Nginx

本文向你介绍如何在 nginx 服务器上设置健壮的 SSL 安全机制。我们通过禁用 SSL 压缩来降低 CRIME 攻击威胁；禁用协议上存在安全缺陷的 SSLv3 及更低版本，并设置更健壮的加密套件（cipher suite）来尽可能启用前向安全性（Forward Secrecy）；此外，我们还启用了 HSTS 和 HPKP。这样我们就拥有了一个健壮而可经受考验的 SSL 配置，并可以在 Qually Labs 的 SSL 测试中得到 A 级评分。 如果不求甚解的话，可以从 https://cipherli.st 上找到 nginx 、Apache 和 Lighttpd 的安全设置，复制粘帖即可。 本教程在 Digital Ocean 的 VPS 上测试

通常，大多数默认设置安装的web服务器存在信息泄露，这其中之一就是PHP。PHP 是如今流行的服务端html嵌入式语言（之一？）。在如今这个充满挑战的时代，有许多攻击者会尝试发现你服务端的漏洞。因此，我会简单描述如何在Linux服务器中隐藏PHP信息。 默认上expose_php默认是开的。关闭expose_php参数可以使php隐藏它的版本信息。 # vi /etc/php.ini 在你的php.ini, 定位到含有expose_php的那行把On设成Off： expose_php = Off 在此之前，web服务器头看上去就像这样： # curl -I http://www.ehowstuff.com/ HTTP/1.1 200 OK Server: ng

用户应该更新他们的系统来修复这个漏洞！ Canonical已经在安全公告中公布了这个影响到Ubuntu 14.04 LTS (Trusty Tahr)的nginx漏洞的细节。这个问题已经被确定并被修复了 Ubuntu的开发者已经修复了nginx的一个小漏洞。他们解释nginx可能已经被利用来暴露网络上的敏感信息。 根据安全公告，Antoine Delignat-Lavaud和Karthikeyan Bhargavan发现nginx错误地重复使用了缓存的SSL会话。攻击者可能利用此问题，在特定的配置下，可以从不同的虚拟主机获得信息。 对于这些问题的更详细的描述，可以看到Canonical的安全公告。用户应该升级自己的L

在我的上一篇文章中讲过如何做一个高可用系统：两个树莓派布署上 GlusterFS 集群文件系统，就变成一个容错文件服务器了。在这篇文章中我们会基于这个高可用系统构建另一个容错服务：建立一个简单的 Web 服务器集群。 …