centos下nginx安全设置指南

CentOS 下 Nginx 安全设置指南

一基础加固

系统与软件更新：保持系统与 Nginx 为最新稳定版，及时修补漏洞。
- 执行：sudo yum update -y
最小权限运行：创建专用低权限用户（如 nginx/nobody），禁止登录，用该用户启动 worker。
- 示例：user nobody;（在 /etc/nginx/nginx.conf 的顶层配置）
隐藏版本信息：在 http 或 server 块关闭版本暴露。
- 配置：server_tokens off;
禁用目录浏览：避免泄露目录结构。
- 配置：autoindex off;（或编译期不启用 autoindex 模块）
隐藏后端与敏感响应头：
- 配置：proxy_hide_header X-Powered-By; proxy_hide_header Server;
访问控制示例：对管理路径限制来源 IP。
- 配置：
```
location /admin {
    allow 192.168.1.0/24;
    deny all;
}
```

日志与监控：启用结构化日志，便于审计与告警。

示例：

log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent '
               '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
error_log  /var/log/nginx/error.log warn;

以上措施能显著降低信息泄露与滥用风险，并提升可运维性与可观测性。

二传输加密与 HTTPS

防火墙放行：仅开放 80/443。

执行：

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

获取证书：优先使用 Let’s Encrypt 自动化签发并自动配置 Nginx。

执行（CentOS 7+）：

sudo yum install -y epel-release
sudo yum install -y certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

强制 HTTPS 与 HSTS：将所有 HTTP 重定向到 HTTPS，并启用 HSTS。

server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

自签名证书仅用于测试环境，生产环境务必使用受信任 CA 签发证书。

三请求限制与资源防护

限制请求速率：缓解暴力扫描与简单 DoS。

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    server {
        location / {
            limit_req zone=one burst=5 nodelay;
        }
    }
}

合理超时与连接控制：降低慢速攻击与连接耗尽风险。

client_body_timeout 12;
client_header_timeout 12;
keepalive_timeout 15;
send_timeout 10;

限制请求体大小：防止超大上传导致资源被占满。
- 示例：client_max_body_size 10m;（按业务调整）

禁用危险与不必要的 HTTP 方法：仅允许业务所需方法。

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;   # 直接关闭连接
}

目录与文件执行限制：对上传/临时目录禁止脚本执行。

location ~* ^/(uploads|templets|data)/.*\.(php|php5)$ {
    return 444;
}

可选 WAF：部署 ModSecurity 等 WAF 模块增强对 SQLi/XSS 等攻击的防护能力。

四安全响应头与内容防护

推荐安全头（按站点策略微调）：

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

说明：
- X-Frame-Options 防点击劫持；X-Content-Type-Options 防 MIME 嗅探；X-XSS-Protection 为旧浏览器提供 XSS 过滤；CSP 大幅降低 XSS/数据注入风险；HSTS 强制浏览器使用 HTTPS。

五运维与持续安全

配置语法检查与热重载：变更前先校验，再平滑生效。
- 执行：
```
sudo nginx -t
sudo systemctl reload nginx
```

服务与开机自启：

执行：

sudo systemctl enable --now nginx
sudo systemctl status nginx

入侵防护：使用 fail2ban 对暴力访问进行自动封禁。
- 执行：
```
sudo yum install -y fail2ban
sudo systemctl enable --now fail2ban
```
日志轮转与留存：配置 logrotate 定期压缩归档，避免磁盘被占满。
定期更新与漏洞监测：持续更新 Nginx 与依赖组件，关注官方安全公告与 CVE。
配置审计：上线前用 Gixy 等工具检查常见错误配置与安全隐患。

最新问答

相关标签