Nginx如何进行安全加固

Nginx 安全加固清单与实践

一 基础安全配置

• 隐藏版本信息：在 http/server 块设置 server_tokens off;，避免泄露 Nginx 版本与操作系统信息。
• 限制危险 HTTP 方法：仅允许 GET/POST/HEAD，其余返回 444（立即关闭连接）。
• 访问控制：基于 IP 白/黑名单 限制管理路径或敏感接口访问。
• 敏感文件保护：禁止访问 .log/.conf 等；对日志目录关闭目录浏览。
• 目录浏览与 SSI：关闭 autoindex 与 ssi，减少信息泄露与攻击面。
• 请求体限制：设置 client_max_body_size（如 10M）并结合业务限制上传。
• 示例片段：
  • 隐藏版本与限制方法

    http { server_tokens off; }
    server {
      location / {
        limit_except GET POST HEAD { deny all; }
      }
    }
    

  • IP 白名单与黑名单

    location /admin/ {
      allow 192.168.1.0/24;
      deny all;
    }
    

  • 敏感文件与目录浏览

    location ~ /\.(log|conf)$ { deny all; }
    location /logs/ { autoindex off; }
    

  以上做法可有效减少信息泄露、限制攻击入口并降低被滥用风险。

二 传输层与加密配置

• 强制 HTTPS：将 80→443 做 301 跳转，统一入口加密。
• 协议与套件：仅启用 TLSv1.2/TLSv1.3；使用强套件（如 EECDH+AESGCM/EDH+AESGCM），并设置 ssl_prefer_server_ciphers on;。
• 性能与安全：启用 HTTP/2 提升并发与延迟表现。
• 证书与链：正确配置 ssl_certificate / ssl_certificate_key，并配置 ssl_trusted_certificate 用于链验证。
• OCSP Stapling：开启 ssl_stapling on; ssl_stapling_verify on;，减少验证延迟并提升隐私。
• HSTS：添加 Strict-Transport-Security 头，强制浏览器后续使用 HTTPS。
• 示例片段：

  server {
    listen 80;
    server_name your-domain.com;
    return 301 https://$host$request_uri;
  }
  server {
    listen 443 ssl http2;
    server_name your-domain.com;
  
    ssl_certificate     /etc/nginx/cert/fullchain.pem;
    ssl_certificate_key /etc/nginx/cert/privkey.pem;
    ssl_trusted_certificate /etc/nginx/cert/chain.pem;
  
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH;
    ssl_prefer_server_ciphers on;
  
    ssl_stapling on;
    ssl_stapling_verify on;
  
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  
    location / { proxy_pass http://backend; }
  }
  

  以上配置兼顾安全与性能，显著降低 MITM 与降级攻击风险。

三 抗 DoS/DDoS 与资源控制

• 速率限制：使用 limit_req_zone 与 limit_req 限制每 IP 请求速率，设置 burst 与 nodelay 平滑突发。
• 并发连接限制：使用 limit_conn_zone 与 limit_conn 限制每 IP 并发连接数。
• 超时控制：缩短 client_body_timeout / client_header_timeout / send_timeout，降低慢速攻击影响。
• 动态黑名单：通过 geo 指令包含外部黑名单文件，实现不重启生效的封禁。
• 示例片段：

  http {
    # 速率限制：每 IP 10 r/s，突发 20，超出立即拒绝（503）
    limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;
    limit_req zone=req_limit burst=20 nodelay;
  
    # 并发连接限制：每 IP 10 个连接
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    limit_conn addr 10;
  
    # 动态黑名单
    geo $block_ip {
      default 0;
      include /usr/local/nginx/conf/blockips.conf;
    }
    server {
      if ($block_ip) { return 403; }
    }
  }
  

  以上策略可有效缓解 CC 攻击、连接耗尽与扫描探测等常见威胁。

四 应用层与运维安全

• 静态资源防盗链：基于 Referer 白名单保护 jpg/gif/png 等静态资源。
• 文件上传安全：仅允许白名单后缀；限制 client_max_body_size；在反向代理/后端校验 Content-Type 与大小。
• PHP 安全（如适用）：禁用 PATH_INFO 滥用（如 cgi.fix_pathinfo=0），仅允许匹配到真实 .php 文件再转发，避免任意代码执行。
• 安全响应头：启用 X-Frame-Options、X-Content-Type-Options、Content-Security-Policy 等降低点击劫持、MIME 嗅探与 XSS 风险。
• 日志与监控：开启 access_log/error_log，对异常 4xx/5xx、扫描特征与速率超限进行告警；结合 fail2ban 自动封禁。
• 示例片段：
  • 防盗链

    location ~* \.(jpg|gif|png)$ {
      valid_referers none blocked your-domain.com *.your-domain.com;
      if ($invalid_referer) { return 403; }
    }
    

  • 安全响应头

    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'";
    

  以上措施覆盖常见应用层漏洞与运维可观测性需求。

五 部署与验证

• 证书获取与自动续期：使用 Let’s Encrypt + Certbot 自动化申请与续期（如 certbot --nginx -d your-domain.com）。
• 配置语法与生效：执行 nginx -t 校验语法，随后 systemctl reload nginx 平滑生效。
• 验证与测评：
  • 协议与套件：curl -vI https://your-domain 查看 TLS 版本与握手；
  • 在线测评：使用 SSL Labs 评估配置强度；
  • 性能回归：使用 ab 进行压测（如 ab -n 2000 -c 2000）验证限流与并发策略。
• 持续运维：保持 Nginx 与 OpenSSL 等依赖的及时更新，并定期审计配置与日志。
  以上流程确保加固措施正确落地并持续有效。