Debian上Nginx的安全配置有哪些要点

Debian 上 Nginx 的安全配置要点

一 系统与基础加固

• 保持软件为最新：定期执行 apt update & & apt upgrade，及时修补 Nginx 与系统组件漏洞。
• 以最小权限运行：在 /etc/nginx/nginx.conf 设置非特权用户（如 www-data 或 nginx），避免使用 root 启动工作进程。
• 隐藏版本信息：在 http { server_tokens off; } 关闭版本暴露，降低信息泄露面。
• 目录与文件防护：禁止访问隐藏文件与敏感目录，例如：
  • location ~ /. { deny all; }
  • location ~ /.ht { deny all; }
• 访问控制示例：对管理路径限制来源 IP，
  • location /admin { allow 192.168.1.0/24; deny all; }
• 请求体限制：设置 client_max_body_size（如 20M/50M）降低滥用风险。
• 防火墙最小化放行：仅开放 80/443，如 ufw allow ‘Nginx Full’ 或 ufw allow 80,443/tcp。

二 加密与传输安全

• 使用有效证书与自动续期：通过 Let’s Encrypt 获取证书，
  • sudo apt install certbot python3-certbot-nginx
  • sudo certbot --nginx -d yourdomain.com
  • 定期续期：sudo certbot renew --dry-run
• 强加密与协议：仅启用 TLSv1.2/TLSv1.3，优先 ECDHE 实现前向保密（FS），示例套件：
  • ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
  • ssl_prefer_server_ciphers on;
• 会话复用与性能：开启 ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
• 强化 HTTPS 特性：启用 HTTP/2（listen 443 ssl http2; ）、HSTS、OCSP Stapling，示例：
  • add_header Strict-Transport-Security “max-age=31536000; includeSubDomains” always;
  • ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s;
• 安全响应头：统一添加
  • X-Frame-Options: SAMEORIGIN
  • X-Content-Type-Options: nosniff
  • X-XSS-Protection: 1; mode=block
  • Referrer-Policy: strict-origin-when-cross-origin
• 协议与算法取舍：禁用 SSLv2/SSLv3/TLS1.0/TLS1.1 与不安全算法（如 RC4），规避 POODLE、FREAK、BEAST 等风险；如环境允许，可进一步禁用 TLS1.2 仅保留 TLS1.3。

三 反向代理与后端安全

• 正确传递客户端信息：在代理场景下设置
  • proxy_set_header Host $host;
  • proxy_set_header X-Real-IP $remote_addr;
  • proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  • proxy_set_header X-Forwarded-Proto $scheme;
• 连接与长连接：使用 HTTP/1.1 与 proxy_http_version 1.1; ，并按需设置 keepalive（如 upstream keepalive 32; ）。
• 静态资源缓存：对静态资源设置长期缓存与公共缓存策略，减轻源站压力并降低敏感内容被频繁拉取的风险。
• 访问控制：对管理接口或敏感后端路径实施 IP 白名单 与 速率限制（limit_req/limit_conn）。

四 文件权限与 PHP 隔离

• 运行账户分离：让 Nginx worker 与 PHP-FPM 以不同低权限账户运行，避免以 root 执行动态脚本。
• 目录权限最小化：网站根目录可由 root:root 拥有，站点文件对 Web 服务账户仅授予读取权限；上传/写入目录单独赋予写权限。
• 禁止上传目录执行脚本：对如 /uploads /attachments 等目录，禁止解析 PHP，示例：
  • location ~ /uploads/.*.(php|php5)?$ { deny all; }
• 限制系统关键文件执行：移除或限制 Web 账户对 /bin/sh 等可执行文件的访问，降低命令执行风险。
• 最小暴露面：禁止访问 .ht、.git、.env* 等敏感文件与版本控制元数据。

五 运行监控与维护

• 日志与审计：保留并定期分析 access.log / error.log，便于发现异常请求与潜在攻击；必要时接入 ELK 或类似方案集中分析。
• 监控告警：暴露 Nginx 指标（如通过 nginx-prometheus-exporter）结合 Prometheus/Grafana 做可用性与安全事件监控。
• 配置与证书变更管控：变更前备份，变更后用 nginx -t 校验，成功后 systemctl reload nginx 平滑生效；证书启用自动续期并定期演练 renew --dry-run。
• 定期安全巡检：复核防火墙规则、开放端口、TLS 配置与后端访问控制策略，及时修补新出现的 CVE。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！