如何确保Debian Nginx SSL配置安全

Debian 上 Nginx SSL 安全配置实操清单

一 基础与系统加固

• 保持系统与软件为最新：执行 sudo apt update & & sudo apt full-upgrade，并启用 unattended-upgrades 自动安全更新，及时获取 Nginx/OpenSSL 修复。
• 启用防火墙仅开放必要端口：例如 ufw allow 80,443/tcp & & ufw enable（如使用 firewalld 则放行 http/https 服务）。
• 证书与私钥权限最小化：私钥建议 600，证书 644；证书路径如 /etc/letsencrypt/live/yourdomain.com/，确保仅 root 可读。
• 确认 Nginx 编译包含 SSL 模块：执行 nginx -V 2> & 1 | grep – ‘–with-http_ssl_module’，若缺失需重新安装带 SSL 模块的版本。

二 证书获取与自动续期

• 使用 Let’s Encrypt 获取受信任证书：安装 certbot 与 python3-certbot-nginx，执行 sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com 自动申请并写入 HTTPS 配置。
• 配置自动续期与平滑重载：建议以 systemd timer 或 cron 每周执行 sudo certbot renew --dry-run 验证，续期成功后 systemctl reload nginx 使新证书生效。
• 证书路径与格式：常见为 fullchain.pem（证书链）与 privkey.pem（私钥），在 server 块中使用 ssl_certificate 与 ssl_certificate_key 指定。

三 推荐的 Nginx SSL 配置

• 强制 HTTPS：在监听 80 的 server 中使用 return 301 https://$host$request_uri; 。
• 协议与套件：仅启用 TLSv1.2/TLSv1.3；优先使用 ECDHE 实现 Forward Secrecy；示例套件：
  ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384。
• 性能与握手优化：启用 HTTP/2、ssl_session_cache shared:SSL:10m、ssl_session_timeout 10m、ssl_session_tickets off。
• 证书与 DH 参数：使用 fullchain.pem/privkey.pem；生成并配置 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem。
• OCSP Stapling：启用 ssl_stapling on; ssl_stapling_verify on; ，并使用可靠 resolver（如 8.8.8.8 8.8.4.4）。
• 安全响应头：添加 Strict-Transport-Security（如 max-age=31536000; includeSubDomains）、X-Frame-Options、X-Content-Type-Options、X-XSS-Protection、Referrer-Policy 等。
• 方法限制与信息泄露防护：限制仅 GET/HEAD/POST 方法返回 405，关闭 server_tokens off。

四 验证与运维

• 配置语法与生效：每次修改后执行 sudo nginx -t，无误后 sudo systemctl reload nginx。
• 连接与证书校验：使用 openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 查看握手与证书链；也可用在线工具做合规检测。
• 持续监控与演练：监控 access/error 日志，定期做 renew --dry-run 演练与证书到期巡检，确保告警与自动续期正常。

五 最小化示例片段

# 强制 HTTPS
server {
    
    listen 80;
    
    server_name example.com www.example.com;
    
    return 301 https://$host$request_uri;

}


# HTTPS 主配置
server {
    
    listen 443 ssl http2;
    
    server_name example.com www.example.com;
    

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    

    ssl_protocols TLSv1.2 TLSv1.3;
    
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
                DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    
    ssl_prefer_server_ciphers on;
    

    ssl_session_cache shared:SSL:10m;
    
    ssl_session_timeout 10m;
    
    ssl_session_tickets off;
    

    ssl_stapling on;
    
    ssl_stapling_verify on;
    
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    
    resolver_timeout 5s;
    

    add_header Strict-Transport-Security "max-age=31536000;
     includeSubDomains" always;
    
    add_header X-Frame-Options "SAMEORIGIN" always;
    
    add_header X-Content-Type-Options "nosniff" always;
    
    add_header X-XSS-Protection "1;
     mode=block" always;
    
    add_header Referrer-Policy "origin" always;
    

    server_tokens off;


    if ($request_method !~ ^(GET|HEAD|POST)$) {
     return 405;
 }


    location / {
    
        root /var/www/html;
    
        try_files $uri $uri/ =404;

    }

}
    

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！