7.5.2. Nginx サーバー設定のセキュリティー保護

手順

• バージョン文字列を無効にするには、server_tokens 設定オプションを変更します。

  server_tokens off;

  このオプションは、サーバーのバージョン番号などの追加の情報表示を停止します。以下のようにこの設定では、Nginx によって処理されるすべての要求のサーバー名のみが表示されます。

  $ curl -sI http://localhost | grep Server
  Server: nginx

• 特定の /etc/nginx/ conf ファイルに、特定の既知の Web アプリケーションの脆弱性を軽減するセキュリティーヘッダーを追加します。

  • たとえば、X-Frame-Options ヘッダーオプションは、Nginx が提供するコンテンツのフレーム化がされないように、ドメイン外のページを拒否して、クリックジャッキング攻撃を軽減します。

    add_header X-Frame-Options "SAMEORIGIN";

  • たとえば、x-content-type ヘッダーは、特定の古いブラウザーでの MIME タイプのスニッフィングを防ぎます。

    add_header X-Content-Type-Options nosniff;

  • また、X-XSS-Protection ヘッダーは、クロスサイトスクリプティング (XSS) フィルタリングを有効にし、Nginx での応答に含まれる可能性がある、悪意のあるコンテンツをブラウザーがレンダリングしないようにします。

    add_header X-XSS-Protection "1; mode=block";

• たとえば、一般に公開されるサービスを制限し、訪問者からのサービスと受け入れを制限できます。

  limit_except GET {
      allow 192.168.1.0/32;
      deny  all;
  }

  スニペットは、GET と HEAD を除くすべてのメソッドへのアクセスを制限します。

• 以下のように、HTTP メソッドを無効にできます。

  # Allow GET, PUT, POST; return "405 Method Not Allowed" for all others.
  if ( $request_method !~ ^(GET|PUT|POST)$ ) {
      return 405;
  }

• Nginx Web サーバーによって提供されるデータを保護するように SSL を設定できます。これは、HTTPS 経由でのみ提供することを検討してください。さらに、Mozilla SSL Configuration Generator を使用して、Nginx サーバーで SSL を有効にするための安全な設定プロファイルを生成できます。生成された設定により、既知の脆弱なプロトコル (SSLv2 や SSLv3 など)、暗号、ハッシュアルゴリズム (3DES や MD5 など) が確実に無効化されます。また、SSL サーバーテストを使用して、設定した内容が最新のセキュリティー要件を満たしていることを確認できます。