Webserver und Sicherheit

Webserver und seine Sicherheit

nginx

wie ihm vorherigen Beitag haben wir nun Ubuntu 14.04 auf dem Server einen Webserver mit Easyengine nginx und allen anderen Tools installiert.

um nun noch ein wenig Sicherheit hineinzukriegen, sollten wir am Webserver nginx noch einige Änderungen vornehmen.
Und zwar öffnen wir die Datei /etc/nginx/nginx.conf

im Block http{ sieht meine Konfiguration so aus:

##
# EasyEngine Settings
##sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 30;
types_hash_max_size 2048;
server_tokens off;
reset_timedout_connection on;
send_timeout 60;
client_body_timeout 15;
client_header_timeout 15;
client_body_buffer_size 1K;
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
server_names_hash_bucket_size 64;
open_file_cache max=2000 inactive=20s;
open_file_cache_valid 60s;
open_file_cache_min_uses 5;
open_file_cache_errors off;
add_header X-Powered-By “EasyEngine 3.5.4”;
add_header rt-Fastcgi-Cache $upstream_cache_status;
add_header Cache-Control “public”;
add_header X-Frame-Options SAMEORIGIN;
add_header Alternate-Protocol 443:npn-http/2;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection “1; mode=block”;
add_header X-Permitted-Cross-Domain-Policies “master-only”;
add_header “X-UA-Compatible” “IE=Edge”;
add_header “Access-Control-Allow-Origin” “*”;add_header Content-Security-Policy “script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’ *.youtube.com maps.gstatic.com *.googleapis.com *.google-analytics.com cdnjs.cloudflare.com assets.zendesk.com connect.facebook.net *.google.com *.google.de; frame-src ‘self’ *.youtube.com assets.zendesk.com *.facebook.com s-static.ak.facebook.com tautt.zendesk.com *.google.com *.google.de; object-src ‘self'”;

add_header X-Download-Options noopen;
charset utf-8;

Unter SSL Settings habe ich noch  ssl_session_tickets off; ssl_buffer_size 1400; eingefügt.

Somit ist die Seite vor den meisten Angriffsversuch geschützt. Wer eine Erklärung möchte kann gerne google benutzen 😉 was welcher Header zu bedeuten hat.
Zudem ist es ratsam die Content-Security-Policy sich anzuschauen, einige Domains sind freigegeben andere nicht, es kann also sein, das einige Sachen wie z.B. Iframes von anderen Seiten nicht funktionieren.

das sollte reichen, nun am besten noch ein Reboot, denn der tut immer gut 🙂