Nginx在Ubuntu上如何实现安全防护

Nginx在Ubuntu上的安全防护实践

在Ubuntu上部署Nginx时，需通过基础配置加固、SSL/TLS加密、访问控制、防火墙联动、日志监控及高级防护等多层措施，全面提升服务器安全性。以下是具体实现步骤：

一、基础安全配置

1. 隐藏Nginx版本信息
   编辑Nginx主配置文件（/etc/nginx/nginx.conf），在http块中添加server_tokens off; ，禁用响应头中的版本标识（如Server: nginx/1.18.0 (Ubuntu)）。此操作可防止攻击者通过版本号识别已知漏洞，降低针对性攻击风险。

2. 限制HTTP方法
   在server或location块中，通过if指令过滤非法HTTP方法（如PUT、DELETE），仅允许必要的GET、HEAD、POST方法：

   if ($request_method !~ ^(GET|HEAD|POST)$) {
       
       return 444;
     # 直接关闭连接
   }
       
   

   此配置可阻断通过非法方法发起的攻击（如文件上传漏洞利用）。

3. 配置合理超时设置
   在nginx.conf的http块中，调整以下超时参数，防止慢速攻击（如Slowloris）耗尽服务器资源：

   client_body_timeout 12;
             # 请求体读取超时（秒）
   client_header_timeout 12;
           # 请求头读取超时（秒）
   keepalive_timeout 15;
               # 长连接保持时间（秒）
   send_timeout 10;
                    # 响应发送超时（秒）
   

   这些参数需根据业务场景调整，平衡安全性与用户体验。

4. 限制请求体与并发连接

   • 限制请求体大小：在server或location块中添加client_max_body_size 10M; ，防止大文件上传（如超过10MB的恶意文件）耗尽磁盘空间。
   • 限制并发连接：通过limit_conn_zone和limit_conn指令，限制单个IP的并发连接数（如每个IP最多1个连接）：

     http {
         
         limit_conn_zone $binary_remote_addr zone=ops:10m;
       # 定义共享内存区域
     }
     
     server {
     
         location / {
         
             limit_conn ops 1;
       # 限制并发连接数
         }
     
     }
     
     

     此配置可防止DDoS攻击或恶意爬虫占用过多服务器资源。

二、SSL/TLS安全配置

1. 启用HTTPS并强制跳转

   • 使用Certbot获取Let’s Encrypt免费证书（替换yourdomain.com为实际域名）：

     sudo apt install certbot python3-certbot-nginx
     sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
     

     Certbot会自动修改Nginx配置，启用443端口的HTTPS监听。
   • 强制HTTP跳转至HTTPS：编辑默认站点配置（/etc/nginx/sites-available/default），添加以下server块：

     server {
         
         listen 80;
         
         server_name yourdomain.com www.yourdomain.com;
         
         return 301 https://$host$request_uri;
       # 永久重定向至HTTPS
     }
         
     

     此配置确保所有流量均通过加密通道传输。

2. 优化SSL/TLS参数
   在HTTPS的server块中，配置安全的加密协议与算法：

   ssl_protocols TLSv1.2 TLSv1.3;
         # 禁用不安全的TLS 1.0/1.1
   ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
         # 使用强加密套件
   ssl_prefer_server_ciphers on;
          # 优先使用服务器端加密套件
   ssl_session_timeout 1d;
                # 会话超时时间（1天）
   ssl_session_cache shared:SSL:50m;
         # 会话缓存大小（50MB）
   ssl_stapling on;
                       # 启用OCSP装订（提升证书验证效率）
   

   这些配置可防止降级攻击（如POODLE），提升加密安全性。

3. 配置HSTS
   添加Strict-Transport-Security头部，强制浏览器使用HTTPS（即使用户手动输入HTTP）：

   add_header Strict-Transport-Security "max-age=31536000;
        includeSubDomains" always;
   
   

   max-age=31536000表示有效期为1年，includeSubDomains覆盖所有子域名，有效预防SSL剥离攻击。

三、访问控制优化

1. 基于IP的白名单/黑名单

   • 限制敏感路径访问：如管理后台（/admin/），仅允许内网IP访问：

     location /admin/ {
         
         allow 192.168.1.0/24;
           # 允许内网IP段
         allow 10.0.0.0/8;
               # 允许另一个内网IP段
         deny all;
                   # 拒绝其他所有IP
     }
     
     

   • 屏蔽恶意IP：通过deny指令直接拒绝特定IP（如攻击源IP）：

     location / {
         
         deny 192.168.1.100;
             # 屏蔽单个IP
         allow all;
     
     }
     
     

     此配置可防止未经授权的访问。

2. 限制请求频率
   使用limit_req_zone和limit_req指令，限制单个IP的请求频率（如每秒最多1个请求，允许突发5个）：

   http {
       
       limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
     # 定义共享内存区域与速率
   }
   
   server {
   
       location / {
       
           limit_req zone=mylimit burst=5 nodelay;
         # 限制请求频率
           proxy_pass http://backend;
   
       }
   
   }
       
   

   此配置可有效防御暴力破解（如密码猜测）和DDoS攻击。

四、防火墙联动

1. 安装与配置UFW
   UFW（Uncomplicated Firewall）是Ubuntu的简易防火墙工具，可通过以下命令配置：

   sudo apt install ufw
   sudo ufw allow 22/tcp    # 允许SSH（远程管理）
   sudo ufw allow 80/tcp    # 允许HTTP（可选，若未启用HTTPS）
   sudo ufw allow 443/tcp   # 允许HTTPS
   sudo ufw enable          # 启用防火墙
   sudo ufw status          # 查看状态（确认规则正确）
   

   此配置可阻止未经授权的网络流量访问服务器。

2. 配置iptables高级规则
   若需更细粒度的控制，可使用iptables限制连接速率（如每个IP每秒最多5个新连接）：

   sudo iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 5 -j DROP
   sudo iptables -A INPUT -p tcp --dport 443 -m limit --limit 5/min -j ACCEPT
   

   此配置可防止大量并发连接耗尽服务器资源。

五、日志监控与入侵检测

1. 增强型日志配置
   自定义Nginx日志格式，包含客户端IP、请求时间、响应状态、请求体大小等信息，便于后续分析：

   log_format security '$remote_addr - $http_x_forwarded_for - $time_iso8601 '
                      '"$request" $status $body_bytes_sent '
                      '"$http_referer" "$http_user_agent" $request_time';
       
   access_log /var/log/nginx/security.log security;
         # 记录安全相关日志
   error_log /var/log/nginx/error.log crit;
                 # 记录错误日志（仅严重级别）
   

   此配置可帮助快速定位异常请求（如大量404错误）。

2. 集成Fail2Ban
   Fail2Ban是一款入侵检测工具，可自动屏蔽恶意IP（如频繁访问404页面的IP）。

   • 安装Fail2Ban：sudo apt install fail2ban
   • 创建Nginx专用过滤规则（/etc/fail2ban/filter.d/nginx-badbots.conf）：

     [Definition]
     failregex = ^<
         HOST>
          -.*"(GET|POST).*HTTP.*" 404 .*$
     ignoreregex =
     

   • 创建Jail配置（/etc/fail2ban/jail.local）：

     [nginx-badbots]
     enabled = true
     filter = nginx-badbots
     logpath = /var/log/nginx/access.log
     maxretry = 2  # 2次错误后屏蔽
     bantime = 86400  # 屏蔽1天
     

   • 重启Fail2Ban：sudo systemctl restart fail2ban
     此配置可自动屏蔽恶意爬虫，减少无效流量。

六、高级防护（可选）

1. 部署ModSecurity
   ModSecurity是一款开源Web应用防火墙（WAF），可拦截SQL注入、XSS等应用层攻击。
   • 安装ModSecurity与Nginx连接器：

     sudo apt install libmodsecurity3 libmodsecurity-dev
     sudo git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git
     cd ModSecurity-nginx
     sudo make &
         &
          sudo make install
     

   • 配置ModSecurity：
     • 在/etc/nginx/nginx.conf的http块中加载模块：load_module modules/ngx_http_modsecurity_module.so;
     • 在server块中启用ModSecurity并指定规则文件：

       server {
           
           modsecurity on;
           
           modsecurity_rules_file /etc/nginx/modsec/main.conf;
       
       }
           
       

     • 下载OWASP CRS规则集（/etc/nginx/modsec/main.conf）：

       sudo mkdir /etc/nginx/modsec
       cd /etc/nginx/modsec
       sudo git clone --depth 1 https://github.com/coreruleset/coreruleset.git
       sudo cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf
       sudo cp coreruleset/rules/*.conf /etc/nginx/modsec/coreruleset/
       echo -e "SecRuleEngine On\nSecRequestBodyAccess On\nSecResponseBodyAccess On\nInclude /etc/nginx/modsec/coreruleset/crs-setup.conf\nInclude /etc/nginx/modsec/coreruleset/rules/*.conf" >
            /etc/nginx/modsec/main.conf
       

   • 重启Nginx：sudo systemctl restart nginx
     此配置可拦截绝大多数应用层攻击，提升Web应用安全性。

通过以上步骤，可全面加固Ubuntu上Nginx的安全性，降低被攻击的风险。需定期更新Nginx、SSL证书及系统组件，确保安全配置的有效性。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！