如何检查Debian Nginx SSL漏洞

Debian 上检查 Nginx SSL 漏洞的实用流程

一 快速自检与连通性验证

• 确认服务与端口：检查 Nginx 是否运行、是否监听 443，以及防火墙是否放行。示例：sudo systemctl status nginx、sudo ufw status、sudo netstat -tulpen | grep ':443'。
• 证书与链有效性：查看证书路径、权限与到期时间，确认证书链完整（域名证书 + 中间证书）。示例：sudo nginx -t、openssl x509 -in /path/cert.crt -noout -dates、cat domain.crt intermediate.crt > combined.crt 并在 ssl_certificate 使用合并后的文件。
• 基础连通与握手：用 OpenSSL 验证能否建立 TLS 连接并查看链与套件。示例：openssl s_client -connect example.com:443 -servername example.com -showcerts。
  以上步骤可快速发现证书、端口、配置语法等基础问题，为后续漏洞检测扫清障碍。

二 本地与命令行漏洞扫描

• 协议与套件枚举：使用 nmap 检查是否启用不安全协议（如 SSLv2/3、TLS1.0/1.1）和弱套件。示例：nmap -sV --script ssl-enum-ciphers -p 443 your_domain。
• 全面安全基线扫描：使用 testssl.sh 检测 Heartbleed、POODLE、SWEET32、FREAK、LOGJAM、DROWN、CCS Injection、Ticketbleed、Renegotiation、CRIME/BREACH、Lucky13 等常见问题。示例：./testssl.sh -U your_domain（或 ./testssl.sh your_domain 获取完整报告）。
• 单协议/单套件验证：用 OpenSSL 定向测试某个协议或套件是否被支持。示例：openssl s_client -connect your_domain:443 -tls1_2。
  这些工具能覆盖大多数与 SSL/TLS 实现与配置相关的漏洞与弱点，适合在整改前后做对比验证。

三 在线评测与深度分析

• SSL Labs Server Test：对协议支持、套件强度、前向保密（PFS）、OCSP Stapling、证书链等进行评分与逐项问题提示，便于定位高风险项并给出修复建议。
• Mozilla Observatory / SecurityHeaders.com：检查 HSTS、CSP、X-Frame-Options、X-XSS-Protection、X-Content-Type-Options 等安全头是否缺失，降低浏览器侧攻击面。
  在线评测直观、覆盖面广，适合作为阶段性合规与安全体检入口。

四 常见漏洞与修复要点对照表

上述条目对应的检测命令与修复方向，可结合 testssl.sh、nmap、SSL Labs 与 Mozilla Observatory 的结果逐项整改。

五 加固后的验证与持续监控

• 回归测试：整改后用 testssl.sh -U 与 SSL Labs 复测，确认高危项已消除、评分提升。
• 证书到期监控：定期查看证书有效期并配置自动续期（如 Certbot）。示例：openssl x509 -in /path/cert.crt -noout -dates。
• 安全头与配置巡检：用 curl 检查关键安全头是否生效。示例：curl -s -I https://your_domain | grep -E 'Strict-Transport-Security|X-Frame-Options|X-XSS-Protection'。
• 运行期观测：启用 Nginx stub_status 或结合 Prometheus/Grafana 观察连接与错误趋势，配合日志分析异常。
  持续验证与监控可确保修复效果长期稳定，并快速发现新的配置退化或证书问题。