对SSR加密套件进行安全性分析:分析判断SSR的Nginx服务器所使用的加密套件哪些是安全的,哪些是不安全的;步骤3)对SSR的Nginx服务器配置文件中加密套件进行修改:删除SSR的Nginx服务器所使用的不安全加密套件,以禁用该种加密,并增加指定的加密套件,实现指定的加密方式。
对Nginx服务器默认提供的加密套件进行合理选用:通过分析、比较各个加密套件的不同部分,选择出不安全的加密套件以禁用;通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度等方面,选取安全性高的组合,禁用安全性低的套件,以避免攻击者利用弱加密套件的漏洞进行攻击;禁用后,客户端与服务端协商选用的加密套件时,就不会再选用到这些弱加密套件,只能选用到安全性高的加密套件;保障了传输层信息传输的安全。
SSR的Nginx服务器加密套件都以“SSL”或“TLS”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开(也可以不存在该分隔),例 如:SSL3_DHE_RSA_WITH_DES_CBC_MD5,表示把DHE_RSA定义为密钥交换算法;把DES_CBC定义为加密算法;把MD5定义为散列算法。但该格式并不固定,比如有TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,多的128是指加密算法的密钥强度。Nginx服务器是使用了openssl,可以通过命令:openssl s_client -connect www.xxx.com:port -cipher EXPORT或工具(sslscan)来查看默认提供的加密套件。
本实施例所述对SSR的Nginx服务器加密套件的安全配置方法,对加密套件的选用依据基本以安全性为主,具体表述如下:
DHE(离散对数)优于ECDHE(椭圆曲线);
非对称优于对称(DES<3DES<AES<RSA<DSA(只用于数字签名)<ECC);
散列算法:SHA优于MD5;
分组模式:GCM优于CBC;
SHA-2(SHA-224、SHA-256、SHA-384,和SHA-512)优于SHA-1;
RC4应被完全移除(安全问题多);
TLS优于ssl, tls1.1<tls1.3<tls1.2;
AES256优于AES128;
密钥强度:对称加密应128及以上;非对称应用2048及以上。
根据以上加密套件的选用依据作出相应选择,删除不安全的套件,对于Nginx服务器其具体操作为:在server.xml 中SSL connector中的ciphers字段中删除或添加相应的套件;此外,将同意使用的加密套件按照安全性强弱排列。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。