从CentOS的Logjam攻击中保护NGINX的安全

注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com

好吧,还有另外一个SSL漏洞正在肆虐。从技术上讲,它并不是真正的漏洞,它只是我们在SSL3贬值和阶段化SSL2所依赖的协议内部的一个“漏洞”。

不幸的是,由于受影响的协议被广泛使用,因此大多数现代Web服务器都容易受到此攻击。

在本指南中,我将介绍如何在CentOS 6和7上保护服务器的安全。

如何保护服务器

有两种保护服务器安全的方法。在本教程中,我将只讨论第一个选项。

生成唯一的密钥组。
禁用SSL导出密钥。

您需要做什么

使用Qualys SSL检查器检查服务器是否容易受到攻击。如果您的服务器容易受到攻击,则页面顶部将显示一条消息。

确认服务器易受攻击后,请输入NGINX安装目录。

cd /etc/nginx/
mkdir keygroup
cd keygroup

运行以下命令以生成密钥组。

openssl dhparam -out dhsecure.pem 2048

将新的密钥组添加到您的NGINX配置中。

cd /etc/nginx/
vi .conf

继续,我们必须添加 ssl_dhparam ... 在每个SSL服务器块内部下面看到的代码行。相应地更新所有SSL服务器块。

server {
listen 443 ssl;
...
location / {
...
ssl_dhparam /etc/nginx/keygroup/dhsecure.pem
...
}

退出配置并重新加载NGINX。

service nginx reload

使用SSL检查器再次测试您的服务器。您的服务器将不再容易受到攻击。

注:本教程在Vultr VPS上测试通过,如需部署请前往Vultr.com