一、Nginx检测漏洞处理:TTP连接持续时间230秒过长的处理、增加MaxClient
政府机关部署的项目返回Nginx检测到以下两个漏洞,要进行处理:
1. 设置适当的超时时间,规定请求头和请求体发送的时间以及频率
设置适当的超时时间(Apache默认启用了reqtimeout模块),规定请求头和请求体发送的时间以及频率
调整 NGINX 配置中的 proxy_read_timeout 和 proxy_send_timeout 指令,控制超时时间。正常的普通 http请求不要设置过高的值,以免影响用户体验和系统资源的有效利用。例如:将超时时间设置为60秒。如果后端服务是一个大文件下载或长时间处理的操作,考虑在后端服务器或应用程序中实现连接超时逻辑,以确保不会长时间占用资源。另外可以考虑对一些涉及大文件传输的URL进行单独的 proxy_read_timeout 和 proxy_send_timeout 设置,这样使得整体 proxy_read_timeout 和 proxy_send_timeout 配置合理。
2. 增加MaxClient(MaxRequestWorkers):增加最大连接数
这是漏洞检测的一个建议,即在减少1的情况下增加2的配置值。修改配置文件 nginx.conf 中的 worker_processes项和worker_connect