在Debian上如何利用Nginx進行安全防護

在Debian上利用Nginx進行安全防護涉及多個關鍵步驟，以下是一些重要的安全配置措施：

基礎安全配置

• 隱藏版本號信息： 編輯Nginx配置文件（通常位于 /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf），在 http 塊中添加 server_tokens off; 以關閉版本信息顯示。
• 配置安全HTTP響應頭： 添加以下指令來增強安全性：

  add_header X-Frame-Options "SAMEORIGIN";
  add_header X-XSS-Protection "1;mode=block";
  add_header X-Content-Type-Options "nosniff";
  add_header Referrer-Policy "strict-origin-when-cross-origin";
  add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'";
  

• 限制連接數和請求頻率： 在 http 塊中定義共享內存區域和限制：

  limit_conn_zone $binary_remote_addr zone=addr:10m;
  limit_conn addr 100;
  limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s burst=20;
  

• 配置白名單： 例如，限制管理后臺的訪問：

  location /admin/ {
      allow 192.168.1.0/24;
      allow 10.0.0.0/8;
      deny all;
      auth_basic "Restricted Access";
      auth_basic_user_file /etc/nginx/.htpasswd;
  }
  

• 啟用HTTPS配置： 配置SSL證書并強制HTTPS訪問：

  listen 443 ssl;
  ssl_certificate /path/to/cert.pem;
  ssl_certificate_key /path/to/key.pem;
  if ($scheme != "https") {
      return 301 https://$server_name$request_uri;
  }
  add_header Strict-Transport-Security "max-age=31536000" always;
  

• 優化SSL配置： 使用更安全的SSL配置參數：

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
  ssl_prefer_server_ciphers on;
  

防火墻配置

• 使用ufw設置防火墻規則： 允許必要的端口，如HTTP（80）、HTTPS（443）和SSH（22）：

  sudo ufw allow 'Nginx Full'
  sudo ufw allow 22/tcp
  sudo ufw enable
  

其他安全建議

• 定期更新系統和軟件： 保持系統和軟件包的最新狀態，以修補已知的安全漏洞：

  sudo apt update && sudo apt upgrade nginx
  

• 使用強密碼策略： 通過PAM模塊設置密碼復雜度要求，增強賬戶安全性。
• 限制root用戶的使用： 避免直接使用root用戶進行操作，使用 sudo 命令來獲取必要的權限。
• 監控和日志管理： 啟用和配置日志記錄功能，定期檢查日志文件以發現異常行為。