簡介：在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全至關(guān)重要。Nginx作為流行的Web服務(wù)器，不僅提供高性能，還具備強(qiáng)大的安全保障功能。然而，默認(rèn)配置可能無法抵御所有安全威脅，因此對(duì)Nginx進(jìn)行安全加固尤為重要。本文為系統(tǒng)管理員、開發(fā)者等提供詳盡的安全加固指南，涵蓋基礎(chǔ)到高級(jí)策略，包括隱藏版本號(hào)信息、限制敏感目錄訪問、啟用HTTPS、配置錯(cuò)誤頁面、應(yīng)用內(nèi)容安全策略（CSP）、設(shè)置正確文件權(quán)限、添加安全HTTP響應(yīng)頭、限制連接數(shù)、配置IP白名單、優(yōu)化SSL配置、確保文件上傳安全、防止常見攻擊。通過這些措施，可以有效提升Nginx的安全性，保護(hù)網(wǎng)站和應(yīng)用程序免受潛在威脅。

引言

在當(dāng)今數(shù)字化的世界中，網(wǎng)絡(luò)安全已成為每一個(gè)組織和個(gè)人不可忽視的重要議題。作為最流行的Web服務(wù)器之一，Nginx不僅因?yàn)槠涓咝阅芏粡V泛使用，還因?yàn)樗軌蛱峁?qiáng)大的安全保障。然而，默認(rèn)配置下的Nginx可能無法抵御所有潛在的安全威脅。為了確保您的網(wǎng)站和應(yīng)用程序能夠在互聯(lián)網(wǎng)上穩(wěn)健運(yùn)行，對(duì)Nginx進(jìn)行適當(dāng)?shù)陌踩庸田@得尤為重要。

本文旨在為系統(tǒng)管理員、開發(fā)者以及任何對(duì)提升Nginx安全性感興趣的讀者提供一份詳盡的安全加固路線圖。我們將探討從基礎(chǔ)到高級(jí)的各種策略，包括但不限于正確的權(quán)限設(shè)置、限制對(duì)外暴露的信息、啟用加密連接、配置防火墻等關(guān)鍵措施。無論您是希望保護(hù)個(gè)人博客免受攻擊，還是為企業(yè)的在線服務(wù)構(gòu)建堅(jiān)固的防線，本文都將為您提供寶貴的實(shí)踐指導(dǎo)和技術(shù)支持。讓我們一起深入了解如何通過優(yōu)化Nginx配置來提高您的網(wǎng)絡(luò)環(huán)境的安全性吧。

隱藏版本號(hào)信息

默認(rèn)情況下，Nginx會(huì)在HTTP響應(yīng)頭中暴露其版本號(hào)。攻擊者可以利用這些信息來尋找特定版本的漏洞。通過在配置文件中的http、server或location塊內(nèi)添加server_tokens off;來關(guān)閉這個(gè)功能。

步驟

打開Nginx配置文件：通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf，具體位置取決于你的安裝方式。

編輯配置文件：找到http塊，并在其中添加server_tokens off;指令。如果你有多個(gè)server塊，也可以在每個(gè)server塊中單獨(dú)設(shè)置這個(gè)選項(xiàng)，以確保它在整個(gè)服務(wù)器范圍內(nèi)生效。

保存并退出編輯器：完成修改后保存更改。

檢查配置語法：使用命令nginx -t來測(cè)試配置文件是否有語法錯(cuò)誤。

重新加載Nginx：如果配置文件沒有問題，使用命令nginx -s reload來應(yīng)用新的配置。

# nginx.conf 或者某個(gè)特定的 server 配置文件

http {
   
    # 其他配置...

    # 關(guān)閉版本信息顯示
    server_tokens off;

    # 更多其他配置...

    server {
   
        listen 80;
        server_name example.com;

        # 在 server 塊內(nèi)也可以設(shè)置 server_tokens
        # server_tokens off;

        location / {
   
            root /var/www/html;
            index index.html index.htm;
        }
    }
}

限制訪問敏感目錄

為了防止外部用戶訪問敏感資源，比如.htaccess文件或.git目錄，你可以使用Nginx的location塊和deny all;指令來實(shí)現(xiàn)。以下是如何配置的具體示例代碼以及一個(gè)實(shí)際案例說明。

下面的例子展示了如何在Nginx配置中添加規(guī)則以阻止對(duì).git目錄和.htaccess文件的訪問：

server {
   
    listen 80;
    server_name example.com;

    # 根目錄設(shè)置
    root /var/www/html;

    # 禁止訪問.git目錄
    location ~ /.git {
   
        deny all;
    }

    # 禁止訪問.htaccess文件
    location ~ /.ht {
   
        deny all;
    }

    # 其他location配置...
}

在這個(gè)例子中，我們使用了正則表達(dá)式匹配來定位.git和.htaccess文件，并通過deny all;指令拒絕所有請(qǐng)求到這些資源的訪問。

假設(shè)你有一個(gè)基于Git版本控制的Web項(xiàng)目部署在你的服務(wù)器上，并且你不希望任何訪問者能夠看到.git目錄下的內(nèi)容，因?yàn)檫@可能包含敏感信息如提交歷史、開發(fā)者郵箱等。同樣地，如果你不小心將.htaccess文件留在了你的Web根目錄下，你也希望能夠阻止外部訪問這個(gè)文件。

按照上述配置，當(dāng)你嘗試直接訪問http://example.com/.git/或http://example.com/.htaccess時(shí)，Nginx會(huì)返回403 Forbidden錯(cuò)誤，從而保護(hù)這些敏感資源不被公開訪問。

此外，如果你想提供一個(gè)友好的錯(cuò)誤頁面而不是默認(rèn)的403錯(cuò)誤頁面，可以結(jié)合使用error_page指令。例如：

server {
   
    listen 80;
    server_name example.com;

    # 根目錄設(shè)置
    root /var/www/html;

    # 定義自定義403錯(cuò)誤頁面
    error_page 403 /custom_403.html;

    # 禁止訪問.git目錄
    location ~ /.git {
   
        deny all;
    }

    # 禁止訪問.htaccess文件
    location ~ /.ht {
   
        deny all;
    }

    # 自定義403錯(cuò)誤頁面的位置
    location = /custom_403.html {
   
        allow all;
        root /usr/share/nginx/html;
    }
}

這樣，當(dāng)發(fā)生403錯(cuò)誤時(shí)，用戶將會(huì)看到位于/usr/share/nginx/html/custom_403.html的自定義錯(cuò)誤頁面，而不是默認(rèn)的Nginx 403錯(cuò)誤提示。

配置錯(cuò)誤頁面

配置自定義錯(cuò)誤頁面是提升用戶體驗(yàn)和增強(qiáng)安全性的重要措施。下面將通過具體的Nginx配置示例來說明如何設(shè)置404、500等錯(cuò)誤頁面，并確保這些頁面不會(huì)泄露過多的服務(wù)器信息。

首先，你需要編輯Nginx的配置文件（通常是nginx.conf或位于sites-available目錄下的某個(gè)站點(diǎn)配置文件）。以下是一個(gè)簡單的配置示例：

server {
   
    listen 80;
    server_name example.com;

    # 根目錄設(shè)置
    root /var/www/html;
    index index.html index.htm;

    # 隱藏Nginx版本信息
    server_tokens off;

    # 定義自定義錯(cuò)誤頁面
    error_page 404 /custom_404.html;
    error_page 500 502 503 504 /custom_50x.html;

    # 自定義404錯(cuò)誤頁面的位置
    location = /custom_404.html {
   
        root /usr/share/nginx/html;
        internal;
    }

    # 自定義50x錯(cuò)誤頁面的位置
    location = /custom_50x.html {
   
        root /usr/share/nginx/html;
        internal;
    }

    # 其他location配置...
}

在這個(gè)例子中，我們使用了error_page指令來指定當(dāng)發(fā)生404或500系列錯(cuò)誤時(shí)應(yīng)該顯示的頁面。internal;指示Nginx只在內(nèi)部重定向到這個(gè)位置，不允許直接訪問這些錯(cuò)誤頁面。

假設(shè)你正在運(yùn)營一個(gè)在線商店，網(wǎng)站偶爾會(huì)因?yàn)楦鞣N原因出現(xiàn)臨時(shí)性的問題，比如數(shù)據(jù)庫連接失敗導(dǎo)致的500內(nèi)部服務(wù)器錯(cuò)誤。為了確保即使在這種情況下也能提供良好的用戶體驗(yàn)，你可以創(chuàng)建一個(gè)設(shè)計(jì)精美的500錯(cuò)誤頁面，它不僅告訴用戶當(dāng)前遇到了問題，還提供了幫助鏈接或者聯(lián)系客服的方式。

同樣地，對(duì)于404錯(cuò)誤，一個(gè)好的做法是提供一個(gè)搜索框或者導(dǎo)航鏈接，讓用戶可以方便地找到他們可能感興趣的內(nèi)容，而不是簡單地顯示“頁面未找到”。

例如，你的custom_404.html頁面可能包含如下內(nèi)容：

    
    


    
Oops! Page not found.
    
We're sorry, but the page you were looking for doesn't exist.
    

        
        Search
    
    Go back to homepage

而custom_50x.html可能會(huì)這樣設(shè)計(jì)：

    
    


    
Something went wrong!
    
Our team has been notified and is working on fixing the issue as quickly as possible.
    Return to homepage
    
Contact us if you need further assistance.

啟用HTTPS

啟用HTTPS對(duì)于保護(hù)數(shù)據(jù)傳輸?shù)陌踩灾陵P(guān)重要。這通常涉及到幾個(gè)步驟：獲取SSL證書、安裝SSL證書以及在Nginx配置中設(shè)置以支持HTTPS連接。下面，我將通過具體的代碼示例和實(shí)際案例來詳細(xì)說明這個(gè)過程。

獲取并安裝SSL證書

首先，你需要從一個(gè)可信的證書頒發(fā)機(jī)構(gòu)（CA）獲取SSL證書。你可以選擇付費(fèi)的SSL證書提供商，如DigiCert、Comodo等，或者使用Let's Encrypt提供的免費(fèi)SSL證書。

生成CSR文件

在申請(qǐng)SSL證書之前，你需要生成一個(gè)證書簽名請(qǐng)求（CSR）。以下是使用OpenSSL工具生成CSR文件的命令：

openssl req -new -newkey rsa:2048 -nodes -out yourdomain.csr -keyout yourdomain.key

系統(tǒng)會(huì)提示你輸入一些信息，例如國家、組織名稱、域名等。

提交CSR并下載證書

完成上述步驟后，提交生成的CSR給選定的CA，并按照其指示進(jìn)行身份驗(yàn)證。一旦驗(yàn)證通過，你會(huì)收到一個(gè)或多個(gè)證書文件，包括服務(wù)器證書和中間證書。

在Nginx中啟用HTTPS

假設(shè)你已經(jīng)獲取了SSL證書并且準(zhǔn)備好了所有必要的文件（如yourdomain.crt和yourdomain.key），接下來需要在Nginx配置中啟用HTTPS。

Nginx配置示例

以下是一個(gè)基本的Nginx配置示例，展示了如何設(shè)置HTTPS支持：

server {
   
    listen 80;
    server_name yourdomain.com www.yourdomain.com;

    # 將HTTP請(qǐng)求重定向到HTTPS
    return 301 https://$host$request_uri;
}

server {
   
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;

    ssl_certificate /path/to/yourdomain.crt;
    ssl_certificate_key /path/to/yourdomain.key;
    ssl_trusted_certificate /path/to/intermediate.crt;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCMAES256+EECDH:AES256+EDH';

    location / {
   
        # 你的網(wǎng)站根目錄和其他配置
        root /var/www/html;
        index index.html index.htm;
    }
}

在這個(gè)配置中，我們首先定義了一個(gè)監(jiān)聽80端口的服務(wù)器塊，用于處理HTTP請(qǐng)求并將它們重定向到HTTPS。然后，我們定義了另一個(gè)服務(wù)器塊，它監(jiān)聽443端口，并啟用了SSL/TLS加密。這里指定了證書文件的位置以及一些額外的安全參數(shù)。

應(yīng)用內(nèi)容安全策略(CSP)

內(nèi)容安全策略（CSP）是一個(gè)額外的安全層，用于檢測(cè)并削弱某些特定類型的攻擊，包括跨站腳本（XSS）和數(shù)據(jù)注入攻擊等。通過在Nginx配置中應(yīng)用CSP，你可以指定哪些資源是允許加載的，從而防止?jié)撛诘膼阂獯a執(zhí)行。

設(shè)置CSP的基本步驟

首先，你需要定義一個(gè)適合你網(wǎng)站需求的CSP策略。這通常涉及到指定哪些源可以加載腳本、樣式、圖片等資源。然后，將這個(gè)策略添加到你的Nginx配置文件中。

示例代碼

假設(shè)你有一個(gè)簡單的博客網(wǎng)站，并且希望確保所有的資源都來自相同的源（即self），除了圖片可以從任何地方加載外，其他資源都不允許內(nèi)聯(lián)或使用eval()函數(shù)。以下是如何在Nginx中設(shè)置這樣一個(gè)CSP的例子：

server {
   
    listen 80;
    server_name example.com;

    # 其他配置...

    add_header Content-Security-Policy "default-src 'self'; img-src *; script-src 'self' 'unsafe-inline' 'unsafe-eval'";

    # 其他location配置...
}

在這個(gè)例子中，我們?cè)O(shè)置了以下規(guī)則：

default-src 'self'：默認(rèn)情況下，只允許從當(dāng)前域名加載資源。

img-src*：允許圖片從任何源加載。

script-src 'self' 'unsafe-inline' 'unsafe-eval'：允許腳本從當(dāng)前域名加載，并允許內(nèi)聯(lián)腳本和eval()函數(shù)。然而，在實(shí)際生產(chǎn)環(huán)境中應(yīng)盡量避免使用unsafe-inline和unsafe-eval，因?yàn)樗鼈儠?huì)增加XSS攻擊的風(fēng)險(xiǎn)。

假設(shè)一個(gè)在線銀行系統(tǒng)，它需要非常嚴(yán)格的安全措施來保護(hù)用戶的數(shù)據(jù)。在這種情況下，銀行可能會(huì)采取如下的CSP策略：

add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; style-src 'self' https://trustedstyles.example.com; img-src 'self' data: https://trustedimages.example.com; connect-src 'self' https://api.example.com; object-src 'none'; frame-src 'none';";

這里，我們做了如下限制：

只允許從當(dāng)前域加載所有類型的內(nèi)容（default-src 'self'）。

腳本只能從當(dāng)前域和一個(gè)可信的第三方腳本提供者加載（script-src 'self'https://trustedscripts.example.com）。

樣式表也受到類似的限制（style-src 'self'https://trustedstyles.example.com）。

圖片可以從當(dāng)前域、data URI以及一個(gè)可信的圖片服務(wù)器加載（img-src 'self' data:https://trustedimages.example.com）。

API請(qǐng)求只能發(fā)送到當(dāng)前域或一個(gè)可信的API端點(diǎn)（connect-src 'self'https://api.example.com）。

禁止加載插件內(nèi)容（object-src 'none'）以減少潛在的安全風(fēng)險(xiǎn)。

不允許頁面被嵌入到任何iframe中，防止點(diǎn)擊劫持攻擊（frame-src 'none'）。

監(jiān)控與調(diào)整

一旦部署了CSP，重要的是要監(jiān)控其表現(xiàn)。通過使用report-uri指令，你可以讓瀏覽器向你指定的URL報(bào)告任何違反CSP的行為，這樣就可以及時(shí)發(fā)現(xiàn)并修復(fù)問題。例如：

add_header Content-Security-Policy "default-src 'self'; report-uri /csp-report-endpoint";

這將指示瀏覽器將任何CSP違規(guī)報(bào)告發(fā)送到/csp-report-endpoint路徑上。定期審查這些報(bào)告有助于優(yōu)化你的CSP策略，確保既不過于寬松也不過于嚴(yán)格。

請(qǐng)根據(jù)實(shí)際情況調(diào)整CSP策略，逐步實(shí)施新的限制，并測(cè)試對(duì)網(wǎng)站功能的影響，同時(shí)保持對(duì)新威脅的關(guān)注并適時(shí)更新策略。

設(shè)置正確的文件權(quán)限

設(shè)置正確的文件權(quán)限是確保Nginx服務(wù)安全運(yùn)行的重要步驟。這涉及到配置文件、日志文件以及網(wǎng)站根目錄下的文件和目錄的權(quán)限設(shè)置。以下是一些指導(dǎo)原則和具體的代碼示例，用于幫助你正確地設(shè)置這些權(quán)限。

文件和目錄權(quán)限的一般規(guī)則

文件權(quán)限：通常推薦將文件權(quán)限設(shè)為644，這意味著所有者可以讀寫（rw-），而組用戶和其他人只能讀取（r--）。

目錄權(quán)限：目錄權(quán)限通常設(shè)為755，允許所有者讀寫執(zhí)行（rwx），組用戶和其他人只能讀取和執(zhí)行（r-x）。

所有者和組：所有者應(yīng)設(shè)置為運(yùn)行Nginx服務(wù)的非root用戶，例如nginx或www-data，具體取決于你的系統(tǒng)配置。

設(shè)置文件和目錄權(quán)限的命令

在Linux系統(tǒng)中，你可以使用chmod命令來修改文件或目錄的權(quán)限，使用chown命令來更改文件或目錄的所有者和所屬組。

假設(shè)你有如下結(jié)構(gòu)：

/var/www/html/  # 網(wǎng)站根目錄
/etc/nginx/nginx.conf  # Nginx主配置文件
/var/log/nginx/access.log  # 訪問日志文件

你可以使用以下命令來設(shè)置權(quán)限：

# 設(shè)置文件權(quán)限為644
sudo chmod 644 /var/www/html/index.html
sudo chmod 644 /etc/nginx/nginx.conf
sudo chmod 644 /var/log/nginx/access.log

# 設(shè)置目錄權(quán)限為755
sudo chmod 755 /var/www/html/

更改文件所有者和組

如果你需要更改文件的所有者和組，可以使用chown命令：

# 假設(shè)nginx運(yùn)行用戶為nginx，組也為nginx
sudo chown nginx:nginx /var/www/html/index.html
sudo chown root:nginx /etc/nginx/nginx.conf  # 主配置文件可能由root擁有，但屬于nginx組
sudo chown nginx:nginx /var/log/nginx/access.log

假設(shè)正在維護(hù)一個(gè)基于Nginx的WordPress博客。為了確保安全性，你需要正確設(shè)置文件和目錄的權(quán)限。

首先，確定Nginx是以哪個(gè)用戶運(yùn)行的。可以通過查看Nginx配置文件中的user指令得知，通常是nginx或www-data。

grep 'user' /etc/nginx/nginx.conf

然后，應(yīng)用適當(dāng)?shù)臋?quán)限設(shè)置：

# 設(shè)置WordPress安裝目錄下的文件和目錄權(quán)限
find /var/www/html -type f -exec chmod 644 {
   } ;
find /var/www/html -type d -exec chmod 755 {
   } ;

# 更改所有權(quán)
sudo chown -R nginx:nginx /var/www/html

# 設(shè)置Nginx日志文件權(quán)限
sudo chmod 640 /var/log/nginx/*.log
sudo chown nginx:nginx /var/log/nginx/*.log

在這個(gè)例子中，我們對(duì)WordPress安裝目錄下的所有文件設(shè)置了644權(quán)限，對(duì)目錄設(shè)置了755權(quán)限，并且將所有權(quán)更改為Nginx用戶。對(duì)于日志文件，我們采用了稍微嚴(yán)格的權(quán)限640，以限制訪問。

配置安全Headers

添加安全相關(guān)的HTTP響應(yīng)頭，可以有效防御常見的Web攻擊：

# 防止點(diǎn)擊劫持
add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "frame-ancestors 'self';";

# 強(qiáng)化XSS防護(hù)
# 注意：根據(jù)實(shí)際情況決定是否保留X-XSS-Protection，因?yàn)楝F(xiàn)代瀏覽器支持程度不同
add_header X-XSS-Protection "1; mode=block";

# 防止MIME類型混淆攻擊
add_header X-Content-Type-Options nosniff;

# 增強(qiáng)隱私保護(hù)
add_header Referrer-Policy "strict-origin-when-cross-origin";

# 強(qiáng)化的CSP策略
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'self'; upgrade-insecure-requests;";

限制連接數(shù)

為了防止DoS（拒絕服務(wù)）攻擊，可以通過限制單個(gè)IP的連接數(shù)和請(qǐng)求頻率來減少惡意流量對(duì)服務(wù)器的影響。

Nginx提供了兩個(gè)模塊來進(jìn)行這種類型的限制：ngx_http_limit_conn_module和ngx_http_limit_req_module。前者用于限制連接數(shù)，后者用于限制請(qǐng)求頻率。

以下是一個(gè)簡單的Nginx配置片段，用于限制每個(gè)客戶端IP的最大并發(fā)連接數(shù)為10：

http {
   
    # 定義一個(gè)名為addr的共享內(nèi)存區(qū)域，大小為10MB，鍵值為$binary_remote_addr
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
   
        location / {
   
            # 每個(gè)IP地址最多允許10個(gè)并發(fā)連接
            limit_conn addr 10;
        }
    }
}

下面是一個(gè)限制請(qǐng)求頻率的例子，它限制了每個(gè)客戶端IP每秒最多發(fā)起20次請(qǐng)求，并且設(shè)置了突發(fā)緩沖區(qū)為5次請(qǐng)求：

http {
   
    # 定義一個(gè)名為req_zone的共享內(nèi)存區(qū)域，大小為10MB，鍵值為$binary_remote_addr，速率限制為每秒20次請(qǐng)求
    limit_req_zone $binary_remote_addr zone=req_zone:10m rate=20r/s;

    server {
   
        location / {
   
            # 應(yīng)用名為req_zone的限制規(guī)則，允許突發(fā)請(qǐng)求量為5
            limit_req zone=req_zone burst=5 nodelay;
        }
    }
}

配置白名單

配置IP白名單是一種有效的安全措施，特別是對(duì)于管理后臺(tái)等敏感區(qū)域。通過只允許特定的、受信任的IP地址訪問這些區(qū)域，可以大大減少未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)。

如果你使用Nginx作為你的Web服務(wù)器，可以通過以下方式限制對(duì)某些路徑的訪問僅限于指定的IP地址：

server {
   
    listen 80;
    server_name yourdomain.com;

    location /admin/ {
   
        allow 192.168.1.1; # 允許的IP地址
        deny all; # 拒絕所有其他IP地址
        proxy_pass http://backend;
    }
}

上述配置會(huì)使得只有來自192.168.1.1的請(qǐng)求能夠訪問/admin/路徑下的資源，而所有其他IP地址的請(qǐng)求都將被拒絕。

優(yōu)化SSL配置

優(yōu)化SSL配置是確保網(wǎng)站安全性和性能的關(guān)鍵步驟。以下是一些具體的建議和代碼示例，用于增強(qiáng)SSL/TLS的安全性：

禁用舊版本的SSL/TLS協(xié)議（如SSLv3, TLS 1.0, 和 TLS 1.1），因?yàn)樗鼈兇嬖谝阎陌踩┒础?/p>

在Nginx中，你可以通過以下配置來實(shí)現(xiàn)：

server {
   
    listen 443 ssl http2;
    ssl_protocols TLSv1.2 TLSv1.3;

    # 其他配置...
}

選擇強(qiáng)加密套件以保護(hù)數(shù)據(jù)傳輸。避免使用含有MD5、RC4等不安全算法的套件。

server {
   
    listen 443 ssl http2;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384ECDHE-ECDSA-CHACHA20-POLY1305ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_prefer_server_ciphers on;

    # 其他配置...
}

在線證書狀態(tài)協(xié)議（OCSP）Stapling允許服務(wù)器預(yù)先獲取證書吊銷狀態(tài)，并將其提供給客戶端，從而減少客戶端查詢時(shí)間。

server {
   
    listen 443 ssl http2;
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 10s;

    # 其他配置...
}

HSTS告訴瀏覽器總是使用HTTPS訪問你的站點(diǎn)，即使用戶嘗試通過HTTP訪問。

server {
   
    listen 443 ssl http2;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 其他配置...
}

會(huì)話票據(jù)可以加快后續(xù)連接的速度，因?yàn)樗鼈冊(cè)试S跳過完整的TLS握手過程。

server {
   
    listen 443 ssl http2;
    ssl_session_tickets on;

    # 其他配置...
}

文件上傳安全

為了確保Nginx配置能夠防止通過上傳大文件耗盡服務(wù)器資源，并且保證上傳目錄的權(quán)限配置正確，我們需要從幾個(gè)方面入手：限制上傳文件大小、設(shè)置正確的目錄權(quán)限以及確保上傳的文件不會(huì)被執(zhí)行。

在Nginx中，我們可以通過client_max_body_size指令來控制允許客戶端上傳的最大文件大小。這個(gè)指令可以在http, server, 或者 location塊中進(jìn)行設(shè)置。以下是一個(gè)示例配置：

http {
   
    # 其他配置...

    client_max_body_size 10m; # 設(shè)置最大上傳文件大小為10MB

    server {
   
        listen       80;
        server_name  example.com;

        location /upload {
   
            # 將請(qǐng)求轉(zhuǎn)發(fā)給后端處理文件上傳的應(yīng)用服務(wù)器
            proxy_pass http://backend_server;

            # 確保這里也設(shè)置了client_max_body_size以覆蓋默認(rèn)值
            client_max_body_size 10m;
        }

        # 其他配置...
    }
}

上述配置將所有上傳請(qǐng)求的最大文件大小限制為10MB。如果用戶嘗試上傳超過此大小的文件，Nginx會(huì)返回413 (Request Entity Too Large)錯(cuò)誤。

為了保護(hù)上傳的文件不被惡意執(zhí)行，應(yīng)該對(duì)上傳目錄設(shè)置適當(dāng)?shù)臋?quán)限，并禁止該目錄下的腳本執(zhí)行。以下是如何在Nginx配置中做到這一點(diǎn)的一個(gè)例子：

server {
   
    listen       80;
    server_name  example.com;

    location /uploads {
   
        alias /path/to/uploads; # 指定上傳目錄的實(shí)際路徑

        # 防止任何PHP或類似腳本被執(zhí)行
        location ~* .(php|pl|py|jsp|asp|sh|cgi)$ {
   
            deny all; # 對(duì)匹配這些擴(kuò)展名的文件返回403 Forbidden
        }
    }
}

在這個(gè)配置中，任何試圖訪問具有.php, .pl, .py, .jsp, .asp, .sh, 或 .cgi擴(kuò)展名的文件都會(huì)被拒絕訪問，即使這些文件位于/uploads目錄下。這可以有效避免由于文件上傳而導(dǎo)致的安全風(fēng)險(xiǎn)。

防止常見攻擊

防止DDoS攻擊

http {
   
    # 設(shè)置請(qǐng)求速率限制
    limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;

    server {
   
        location /login.html {
   
            # 應(yīng)用請(qǐng)求速率限制
            limit_req zone=one;
        }

        # 設(shè)置并發(fā)連接數(shù)限制
        limit_conn_zone $binary_remote_addr zone=addr:10m;

        location /shopping/ {
   
            limit_conn addr 10; # 每個(gè)IP最多允許10個(gè)并發(fā)連接
        }

        # 關(guān)閉慢連接
        client_body_timeout 5s;
        client_header_timeout 5s;
    }
}

通過這種方式，可以有效地減少惡意用戶發(fā)起的大量請(qǐng)求對(duì)服務(wù)器造成的壓力。

防止SQL注入

雖然SQL注入主要是應(yīng)用程序?qū)用娴膯栴}，但是Nginx也可以通過過濾特定的查詢字符串來輔助防護(hù)：

location / {
       
# 檢查URL中是否包含特殊字符    
# 如果包含分號(hào)、單引號(hào)、尖括號(hào)等字符，返回444狀態(tài)碼    
# 444是Nginx特殊狀態(tài)碼，表示關(guān)閉連接而不發(fā)送響應(yīng)頭    
if ($request_uri ~* [;'<>] ) {
           
return 444;    
}       
# 檢查查詢字符串中的特殊字符    
if ($args ~* [;'<>] ) {
          
 return 444;    }       
 # 保護(hù)敏感URI    
location ~* /(admin|backup|config|db|src)/ {
          
 deny all;    
}}

這會(huì)阻止包含有潛在危險(xiǎn)字符的請(qǐng)求到達(dá)后端服務(wù)。

防止跨站腳本攻擊（XSS）

可以通過設(shè)置HTTP響應(yīng)頭來增加安全性：

add_header X-XSS-Protection "1; mode=block";

這個(gè)頭部告訴瀏覽器啟用XSS過濾，并在檢測(cè)到XSS攻擊時(shí)阻止渲染頁面。

點(diǎn)擊劫持（Clickjacking）防御

通過設(shè)置X-Frame-Options響應(yīng)頭來防止點(diǎn)擊劫持：

add_header X-Frame-Options SAMEORIGIN;

這樣可以確保你的網(wǎng)站只能被嵌入到相同域名下的iframe中，增加了額外的安全層

防止目錄遍歷

防止目錄遍歷攻擊是Nginx配置中的一個(gè)重要方面，這種攻擊允許攻擊者通過構(gòu)造特殊的URL訪問Web服務(wù)器上的未授權(quán)文件或目錄。

禁用目錄列表（autoindex off）

默認(rèn)情況下，Nginx不會(huì)列出目錄內(nèi)容，但是如果你不小心啟用了autoindex on，則可能暴露敏感信息。確保在所有相關(guān)位置塊中禁用目錄列表：

server {
   
    listen 80;
    server_name example.com;

    location / {
   
        autoindex off; # 確保目錄瀏覽被關(guān)閉
        root /var/www/html;
    }
}

使用正則表達(dá)式阻止包含../的請(qǐng)求

你可以使用正則表達(dá)式匹配并拒絕任何試圖進(jìn)行目錄遍歷的請(qǐng)求：

location ~ /../ {
   
    deny all; # 拒絕所有包含“../”的請(qǐng)求
}

正確配置別名（alias）和根路徑（root）

當(dāng)使用alias時(shí)，確保正確地添加斜杠以避免潛在的目錄遍歷漏洞：

location /static/ {
    # 注意這里的斜杠
    alias /var/www/static_files/; # 確保這里也有斜杠
}

啟用基于IP的訪問控制

你可以限制對(duì)特定目錄的訪問，只允許某些IP地址訪問：

location /admin/ {
   
    allow 192.168.1.100; # 允許特定IP訪問
    deny all; # 拒絕其他所有IP訪問
}

URL解碼過濾

雖然Nginx默認(rèn)會(huì)對(duì)URL進(jìn)行解碼，但你仍然可以添加額外的安全層來確保路徑中的特殊字符不會(huì)導(dǎo)致問題：

if ($uri ~* "..") {
   
    return 403; # 如果URI包含“..”，返回403 Forbidden
}

假設(shè)你有一個(gè)網(wǎng)站托管在Nginx上，并且你希望保護(hù)你的服務(wù)器不受目錄遍歷攻擊的影響。你的網(wǎng)站有一個(gè)公開可訪問的靜態(tài)資源目錄/static/images/，以及一個(gè)后臺(tái)管理面板/admin/。為了防止目錄遍歷攻擊，你可以采取以下措施：

對(duì)于靜態(tài)資源目錄，確保autoindex被關(guān)閉，并且正確配置了別名：

location /static/ {
   
    alias /var/www/static_files/;
    autoindex off; # 確保目錄瀏覽被關(guān)閉
}

對(duì)于后臺(tái)管理面板，你可以設(shè)置基于IP的訪問控制：

location /admin/ {
   
    allow 192.168.1.100; # 只允許特定IP訪問
    deny all; # 拒絕其他所有IP訪問
}

全局防護(hù)，在整個(gè)服務(wù)器配置中添加針對(duì)目錄遍歷的防護(hù)規(guī)則：

server {
   
    listen 80;
    server_name yoursite.com;

    # 拒絕不含斜杠的父級(jí)目錄嘗試
    location ~ /../ {
   
        deny all;
    }

    # 正常的站點(diǎn)配置...
}

這些配置能夠幫助你構(gòu)建一個(gè)更加安全的環(huán)境，有效地防止目錄遍歷攻擊。

日志安全

在Nginx中，通過配置訪問日志和錯(cuò)誤日志，可以有效地記錄用戶行為和系統(tǒng)狀態(tài)，這對(duì)于安全分析至關(guān)重要。下面我將提供具體的代碼示例來說明如何配置這些日志。

為了詳細(xì)記錄訪問信息，你可以自定義log_format來包含盡可能多的相關(guān)字段，并使用access_log指令指定日志文件的位置以及使用的格式。以下是一個(gè)詳細(xì)的訪問日志配置示例：

http {
   
    # 定義一個(gè)名為'main'的日志格式，包含多種有用的信息
    log_format main '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent" '
                    '"$http_x_forwarded_for" "$msec" '
                    '"$connection" "$connection_requests" '
                    '"$upstream_addr" "$upstream_response_time" '
                    '"$request_time" "$gzip_ratio"';

    # 指定使用'main'格式記錄訪問日志到特定位置
    access_log /var/log/nginx/access.log main buffer=32k flush=1m;

    server {
   
        listen 80;
        server_name example.com;

        location / {
   
            root /var/www/html;
            index index.html;
        }
    }
}

在這個(gè)例子中，我們定義了一個(gè)叫做main的復(fù)雜日志格式，它包括了客戶端IP地址、請(qǐng)求時(shí)間、請(qǐng)求詳情、響應(yīng)狀態(tài)碼、發(fā)送給客戶端的數(shù)據(jù)大小、來源頁面、用戶代理、X-Forwarded-For頭（如果有的話）、毫秒級(jí)的時(shí)間戳、連接序列號(hào)、通過該連接發(fā)出的請(qǐng)求數(shù)量、上游服務(wù)器地址、上游響應(yīng)時(shí)間、整個(gè)請(qǐng)求處理時(shí)間和壓縮率等。

對(duì)于錯(cuò)誤日志，你需要根據(jù)實(shí)際情況選擇合適的日志級(jí)別。例如，在生產(chǎn)環(huán)境中，你可能希望設(shè)置為warn或error級(jí)別，以減少不必要的信息并專注于實(shí)際問題。以下是配置錯(cuò)誤日志級(jí)別的示例：

http {
   
    # 設(shè)置全局錯(cuò)誤日志級(jí)別為warn
    error_log /var/log/nginx/error.log warn;

    server {
   
        listen 80;
        server_name example.com;

        location / {
   
            root /var/www/html;
            index index.html;
        }

        # 可以為特定虛擬主機(jī)設(shè)置不同的錯(cuò)誤日志級(jí)別
        error_log /var/log/nginx/example.error.log error;
    }
}

在這個(gè)配置中，全局錯(cuò)誤日志被設(shè)置為warn級(jí)別，這意味著只有警告及以上級(jí)別的消息會(huì)被記錄。而對(duì)于特定的虛擬主機(jī)（如example.com），錯(cuò)誤日志被設(shè)置為更嚴(yán)格的error級(jí)別，這樣可以集中關(guān)注那些真正可能導(dǎo)致服務(wù)中斷的問題。

其他安全措施

禁止執(zhí)行腳本

在Nginx中，你可以通過配置location塊來限制特定目錄下的腳本執(zhí)行權(quán)限。下面是一個(gè)示例，展示了如何阻止在/uploads目錄下執(zhí)行PHP腳本：

server {
   
    listen 80;
    server_name example.com;

    location /uploads/ {
   
        # 禁止訪問任何php腳本
        location ~* .php$ {
   
            deny all;
        }

        # 或者使用以下方式直接返回403錯(cuò)誤給所有嘗試執(zhí)行php腳本的請(qǐng)求
        # location ~* .php$ {
   
        #     return 403;
        # }

        # 其他靜態(tài)資源處理規(guī)則...
    }

    # 其他server配置...
}

另一種方法是使用偽靜態(tài)規(guī)則來實(shí)現(xiàn)同樣的目的，這在寶塔面板等管理工具中較為常見：

location ~ /(uploads)/.*.(php|php5)$ {
   
    deny all; # 返回403 Forbidden
}

配置超時(shí)時(shí)間

設(shè)置合理的超時(shí)參數(shù)是防御慢速攻擊（Slow HTTP DoS Attack）的關(guān)鍵措施之一。慢速攻擊利用了HTTP協(xié)議的特性，通過緩慢地發(fā)送請(qǐng)求或響應(yīng)數(shù)據(jù)來消耗服務(wù)器資源，導(dǎo)致服務(wù)器無法處理正常請(qǐng)求。以下是針對(duì)不同層面配置超時(shí)時(shí)間以防止此類攻擊的方法和示例。

在Nginx中，可以通過調(diào)整以下參數(shù)來防御慢速攻擊：

client_body_timeout: 設(shè)置客戶端與服務(wù)器建立連接后發(fā)送request body的超時(shí)時(shí)間。

client_header_timeout: 設(shè)置客戶端向服務(wù)器發(fā)送一個(gè)完整的request header的超時(shí)時(shí)間。

send_timeout: 設(shè)置服務(wù)端向客戶端傳輸數(shù)據(jù)的超時(shí)時(shí)間。

keepalive_timeout: 設(shè)置每個(gè)TCP連接最多可以保持多長時(shí)間。

client_max_body_size: 限制客戶端能夠上傳的最大文件大小。

limit_rate: 限制連接速率，防止客戶端過快地使用帶寬。

下面是一個(gè)基本的Nginx配置示例：

http {
   
    # 設(shè)置客戶端主體讀取超時(shí)時(shí)間為10秒
    client_body_timeout 10s;

    # 設(shè)置客戶端頭部讀取超時(shí)時(shí)間為10秒
    client_header_timeout 10s;

    # 設(shè)置發(fā)送給客戶端的數(shù)據(jù)超時(shí)時(shí)間為10秒
    send_timeout 10s;

    # 設(shè)置Keep-Alive連接的超時(shí)時(shí)間為60秒
    keepalive_timeout 60s;

    # 設(shè)置允許客戶端上傳的最大文件大小為1M
    client_max_body_size 1M;

    # 限制每秒傳輸?shù)臄?shù)據(jù)量為100KB
    limit_rate 100k;

    server {
   
        listen 80;
        server_name example.com;

        location / {
   
            # 其他配置...
        }
    }
}

總結(jié)

綜上所述，通過禁用不必要的HTTP方法、隱藏版本信息、設(shè)置緩沖區(qū)大小限制、屏蔽不受歡迎的爬蟲、限制IP訪問、控制并發(fā)連接數(shù)及速度、調(diào)整超時(shí)時(shí)間，并采用HTTPS協(xié)議與優(yōu)化SSL/TLS策略等措施，可以顯著增強(qiáng)Nginx的安全性。同時(shí)，配置安全頭部字段如Content Security Policy (CSP)有助于防御跨站腳本攻擊和其他代碼注入威脅。確保Nginx及其模塊保持最新，遵循最小權(quán)限原則運(yùn)行服務(wù)，并定期審計(jì)系統(tǒng)日志，對(duì)于構(gòu)建堅(jiān)固的安全防線至關(guān)重要。實(shí)施這些策略不僅能夠有效抵御已知威脅，也為應(yīng)對(duì)未知挑戰(zhàn)提供了有力保障。

鏈接：https://developer.aliyun.com/article/1650977?spm=5176.21213303.J_v8LsmxMG6alneH-O7TCPa.5.4a5f2f3dvsDvvQ&scm=20140722.S_community@@%E6%96%87%E7%AB%A0@@1650977._.ID_1650977-RL_nginx-LOC_search~UND~community~UND~item-OR_ser-PAR1_2150422117395193796102487ec1a7-V_4-P0_4-P1_0