以下是在Ubuntu中配置Nginx安全設置的關鍵步驟��,涵蓋系統基礎加固��、Nginx配置及安全防護:
一����、系統基礎安全加固
- 更新系統補丁
sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades
- 最小化安裝與權限控制
- 移除不必要的軟件包:
sudo apt autoremove --purge
- 禁用root SSH登錄:修改
/etc/ssh/sshd_config中PermitRootLogin no����,并使用SSH密鑰認證�。
二���、Nginx核心安全配置
- 隱藏版本信息與禁用危險模塊
在/etc/nginx/nginx.conf的http塊中添加:server_tokens off;
- 限制HTTP方法與訪問控制
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 405;
}
location /admin {
allow 192.168.1.0/24;
deny all;
}
- SSL/TLS安全配置
- 啟用HTTPS并限制協議與加密套件:
listen 443 ssl http2;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
- 使用Let’s Encrypt免費證書:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com
- 安全頭部與防攻擊策略
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Content-Security-Policy "default-src 'self'";
- 速率限制與資源控制
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=100r/m;
location /api/ {
limit_req zone=api_limit burst=20 nodelay;
}
client_max_body_size 10M;
三�����、安全增強措施
- Web應用防火墻(WAF)
安裝ModSecurity模塊(需手動編譯Nginx):sudo apt install libmodsecurity3 libmodsecurity-dev
- 日志與監控
四�、配置文件權限管理
sudo chmod 600 /etc/nginx/nginx.conf /etc/nginx/conf.d/*.conf
sudo chown root:root /etc/nginx/ -R
完成配置后���,重啟Nginx生效:
sudo nginx -t
sudo systemctl restart nginx
