Ubuntu下Nginx安全設置怎么做

以下是Ubuntu下Nginx的安全設置要點：

1. 基礎系統加固

   • 更新系統補?。?code>sudo apt update && sudo apt upgrade -y。
   • 最小化安裝：移除不必要的軟件包sudo apt autoremove --purge。
   • 配置防火墻（UFW）：

     sudo ufw enable  
     sudo ufw allow 22/tcp  # SSH  
     sudo ufw allow 80/tcp  # HTTP（可選）  
     sudo ufw allow 443/tcp # HTTPS  
     

2. Nginx核心安全配置

   • 隱藏版本信息：在/etc/nginx/nginx.conf中添加server_tokens off;。
   • 啟用HTTPS：
     • 安裝Certbot獲取免費SSL證書：sudo apt install certbot python3-certbot-nginx，然后運行sudo certbot --nginx -d example.com。
     • 配置HTTP跳轉HTTPS：在/etc/nginx/sites-available/default中添加重定向規則。
   • SSL/TLS安全參數：

     ssl_protocols TLSv1.2 TLSv1.3;  
     ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';  
     ssl_prefer_server_ciphers on;  
     ssl_session_cache shared:SSL:10m;  
     ssl_session_timeout 10m;  
     

3. 訪問控制與防攻擊

   • IP訪問限制：

     location /admin {  
         allow 192.168.1.0/24;  
         deny all;  
     }  
     

   • 請求速率限制：

     limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;  
     location /api/ {  
         limit_req zone=api_limit burst=20 nodelay;  
     }  
     

   • 防止常見Web攻擊：
     • 點擊劫持：add_header X-Frame-Options "SAMEORIGIN";。
     • XSS攻擊：add_header X-XSS-Protection "1; mode=block";。
     • 內容類型嗅探：add_header X-Content-Type-Options "nosniff";。

4. 文件與日志安全

   • 限制目錄訪問：禁止訪問敏感目錄（如配置文件、日志）：

     location ~* ^/(\.git|\.ht|logs) {  
         deny all;  
     }  
     

   • 關閉目錄列表：autoindex off;。
   • 設置文件權限：確保Nginx配置文件權限為640，目錄權限為750。

5. 高級安全增強

   • 啟用WAF（Web應用防火墻）：安裝ModSecurity模塊（需手動編譯Nginx）。
   • 監控與日志：配置logrotate定期輪轉日志，分析異常請求。

參考來源：