Ubuntu Nginx SSL如何防止攻击

Ubuntu 上 Nginx SSL 的安全加固与攻击防护

一 基础安全配置

• 仅启用现代协议与强套件：优先使用 TLSv1.3，如需兼容旧客户端再加 TLSv1.2；禁用 SSLv2/SSLv3/TLSv1.0/TLSv1.1。套件以 ECDHE 实现前向保密（FS），优先 AES‑GCM/ChaCha20‑Poly1305。示例：
  • ssl_protocols TLSv1.2 TLSv1.3;
  • ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
  • ssl_prefer_server_ciphers on;
• 会话复用与缓存：开启 Session Tickets 或 Session Cache，降低握手开销并缓解重放风险。示例：
  • ssl_session_timeout 1d;
  • ssl_session_cache shared:MozSSL:10m;
  • 可选：ssl_session_tickets on;
• 安全响应头：启用 HSTS、X‑Frame‑Options、X‑Content‑Type‑Options、X‑XSS‑Protection，必要时加上 CSP。示例：
  • add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always;
  • add_header X-Frame-Options SAMEORIGIN;
  • add_header X-Content-Type-Options nosniff;
  • add_header X-XSS-Protection “1; mode=block”;
• 证书与私钥：使用 Let’s Encrypt 或合规 CA；私钥权限 600；证书路径如 /etc/letsencrypt/live/yourdomain.com/。示例：
  • ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
  • ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
• HTTP 强制跳转：将 80→443。示例：
  • server { listen 80; server_name _; return 301 https://$host$request_uri; } 。

二 进阶防护与场景化加固

• 在线证书状态校验（OCSP Stapling）：减少客户端验证延迟并缓解阻断攻击。示例：
  • ssl_stapling on;
  • ssl_stapling_verify on;
  • 需配置 resolver（如 8.8.8.8 1.1.1.1 且 valid=30s）；
• 双向 TLS 认证（mTLS）：对 API/内网 强制客户端证书，阻断未授权访问与部分 MITM。示例：
  • ssl_verify_client on;
  • ssl_verify_depth 2;
  • ssl_client_certificate /etc/nginx/ssl/ca/chain.pem;
  • 失败处理：error_page 495 496 = @deny; location @deny { return 403 “Client certificate required”; }
  • 可将客户端信息透传后端：X‑SSL‑Client‑Verify、X‑SSL‑Client‑DN、X‑Client‑Serial；
• 协议与套件的兼容取舍：若必须支持极旧客户端，仍应禁用 RC4 与 EXPORT 套件，优先 ECDHE+AESGCM 或 ECDHE+ChaCha20；TLS1.0 的 BEAST 风险由客户端缓解，服务端以禁用 RC4 与旧协议为主。

三 部署与运维清单

• 获取证书与自动续期：Ubuntu 上用 Certbot 获取 Let’s Encrypt 证书，设置 cron 或 systemd timer 自动续期（证书默认 90 天 有效）。示例：
  • sudo apt install certbot;
  • sudo certbot certonly --standalone -d yourdomain.com;
  • 续期测试：sudo certbot renew --dry-run;
• 防火墙与端口：仅开放 443/TCP（以及 80/TCP 用于跳转），如 UFW：sudo ufw allow 443/tcp;
• 配置语法与热加载：每次修改后执行 sudo nginx -t & & sudo systemctl reload nginx；
• 基线核查与回归测试：使用 SSL Labs Server Test 评分与回归；命令行快速探测：
  • openssl s_client -connect yourdomain.com:443 -servername yourdomain.com;

四 最小化可用配置示例

• 单向 HTTPS + HSTS + HTTP→HTTPS + 现代套件（TLS1.3 优先）
  • server {
    • listen 443 ssl http2;
    • server_name example.com;
    • ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    • ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    • ssl_protocols TLSv1.2 TLSv1.3;
    • ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
    • ssl_prefer_server_ciphers on;
    • ssl_session_timeout 1d;
    • ssl_session_cache shared:MozSSL:10m;
    • ssl_stapling on;
    • ssl_stapling_verify on;
    • resolver 8.8.8.8 1.1.1.1 valid=30s;
    • add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always;
    • add_header X-Frame-Options SAMEORIGIN;
    • add_header X-Content-Type-Options nosniff;
    • add_header X-XSS-Protection “1; mode=block”;
    • location / { root /var/www/html; try_files $uri $uri/ /index.html; }
  • }
  • server { listen 80; server_name example.com; return 301 https://$host$request_uri; }
• 双向 TLS（mTLS）关键片段（在 443 server 块内追加）
  • ssl_verify_client on;
  • ssl_verify_depth 2;
  • ssl_client_certificate /etc/nginx/ssl/ca/chain.pem;
  • error_page 495 496 = @deny;
  • location @deny { return 403 “Client certificate required”; }
  • 可选：proxy_set_header X‑SSL‑Client‑Verify $ssl_client_verify; 等。

五 常见攻击与对应措施

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！