请推荐几家有厦门软件园二期电信机房的服务器托管的公司， 必须是大公司，最好是上市的

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginxorg/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginxorg/en/docs/configurehtml

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"/nginxstatus"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginxconf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/11）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginxconf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginxconf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginxconf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginxconf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(requestgetAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-319/bin/httpdsh 在不影响其他代码的地方加入:-Dhttpsprotocols=TLSv12, 例如

原文地址: https://blogweiyigeektop/2019/9-2-122html

最近互联网引发的众多泄密事故，让受害者不寒而粟。电子邮件服务器在商务通讯中的重要应用，使其成为黑客攻击的核心目标。企业对邮件系统的安全防护应高度重视。如何有效应对邮件服务器攻击？

据介绍：“要解决黑客对邮件服务器的攻击，找准攻击根源是关键。目前黑客攻击形式主要有：利用缓冲区溢出漏洞进行的攻击；拒绝服务攻击和目录收集攻击等等。下面重点介绍攻击根源，以及减少或终止邮件服务器遭受这些攻击的方法。”

攻击根源

缓冲区溢出漏洞 当邮 件服务器软件在一个数据缓冲区中，存储了超过最初允许量的更多的数据，并且未曾防备始料未及的输入时，就会发生缓冲区溢出。虽然缓冲区溢出是由于偶然的编 程错误导致的，但是它对于数据完整性而言却是一种很常见的安全漏洞。攻击者可以利用这个缺陷让邮件服务器执行它未计划执行的其它程序。让多余的数据包含被 设计用于触发特定行为的代码，如：向被攻击的服务器发送可能损坏用户文件、修改数据或暴露绝密信息的新指令。 如果 邮件服务器的运行享有特权的话，就会危及到整个系统的安全。即便邮件服务器不享有特权，攻击者还是能够危及它的安全，并获得对它的资源的完全控制权限。这 种攻击会导致两个严重后果。首先，邮件服务器被危及安全意味着攻击者可以阅读公司的来往邮件。结果可能是灾难性的。其次，攻击者可以使用公司的服务器资源 发送垃圾邮件。这种情况会给公司带来坏名声，并违反ISP合同，常常意味着服务终止。

拒绝服务攻击 拒绝服务(Denia1 of Service，DoS)攻击会降低目标系统的能力。比方说一个邮件服务器，攻击者试图放慢它或者把它搞瘫痪。攻击者以几种方式发起拒绝服务攻击，包括消耗网络资源和发起目录收集攻击。 当攻 击者通过网络资源消耗实施拒绝服务攻击时，攻击常常集中在消耗目标机器的所有可获得的进入连接上。因为SMTP是一个TCP协议，一个成功的漏洞攻击只要 求攻击者请求的TCP连接的数目比能够获得的TCP连接数更多。也就是说，攻击者创建比邮件服务器所能处理的连接数更多的指向邮件服务器的连接。这样邮件服务器就不能再接受来自合法的邮件服务器的有效的进入连接了。

目录收集攻击 目录收集攻击是由垃圾邮件发送者发起的资源密集型攻击，从而为将来发送垃圾邮件确定可用的有效地址。在发生目录收集攻击时，邮件服务器负载会大大增加，影响有效邮件的传输。此外，本地邮件服务器会为无效地址试图向垃圾邮件发送者所使用的From地址返回未送达报告。 返回未送达报告生成另外的外发邮件通讯，消耗昂贵的带宽，进而增加邮件服务器的负载。因为垃圾邮件发送者使用的大多数From地址都是假的，所以传输未送达报告总是超时，要求邮件服务器晚些时候再尝试传输。总之，目录收集攻击是一种代价昂贵的攻击邮件服务器的形式。

解决方法

方法一：服务器加固 减少邮件服务器的安全受到威胁的机会的最好方式就是加固邮件服务器本身。在任何情况下，加固都值得努力做出。在加固过的服务器上，特别是那些因特网上的服务器，很少有服务会被漏洞攻击到，那些服务通常是被“区别对待” 的。加固通常需要采取如下措施： 1、从物理上保证计算机的安全； 2、更新操作系统和应用软件； 3、启用日志，记录管理员访问和使用资源的操作； 4、 删除不必要的应用程序、服务和工具； 5、启用本地防火墙服务； 6、限制有特权账号的使用。 通过加固服务器，可以大大减少它们的薄弱环节。但仅仅加固邮件服务器通常是不够的。更好的解决方案是在加固服务器的同时，在邮件实际抵达服务器之前提供额外的对邮件通讯的过滤。

方法二： 被管理的服务 采用被管理的服务，所有的邮件都先被发送到一个过滤邮件的offsite服务中，这个服务随后将有效的邮件转发到公司的邮件服务器。 要运 用这个策略有效地防止直接使用邮件协议的攻击，内部邮件服务器必须只接收被管理的服务发起的连接，而不接收任何其它连接。但是这些服务只对进入的邮件 通讯有效。出去的邮件通讯还是直接被发送到因特网上的其它服务器，从而激活使用邮件协议的可能漏洞(例如：在SMTP传输过程中一个接收邮件服务器会攻击 发送邮件服务器软件中的缓冲区溢出漏洞)。

方法三：搭建U-Mail邮件服务器 加固邮件服务器、 使用邮件过滤工具、采用被管理的服务、安装集成软件等措施都可以从不同的侧面有助于减轻来自垃圾邮件发送者和其它途径的攻击。选择一款高安全性的邮件服务 器还是最佳解决方案。据U-Mail邮件服务器客户调查显示：U-Mail全年超过99999%不宕机记录；U-Mail的反病毒是运用全球最好的邮件 系统杀毒引擎卡巴斯基，可达100%过滤所有病毒；U-Mail独有的“热点”专利技术和第四代基于行为识别的反垃圾引擎，在保守设置下可过滤98%以上 的垃圾邮件。使用TLS/SSL标准安全套接字层通讯协议(1024位RSA加密)，支持包括 SSL SMTP, SSL POP3, SSL IMAP4 安全通讯服务，防止网络侦听，使得通信更安全。多层邮件安全网关和严密的审核监控机构，共同打造企业最安全邮件系统软件。

1、明确加固目标

明确加固和优化后的系统所要达到的安全级别。

2、明确系统运行状况

系统运行的用途，系统正常运行所需要的服务，从网络扫描和人工评估中收集系统运行状况。

3、明确加固风险

风险包括停机、应用不能正常使用、系统被破坏无法使用。

4、系统备份

备份包括文件系统、关键数据、配置信息、口令、用户权限等内容。

主机加固就是服务器系统安全加固，是可以防止木马病毒入侵，防止核心数据被破坏、被偷窥、被篡改、被窃取的，保证了系统的安全性。

推荐使用MCK主机加固系统，可以通过可信系统机制、场景模式机制、数据保护机制、日志审计机制来保障操作系统的安全环境。

摘要：计算机操作系统通过安全加固，可以合理加强信息系统安全性，增加攻击入侵的难度，有效的降低被攻击的风险，可以使信息系统安全防范水平得到大幅提升，保证服务器或者计算机的安全。那么操作系统安全加固方法有哪些？计算机操作系统安全加固原理是什么？下面来了解下。一、操作系统为什么要安全加固

随着计算机网络与应用技术的不断发展，信息系统安全问题越来越引起人们的关注，信息系统一旦遭受破坏，用户及单位将受到重大的损失，对信息系统进行有效的保护，是必须面对和解决的迫切课题，而操作系统安全在计算机系统整体安全中至关重要，加强操作系统安全加固和优化服务是实现信息系统安全的关键环节。

当前，操作系统安全构成威胁的问题主要有系统漏洞、脆弱的登录认证方式、访问控制形同虚设、计算机病毒、特洛伊木马、隐蔽通道、系统后门恶意程序和代码感染等，加强操作系统安全加固工作是整个信息系统安全的基础。

二、计算机操作系统安全加固原理

操作系统安全加固是指按照系统安全配置标准，结合用户信息系统实际情况，对信息系统涉及的终端主机、服务器、网络设备、数据库及应用中间件等软件系统进行安全配置加固、漏洞修复和安全设备调优。通过安全加固，可以合理加强信息系统安全性，提高其健壮性，增加攻击入侵的难度，可以使信息系统安全防范水平得到大幅提升。

三、操作系统安全加固方法

操作系统安全加固主要通过人工对系统进行漏洞扫描，针对扫描结果使用打补丁、强化账号安全、修改安全配置、优化访问控制策略、增加安全机制等方法加固系统以及堵塞系统漏洞、“后门”，完成加固工作。

四、操作系统安全加固流程

操作系统安全加固主要包含以下几个环节：

1、安全加固范围：确定收集需要进行安全加固的信息系统所涉及的计算机设备、网络、数据库及应用中间件的设备情况。

2、制订安全加固方案：根据信息系统的安全等级划分和具体要求，利用网络安全经验和漏洞扫描技术和工具，对加固范围内的计算机操作系统、网络设备、数据库系统及应用中间件系统进行安全评估，从内、外部对信息系统进行全面的评估，检查这些系统目前安全状况，根据现状制定相应的安全加固措施，形成安全加固方案。

3、安全加固方案实施：根据制定的安全加固实施方案实施加固，完成后对加固后的系统进行全面的测试和检查，确保加固对系统业务无影响，并填写加固实施记录。

4、安全加固报告输出：根据安全加固实施记录，编写最终的安全加固实施报告，对加固工作进行总结，对已加固的项目、加固效果、遗留问题进行汇总统计。