Debian Nginx如何进行安全设置

Debian 上 Nginx 的安全加固清单

一 系统与基础防护

• 保持系统最新：执行 sudo apt update & & sudo apt upgrade -y，及时修补漏洞。
• 最小暴露面：仅开启必要服务，禁用不需要的端口与守护进程。
• 防火墙：使用 UFW 放行 HTTP/HTTPS，如 sudo ufw allow ‘Nginx Full’ & & sudo ufw enable；或基于 iptables 仅放行 80/443/SSH。
• SSH 加固：禁用 root 登录、改用 密钥认证、可更改默认端口，降低暴力破解风险。
• 账户与密码：使用 sudo 而非直接 root 登录；通过 PAM/pwquality 配置强密码策略。
• 监控与入侵防护：部署 Fail2ban 监控 Nginx 日志并自动封禁；使用 Logwatch 进行日志汇总与告警。

二 Nginx 基础安全配置

• 隐藏版本信息：在 http 块加入 server_tokens off; ，减少信息泄露。
• 安全响应头：统一添加关键安全头，建议值如下（可按站点策略微调）：
  • X-Frame-Options “SAMEORIGIN”
  • X-XSS-Protection “1; mode=block”
  • X-Content-Type-Options “nosniff”
  • Referrer-Policy “strict-origin-when-cross-origin”
  • Content-Security-Policy “default-src ‘self’; script-src ‘self’ ‘unsafe-inline’; style-src ‘self’ ‘unsafe-inline’”（示例策略，需结合实际前端资源调整）
• 访问限制与速率限制：
  • 区域白名单（如管理后台）：
    • location /admin/ { allow 192.168.1.0/24; deny all; auth_basic “Restricted”; auth_basic_user_file /etc/nginx/.htpasswd; }
  • 连接与请求频率：
    • limit_conn_zone $binary_remote_addr zone=addr:10m; limit_conn addr 100;
    • limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s burst=20;
    • limit_req zone=req_zone burst=20 nodelay;
• 静态资源与敏感文件：禁止访问 .ht*、.git 等敏感文件；对上传目录禁用执行权限。
• 代理与后端安全：为反向代理设置 X-Real-IP / X-Forwarded-For / X-Forwarded-Proto，并在上游信任代理头，避免 IP 伪造与协议混淆。

三 启用 HTTPS 与 TLS 优化

• 获取证书与自动续期：使用 Let’s Encrypt 与 Certbot，执行 sudo apt install certbot python3-certbot-nginx 后运行 sudo certbot --nginx -d yourdomain.com，自动配置 HTTP→HTTPS 跳转与证书续期。
• 强加密与协议：仅启用 TLSv1.2/TLSv1.3，禁用 SSLv3/TLSv1.0/TLSv1.1；使用 ECDHE 与 AEAD 套件，示例：
  • ssl_protocols TLSv1.2 TLSv1.3;
  • ssl_ciphers ‘ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256’;
  • ssl_prefer_server_ciphers on;
• HSTS：添加 Strict-Transport-Security “max-age=31536000; includeSubDomains” always; ，强制浏览器使用 HTTPS。
• 证书与密钥：证书路径通常为 /etc/letsencrypt/live/yourdomain.com/fullchain.pem 与 privkey.pem。

四 文件与进程权限及运行用户

• 运行用户：在 /etc/nginx/nginx.conf 的顶层设置 user www-data; （或专用低权用户），避免使用 root 运行工作进程。
• 目录与文件权限：网站根目录（如 /var/www/html）建议 root:www-data 755，静态文件 644，上传目录 750 且禁止脚本执行（如 location /uploads { location ~ .php$ { deny all; } } ）。
• 最小权限原则：仅授予 Web 服务对必要目录的读/列/写（上传）权限；禁止访问系统敏感路径。
• 变更生效流程：每次修改后执行 sudo nginx -t 校验配置，再 sudo systemctl reload nginx 平滑生效。

五 日志监控与持续维护

• 访问与错误日志：确保 access_log /var/log/nginx/access.log; 与 error_log /var/log/nginx/error.log; 处于开启状态，定期审计异常状态码（如 4xx/5xx 突增）。
• Fail2ban：启用 nginx-http-auth / nginx-limit-req / nginx-botsearch 等监狱，针对暴力破解与扫描进行自动封禁。
• Logwatch：配置 Logwatch 每日汇总 Nginx 与系统日志，关注异常 IP、UA、POST 请求与失败登录。
• 持续更新与基线核查：定期 apt update & & apt upgrade；对照安全基线检查 TLS 配置、响应头、速率限制与访问控制策略。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！