nginx配置

在当今的Web服务器领域，Nginx因其高性能、低内存消耗和高并发处理能力而备受欢迎。

nginx配置详解

一、Nginx配置文件结构

Nginx的主配置文件通常位于/etc/nginx/nginx.conf，其基本结构如下：

# 全局配置块：影响nginx全局的配置
user nginx;                # 运行用户
worker_processes auto;     # worker进程数，通常设置为CPU核心数
error_log /var/log/nginx/error.log; # 错误日志路径
pid /run/nginx.pid;        # 进程ID文件位置

# events块：配置影响nginx服务器或与用户的网络连接
events {
    worker_connections 1024;   # 每个worker进程的最大连接数
    use epoll;                 # 事件驱动模型，Linux系统推荐使用epoll
}

# http块：配置代理、缓存、日志等绝大多数功能
http {
    # 基础配置
    include /etc/nginx/mime.types;           # 文件扩展名与类型映射表
    default_type application/octet-stream;   # 默认文件类型
    
    # 日志配置
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';
    
    access_log /var/log/nginx/access.log main;   # 访问日志路径和格式
    
    # 优化配置
    sendfile on;              # 启用sendfile直接传输文件
    tcp_nopush on;           # 启用TCP_NOPUSH，在sendfile开启时使用
    tcp_nodelay on;          # 启用TCP_NODELAY，禁用Nagle算法
    keepalive_timeout 65;    # 保持连接超时时间
    
    # 虚拟主机配置
    server {
        listen 80;               # 监听端口
        server_name example.com; # 域名
        
        # 地址匹配配置
        location / {
            root /usr/share/nginx/html;  # 网站根目录
            index index.html index.htm;  # 默认首页
        }
        
        # 错误页面配置
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
            root /usr/share/nginx/html;
        }
    }
}

二、常用配置实例

1.反向代理配置

# 配置反向代理到后端服务
location /api/ {
    proxy_pass http://backend-server:8080/;  # 后端服务地址
    proxy_set_header Host $host;             # 设置请求头Host
    proxy_set_header X-Real-IP $remote_addr; # 设置客户端真实IP
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_connect_timeout 60;                # 连接超时时间
    proxy_send_timeout 60;                   # 发送超时时间
    proxy_read_timeout 60;                   # 读取超时时间
}

2.负载均衡配置

# 定义后端服务器组
upstream backend {
    # 加权轮询策略
    server 192.168.1.10:8080 weight=3;  # 权重为3
    server 192.168.1.11:8080 weight=2;  # 权重为2
    server 192.168.1.12:8080 weight=1;  # 权重为1
}

server {
    listen 80;
    server_name example.com;
    
    location / {
        proxy_pass http://backend;  # 请求转发到backend服务器组
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

3.SSL配置

# HTTPS服务器配置
server {
    listen 443 ssl;                    # 监听443端口，启用SSL
    server_name example.com;
    
    ssl_certificate cert/cert.pem;     # SSL证书文件路径
    ssl_certificate_key cert/key.pem;  # SSL私钥文件路径
    
    # SSL优化配置
    ssl_session_cache shared:SSL:1m;   # SSL会话缓存
    ssl_session_timeout 5m;            # SSL会话超时时间
    ssl_ciphers HIGH:!aNULL:!MD5;      # 使用的加密套件
    ssl_prefer_server_ciphers on;      # 优先使用服务器端的加密套件
    
    location / {
        root /usr/share/nginx/html;
        index index.html index.htm;
    }
}

三、性能优化小技巧

1.开启gzip压缩

# 启用gzip压缩
gzip on;
gzip_min_length 1k;          # 最小压缩文件大小
gzip_comp_level 6;           # 压缩级别1-9，越大压缩率越高但越耗CPU
gzip_types text/plain text/css application/json application/javascript;  # 要压缩的文件类型
gzip_vary on;               # 添加Vary: Accept-Encoding头

2.配置缓存

# 静态文件缓存配置
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 7d;              # 静态文件缓存7天
    add_header Cache-Control public;
    access_log off;          # 关闭访问日志
}

四、安全相关配置

# 安全相关配置
server {
    # 隐藏版本号
    server_tokens off;
    
    # 防止XSS攻击
    add_header X-XSS-Protection "1; mode=block";
    
    # 防止点击劫持
    add_header X-Frame-Options "SAMEORIGIN";
    
    # 防止MIME类型嗅探
    add_header X-Content-Type-Options nosniff;
}

---

nginx安全配置

一、基础安全配置

1.隐藏版本号信息

默认情况下，Nginx会在响应头中显示版本号，这可能会给攻击者提供服务器信息。攻击者可以根据版本号查找对应版本的已知漏洞进行定向攻击。

http {
    # 关闭在响应头中显示Nginx版本号
    # 默认响应头: Server: nginx/1.18.0
    # 关闭后响应头: Server: nginx
    server_tokens off;
}

2.配置安全Headers

添加安全相关的HTTP响应头，可以有效防御常见的Web攻击：

# 防止网站被嵌入恶意网页中，避免点击劫持
add_header X-Frame-Options "SAMEORIGIN";

# 启用浏览器XSS防护功能，并在检测到攻击时，停止渲染页面
add_header X-XSS-Protection "1; mode=block";

# 禁止浏览器猜测（嗅探）资源的MIME类型，防止资源类型混淆攻击
add_header X-Content-Type-Options "nosniff";

# 控制引用地址信息的传递，增强隐私保护
add_header Referrer-Policy "strict-origin-origin-when-cross-origin";

# 内容安全策略，控制资源加载来源，防止XSS等攻击
# default-src 'self': 只允许加载同源资源
# http: https:: 允许通过HTTP和HTTPS加载资源
# data:: 允许data:URI的资源（如base64编码的图片）
# blob:: 允许blob:URI的资源（如视频流）
# 'unsafe-inline': 允许内联脚本和样式（根据需要配置）
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'";

二、访问控制优化

1.限制连接数

为防止DOS攻击，应该限制单个IP的连接数和请求频率：

http {
    # 定义一个共享内存区域，用于存储IP连接数信息
    # $binary_remote_addr: 使用二进制格式存储客户端IP，节省空间
    # zone=addr:10m: 指定共享内存区域名称为addr，大小为10MB
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # 限制每个IP同时最多100个连接
    limit_conn addr 100;
    
    # 定义请求频率限制，每个IP每秒最多10个请求
    # rate=10r/s: 每秒10个请求
    limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s;
    
    # 应用请求频率限制，burst=20表示最多允许20个请求排队
    limit_req zone=req_zone burst=20 nodelay;
}

2.配置白名单

对于管理后台等敏感区域，建议配置IP白名单：

location /admin/ {
    # 允许内网IP段访问
    # 192.168.1.0/24: 允许192.168.1.x网段的所有IP
    allow 192.168.1.0/24;
    
    # 允许另一个内网IP段访问
    allow 10.0.0.0/8;
    
    # 拒绝其他所有IP访问
    deny all;
    
    # 开启基础认证
    auth_basic "Restricted Access";
    auth_basic_user_file /etc/nginx/.htpasswd;
}

三、SSL/TLS安全配置

1.启用HTTPS

配置SSL证书并强制HTTPS访问：

server {
    # 监听443端口，启用SSL
    listen 443 ssl;
    
    # 指定SSL证书路径
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    
    # 将所有HTTP请求重定向到HTTPS
    if ($scheme != "https") {
        return 301 https://$server_name$request_uri;
    }
    
    # 启用HSTS，强制浏览器在指定时间内使用HTTPS访问
    add_header Strict-Transport-Security "max-age=31536000" always;
}

2.优化SSL配置

使用更安全的SSL配置参数：

# 只允许TLS 1.2和1.3版本，禁用不安全的SSL和早期TLS版本
ssl_protocols TLSv1.2 TLSv1.3;

# 配置加密套件，按推荐顺序排列
# ECDHE: 使用椭圆曲线密钥交换
# AES-GCM: 使用AES-GCM加密模式
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;

# 优先使用服务器的加密套件
ssl_prefer_server_ciphers on;

# 配置SSL会话缓存，提高性能
# shared:SSL:10m: 所有工作进程共享的缓存，大小为10MB
ssl_session_cache shared:SSL:10m;

# SSL会话超时时间
ssl_session_timeout 10m;

# 启用OCSP Stapling，提供证书状态信息
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

##四、文件上传安全

###1.限制上传文件大小
防止通过上传大文件耗尽服务器资源：

# 限制请求体大小，即上传文件的最大大小为10MB
client_max_body_size 10m;

# 设置请求体缓冲区大小为128KB
# 超过此大小的请求体会被写入临时文件
client_body_buffer_size 128k;

# 配置临时文件存储路径
client_body_temp_path /var/nginx/client_body_temp;

2.配置上传目录权限

确保上传目录的权限配置正确：

location /uploads/ {
    # 指定上传根目录
    root /var/www/uploads;
    
    # 指定临时文件目录
    client_body_temp_path /var/www/tmp;
    
    # 允许的WebDAV方法
    dav_methods PUT DELETE MKCOL COPY MOVE;
    
    # 自动创建上传目录
    create_full_put_path on;
    
    # 设置目录访问权限
    # user:rw - 文件所有者可读写
    # group:rw - 组用户可读写
    # all:r - 其他用户只读
    dav_access user:rw group:rw all:r;
    
    # 限制上传文件类型
    if ($request_filename ~* ^.*?\.(php|php5|sh|pl|py)$) {
        return 403;
    }
}

##五、防止常见攻击

1.防止SQL注入

配置特殊字符过滤：

location / {
    # 检查URL中是否包含特殊字符
    # 如果包含分号、单引号、尖括号等字符，返回444状态码
    # 444是Nginx特殊状态码，表示关闭连接而不发送响应头
    if ($request_uri ~* [;'<>] ) {
        return 444;
    }
    
    # 检查查询字符串中的特殊字符
    if ($args ~* [;'<>] ) {
        return 444;
    }
    
    # 保护敏感URI
    location ~* /(admin|backup|config|db|src)/ {
        deny all;
    }
}

2.防止目录遍历

禁止访问隐藏文件和目录：

# 禁止访问所有以点开头的隐藏文件和目录
location ~ /\. {
    # 拒绝所有请求
    deny all;
    
    # 禁止记录访问日志
    access_log off;
    
    # 禁止记录404错误日志
    log_not_found off;
}

# 禁止访问特定目录
location ~* ^/(uploads|images)/.*\.(php|php5|sh|pl|py|asp|aspx|jsp)$ {
    deny all;
}

# 防止目录列表
location / {
    autoindex off;
}

六、日志安全

1.配置访问日志

详细记录访问信息，便于安全分析：

# 定义详细的日志格式
log_format detailed '$remote_addr - $remote_user [$time_local] '  # 记录客户端IP和访问时间
                    '"$request" $status $body_bytes_sent '        # 记录请求信息、状态码和发送字节数
                    '"$http_referer" "$http_user_agent" '        # 记录来源页面和用户代理
                    '$request_time $upstream_response_time';      # 记录请求处理时间和上游响应时间

# 配置访问日志
# buffer=32k: 使用32KB缓冲区
# flush=5s: 每5秒刷新一次日志
access_log /var/log/nginx/access.log detailed buffer=32k flush=5s;

# 对于静态资源，可以关闭访问日志以提高性能
location /static/ {
    access_log off;
}

2.配置错误日志

设置适当的错误日志级别：

# 设置错误日志级别为warn
# 可选级别: debug, info, notice, warn, error, crit, alert, emerg
error_log /var/log/nginx/error.log warn;

# 对于开发环境，可以使用debug级别获取更多信息
# error_log /var/log/nginx/error.log debug;

七、其他安全措施

1.禁止执行脚本

在静态资源目录中禁止执行脚本：

location /static/ {
    # 禁止执行PHP文件
    location ~ \.(php|php5)$ {
        deny all;
    }
    
    # 只允许特定文件类型
    location ~* \.(css|js|jpg|jpeg|png|gif|ico|svg|woff|woff2|ttf|eot)$ {
        expires 30d;  # 设置缓存时间
        add_header Cache-Control "public, no-transform";
    }
}

2.配置超时时间

设置合理的超时参数，防止慢速攻击：

# 客户端请求体超时时间，单位秒
client_body_timeout 10;

# 客户端请求头超时时间
client_header_timeout 10;

# 客户端保持连接超时时间
# 第一个参数是客户端超时时间
# 第二个参数是在响应头中的Keep-Alive超时时间
keepalive_timeout 5 5;

# 向客户端发送响应的超时时间
send_timeout 10;

# 读取代理服务器响应的超时时间
proxy_read_timeout 10;

# 连接代理服务器的超时时间
proxy_connect_timeout 10;

总结

以上配置涵盖了Nginx安全加固的主要方面，每个配置都附带了详细的解释和注释。在实际应用中，建议根据具体的业务需求和安全级别要求，对这些配置进行适当的调整。同时，要注意以下几点：
定期更新Nginx到最新的稳定版本

使用配置文件包含（include）来组织大型配置

在应用配置前，使用 nginx -t 检查配置正确性

定期检查日志文件，及时发现安全问题

配合WAF（Web应用防火墙）使用，提供更全面的安全防护