Druid监控页面Nginx加固方案与安全实践

1. 问题背景：Druid监控页面的安全隐患

最近在排查某业务系统时发现一个典型的安全隐患——Druid监控页面直接暴露在公网且未做任何访问控制。这种配置相当于把服务器性能指标、SQL查询记录、会话信息等敏感数据直接"裸奔"在互联网上。攻击者只需知道IP和端口，就能获取包括：

• 所有活跃数据库连接信息
• 执行的SQL语句（可能包含业务敏感数据）
• 系统请求统计和性能指标
• Web会话活动记录

更危险的是，部分运维人员为了方便，常使用弱密码或默认密码（如admin/123456），这给攻击者提供了直接控制入口。去年某电商平台就因类似配置导致用户数据泄露，直接损失达数百万。

2. 加固方案选型分析

针对Druid监控页面的保护，常见有以下几种方案：

本次推荐的Nginx 3步加固方案，是基于以下考虑：

1. 90%的Java应用都使用Nginx作为反向代理
2. 配置改动小，无需修改应用代码
3. 5分钟内即可完成部署
4. 可与其他方案组合使用

3. 详细加固步骤

3.1 环境准备

确保已安装：

• Nginx 1.18+（推荐使用TLS 1.3）
• htpasswd工具（通常随Apache工具包安装）
• 服务器root或sudo权限

检查当前Nginx配置中Druid的访问路径，典型配置如下：

nginx复制location /druid/ {
    proxy_pass http://localhost:8080/druid/;
    proxy_set_header Host $host;
}

3.2 核心加固操作

3.2.1 创建密码文件

使用htpasswd创建认证文件（建议存放在/etc/nginx/conf.d/下）：

bash复制sudo htpasswd -c /etc/nginx/conf.d/druid_passwd admin

执行后会提示输入密码，建议使用16位以上包含大小写字母、数字和特殊字符的组合。完成后查看文件：

code复制admin:$apr1$J3m6t0NY$jZqJ7ZxLzw8LzQ2QzQ2Qz.

重要提示：务必设置该文件权限为600：

bash复制sudo chmod 600 /etc/nginx/conf.d/druid_passwd

3.2.2 修改Nginx配置

在原有location块中添加认证配置：

nginx复制location /druid/ {
    auth_basic "Druid Monitor";
    auth_basic_user_file /etc/nginx/conf.d/druid_passwd;
    
    proxy_pass http://localhost:8080/druid/;
    proxy_set_header Host $host;
    
    # 可选：限制访问IP
    allow 192.168.1.0/24;
    allow 10.0.0.1;
    deny all;
}

3.2.3 测试与生效

执行配置测试：

bash复制sudo nginx -t

确认无误后重载配置：

bash复制sudo systemctl reload nginx

3.3 高级加固建议

1. HTTPS强制加密：

   nginx复制server {
       listen 443 ssl;
       ssl_certificate /path/to/cert.pem;
       ssl_certificate_key /path/to/key.pem;
       # 其他SSL优化配置...
   }
   

2. 访问频率限制：

   nginx复制limit_req_zone $binary_remote_addr zone=druid_limit:10m rate=1r/s;
   
   location /druid/ {
       limit_req zone=druid_limit burst=5;
       # 其他配置...
   }
   

3. 敏感接口隐藏：

   nginx复制location ~ ^/druid/(api|reset) {
       return 403;
   }
   

4. 效果验证与问题排查

4.1 验证步骤

1. 直接访问http://your-domain/druid/index.html应弹出认证窗口
2. 输入错误密码应返回401错误
3. 从非白名单IP访问应返回403错误
4. 检查Nginx错误日志：

   bash复制tail -f /var/log/nginx/error.log
   

4.2 常见问题解决

5. 运维建议

1. 密码定期轮换：

   bash复制# 每月1日执行
   0 0 1 * * /usr/bin/htpasswd -b /etc/nginx/conf.d/druid_passwd admin $(openssl rand -base64 12)
   

2. 监控异常访问：

   bash复制# 统计认证失败次数
   grep '401' /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr
   

3. 备份配置：

   bash复制# 每天备份配置
   tar -czf /backup/nginx_$(date +%Y%m%d).tar.gz /etc/nginx/conf.d/
   

这套方案在笔者负责的多个金融级系统中稳定运行超过3年，成功拦截了数百次恶意扫描尝试。实际部署时建议配合WAF和IDS系统使用，形成纵深防御体系。