Debian Nginx如何实现零信任安全

Debian 上用 Nginx 落地零信任的可执行方案

一、架构与原则

• 核心思想：默认拒绝、持续验证、最小权限、可观测审计。对每一次访问进行身份与设备状态校验，仅按需放行到后端。
• 角色划分：用 Nginx 作为安全网关（充当 PEP 策略执行点），配合 Authelia 作为身份与策略决策点（充当 PDP），实现“先认证、再授权、最后转发”。
• 网络边界：对外仅暴露 443，内网服务默认拒绝未授权来源；对管理口或敏感后端实施源地址与名称双重约束。

二、部署与配置步骤

• 步骤 1 前置加固（Nginx 基础安全）

  • 隐藏版本号：在 /etc/nginx/nginx.conf 的 http 块加入：server_tokens off;
  • 安全响应头（示例）：

    add_header X-Frame-Options "DENY" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https:; object-src 'none'" always;
    add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
    add_header Strict-Transport-Security "max-age=63072000" always;
    

  • 敏感资源与入口防护：

    location ~ /\. { deny all; return 404; }
    location ~* \.(env|git|bak|log|sql|zip|tar\.gz)$ { deny all; return 403; }
    location ~ \.\./ { deny all; return 403; }
    

  • 默认拒绝兜底（放在所有 server 之前）：

    server {
      listen 80 default_server;
      listen 443 ssl default_server;
      server_name _ "";
      return 403;
    }
    

  • 速率与连接限制（防滥用）：

    limit_conn_zone $binary_remote_addr zone=addr:10m;
    limit_conn addr 100;
    limit_req_zone $binary_remote_addr zone=req:10m rate=10r/s burst=20;
    limit_req zone=req burst=20 nodelay;
    

  • 强制 HTTPS 与强加密套件（TLS 1.2/1.3）：

    server {
      listen 80;
      server_name your.domain;
      return 301 https://$host$request_uri;
    }
    server {
      listen 443 ssl;
      server_name your.domain;
      ssl_certificate /etc/nginx/ssl/nginx.crt;
      ssl_certificate_key /etc/nginx/ssl/nginx.key;
      ssl_protocols TLSv1.2 TLSv1.3;
      ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
      ssl_prefer_server_ciphers off;
      # 可选：ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    }
    

  • 防火墙：仅放行 22/80/443（示例 UFW）

    sudo ufw allow 22/tcp
    sudo ufw allow 80/tcp
    sudo ufw allow 443/tcp
    sudo ufw enable
    

  • 完成后验证并重载：sudo nginx -t && sudo systemctl reload nginx。

• 步骤 2 部署身份与策略决策点（Authelia）

  • 部署 Authelia（可用容器或二进制），配置用户存储（如文件、LDAP）与 TOTP 双因素；为需要零信任保护的应用创建访问规则（用户/组、资源、时间窗、网络范围等）。
  • 规划登录入口与回调地址（例如：https://auth.your.domain 与 https://your.domain/oauth2/callback），确保 HTTPS 与 DNS 正确解析。

• 步骤 3 配置 Nginx 作为安全网关（与 Authelia 联动）

  • 思路：对受保护站点，先由 Authelia 完成认证与授权，再反向代理到上游应用；未通过校验的请求被拒绝或重定向到登录页。
  • 示例站点配置（/etc/nginx/sites-available/your.domain）：

    upstream backend {
      server 127.0.0.1:8080;  # 你的业务服务
    }
    
    server {
      listen 443 ssl;
      server_name your.domain;
    
      ssl_certificate /etc/nginx/ssl/nginx.crt;
      ssl_certificate_key /etc/nginx/ssl/nginx.key;
      ssl_protocols TLSv1.2 TLSv1.3;
      ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
      ssl_prefer_server_ciphers off;
    
      # 1) 认证前置：将受保护路径先交给 Authelia
      location / {
        # 若使用 forward_auth（推荐，性能更好）
        auth_request /authelia;
        auth_request_set $user   $upstream_http_remote_user;
        auth_request_set $email  $upstream_http_remote_email;
        auth_request_set $groups $upstream_http_remote_groups;
    
        proxy_pass http://backend;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header Remote-User $user;
        proxy_set_header Remote-Email $email;
        proxy_set_header Remote-Groups $groups;
      }
    
      # 2) Authelia 认证端点（内部 location，不对外暴露）
      location = /authelia {
        internal;
        proxy_pass http://127.0.0.1:9091/api/authz/forward-auth;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Original-URI $request_uri;
        proxy_set_header X-Original-Method $request_method;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-For $remote_addr;
      }
    
      # 3) 可选：登录与静态资源（Authelia 自身）
      location /auth/ {
        proxy_pass http://127.0.0.1:9091;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
      }
    }
    

  • 说明：
    • 使用 auth_request 将鉴权委托给 Authelia，通过后才会反向代理到上游；未通过则返回 401/302 到登录页。
    • 若需更细粒度（如仅对 /admin 开启零信任），将 location / 的 auth_request 仅加在对应路径上。

• 步骤 4 后端加固与网络最小暴露

  • 源地址白名单：仅允许 Nginx 所在主机访问后端（示例）：

    sudo iptables -A INPUT -p tcp -s <NGINX_IP> --dport 8080 -j ACCEPT
    sudo iptables -A INPUT -p tcp --dport 8080 -j DROP
    

  • 名称约束：后端仅接受来自网关的 Host 头（在后端 Nginx 配置中显式指定 server_name 并设默认拒绝），形成纵深防御。

三、验证与运维

• 验证清单

  • 访问受保护路径应先跳转 Authelia 登录，成功后进入业务；直接访问后端端口应被拒绝。
  • 使用 curl 检查安全头与跳转：curl -I https://your.domain/
  • 在线评测：Mozilla Observatory、SSL Labs 检测 HTTPS 与头部配置；检查 HSTS 是否生效。
  • 日志与告警：持续审计 Nginx access/error 与 Authelia 日志，关注失败登录、异常 UA、来源 IP 突变等。

• 运维要点

  • 证书自动化续期（如 certbot），并滚动更新 Nginx 配置与重载。
  • 定期升级 Debian、Nginx、Authelia 与依赖组件，修补漏洞。
  • 调整 CSP/安全头 与 速率限制 阈值，平衡安全与可用性；对误杀场景建立白名单与例外流程。