我的目标是确保连接到我的 nginx 的客户端的安全。我正在关注Mozilla 的 TLS 正确配置指南在我的 nginx 安装上,但我没有实际使用的协议/密码套件的概述。
我现在拥有的:
server {
listen 443;
ssl on;
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_dhparam /path/to/dhparam.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'the_long_ciphersuite_listed_there';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
}
通过这个,我想记录连接使用了哪种 SSL 协议以及客户端/服务器协商后选择了哪种密码套件。例如:
10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla"
到
10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 "GET / HTTP/1.1" 200 1234 "-" "User agent bla"
这样,我就能快速识别使用过时浏览器或不支持 PFS 或其他相关安全技术的自动化机器的客户端。
如何配置 nginx 来记录这些信息?
答案1
添加$ssl_cipher到您的log_format配置。
參閱http://nginx.org/en/docs/http/ngx_http_ssl_module.html#variables所有与 SSL 相关的变量。
例子
log_format在上下文中定义自定义http(例如/etc/nginx/nginx.conf):
log_format combined_ssl '$remote_addr - $remote_user [$time_local] '
'$ssl_protocol/$ssl_cipher '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
以上是在默认combined格式的基础上加了一行'$ssl_protocol/$ssl_cipher '。
server然后在上下文中(启用 SSL)添加access_log具有自定义日志格式的指令:
server {
listen 443;
ssl on;
access_log /var/log/nginx/access.log combined_ssl;
[...]
}
重启nginx后,日志显示如下:
10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] TLSv1.2/ECDHE-RSA-AES128-GCM-SHA256 "GET / HTTP/1.1" 200 1234 "-" "User agent bla"