从CentOS的Logjam攻击中保护NGINX的安全

• 如何保护服务器
• 您需要做什么

好吧，还有另外一个SSL漏洞正在肆虐。从技术上讲，它并不是真正的漏洞，它只是我们在SSL3贬值和阶段化SSL2期间所依赖的协议中的“漏洞”。

不幸的是，由于受影响的协议被广泛使用，因此大多数现代Web服务器都容易受到此攻击。

在本指南中，我将介绍如何在CentOS 6和7上保护服务器的安全。

如何保护服务器

有两种保护服务器安全的方法。在本教程中，我将只讨论第一个选项。

1. 生成唯一的密钥组。
2. 禁用SSL导出密钥。

您需要做什么

使用Qualys SSL检查器检查服务器是否容易受到攻击。如果您的服务器容易受到攻击，则页面顶部将显示一条消息。

确认服务器易受攻击后，请输入NGINX安装目录。

cd /etc/nginx/
mkdir keygroup
cd keygroup

运行以下命令以生成密钥组。

openssl dhparam -out dhsecure.pem 2048

将新的密钥组添加到您的NGINX配置中。

cd /etc/nginx/
vi .conf

继续，我们必须ssl_dhparam ...在每个SSL服务器块的内部添加下面显示的代码行。相应地更新所有SSL服务器块。

server {
listen 443 ssl;
...
location / {
...
ssl_dhparam /etc/nginx/keygroup/dhsecure.pem
...
}

退出配置并重新加载NGINX。

service nginx reload

使用SSL检查器再次测试您的服务器。您的服务器将不再容易受到攻击。