# Nginx web サーバーのセキュリティ

[error] 2988348#2988348: *489243 open() "/usr/share/nginx/html/upl.php" failed (2: No such file or directory), client: ***.***.***.***, server: , request: "GET /upl.php HTTP/1.1", host: "***.***.***.***"

環境

Ubuntu 22
nginx/1.18.0

# Nginx 設定ファイル

ファイル /etc/nginx/nginx.conf
http ブロック修正

http {
    # 大量リクエストを制限し、DDoS や悪意のあるスクレイピングを防ぎ
    # 1秒間に5リクエストまで許可
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;

    # 不要な情報の非表示
    server_tokens off;

    # ファイルやディレクトリのリスト表示を無効化
    autoindex off;

    # 悪意のあるリクエストをブロック
    if ($query_string ~* "wget|curl|rm|chmod|sh") {
        return 403;
    }
}

# server ブロック修正

server {
    listen 80;
    server_name hapicode.com;
    root /var/www/laravel/public;
    index index.php;

    location / {
        # クロスサイトスクリプティング（XSS）やクリックジャッキングを防ぎ
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";

        # 悪質な User-Agent をブロックï
        if ($http_user_agent ~* (python|curl|wget|scrapy|bot)) {
            return 403;
        }

        # リクエストのパラメータに SELECT や DROP などの SQL キーワードが含まれる場合、ブロック
        if ($query_string ~* "union.*select.*\(") {
            return 403;
        }
        if ($query_string ~* "drop.*table") {
            return 403;
        }
    }

    # 攻撃者が .php や .sh を実行禁止
    location ~* \.(php|sh|exe|cgi|pl|py)$ {
        deny all;
    }

    # .htaccess .env .git などの機密ファイルへのアクセスを禁止
    location ~ /\.(?!well-known).* {
        deny all;
        access_log off;
        log_not_found off;
    }
}

# 監視ツールを導入

access.log を監視して自動でアラート表示、通知、遮断したりするツールを導入検討

ツール	機能	メリット	向いている用途
GoAccess リアルタイム監視 & 可視化 Web	UI	で確認可能	高速なログ解析
Logwatch	定期レポート生成	メールでレポート送信	1 日 1 回の確認
Fail2Ban	不正 IP 自動ブロック	攻撃者の IP を遮断	セキュリティ強化
Swatch	リアルタイムアラート	すぐに通知が来る	怪しいアクセス即対応

2025-02-05 1年前

server

同じタグを持つ記事をピックアップしました。

# Nginx web サーバーのセキュリティ

# Nginx 設定ファイル

# server ブロック修正

# 監視ツールを導入

関連記事

Laravel Address already in use の原因

AWS 504 Gateway Timeout エラー完全解決ガイド

Amazon Linux 2 の amazon-linux-extras 完全ガイド

デプロイツール Capistrano

AWS CloudWatch ログ監視で Lambda 処理

Amazon DynamoDB 制限調査

AWS Elastic Beanstalk php.ini 設定変更

Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない

AWS Elastic Beanstalk 環境設定

AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー解決方法

AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更

Centos7 Webserver 構築の時のメモ

content-security-policy 設定

AWS SES メール開封確認 DB に集計

Shell と Bash のいろいろ

crontab 設定いろいろ

ディスク容量を確認する df コマンド

DDNS 無料ダイナミック DNS サービス 4 つ徹底比較

Docker command でドッカー練習する時のメモ

Windows10 Home に Docker 入れた時のメモ

Docker の基本的な使い方

Windows Mac Linux hosts ファイル場所

ジェネレーティブ AI と大規模言語モデル（LLM）を学ぶためのリソース

メールサーバー移行と POP & IMAP 設定

自宅サーバー構築！ Nextcloud で NAS クラウドストレージ

VPS サーバーのセキュリティ対策：fail2ban 導入完全ガイド

robots.txt の書き方

積水ハウス 個人情報流出 SQL インジェクション攻撃か

Nginx 基本設定

SPF メール送信なりすまし対策

Mac ターミナル SSH 接続設定

PM2 のエラーを Slack に通知

Ubuntu サーバー初期設定手順

Vim 操作とショートカット

Ubuntu で Web サーバーを構築する手順

Ubuntu 24 nginx サーバー 522 エラー原因調査手順

5 分で VPN サーバーを構築! wg-easy の使い方

ShadowsocksR で VPN サーバーを構築する方法

解決! xserver php バージョンアップした時に ssh 環境に反映されない

xserver に Node.js インストール

xserver に vim インストール

XZ Utils 事件対応

レンタルサーバーなら xserver おすすめ理由

ZeroSSL で無料 SSL できるけど Let's Encrypt と比較

よく使う WSL コマンド

WSL2 Ubuntu で zsh の Docker 補完エラー解決方法

oh my zsh 使うべし

スクレイピング防止方法

Docker Supervisor 使ってバッチ処理

AWS SES メール開封確認　 DB に集計

自宅サーバー構築！　 Nextcloud で NAS クラウドストレージ

積水ハウス個人情報流出 SQL インジェクション攻撃か