Debian中Nginx安全设置有哪些

Debian中Nginx安全设置指南

一、基础安全配置

1. 隐藏版本号信息

编辑Nginx主配置文件（/etc/nginx/nginx.conf），在http块中添加server_tokens off;指令，关闭响应头中的Nginx版本号显示，防止攻击者通过版本号查找针对性漏洞。

2. 配置安全HTTP响应头

在server或http块中添加以下指令，增强Web应用安全性：

• add_header X-Frame-Options "SAMEORIGIN";：防止点击劫持攻击（禁止页面被嵌入iframe）；
• add_header X-XSS-Protection "1; mode=block";：启用浏览器XSS（跨站脚本）防护；
• add_header X-Content-Type-Options "nosniff";：防止资源类型混淆攻击（如MIME类型嗅探）；
• add_header Referrer-Policy "strict-origin-when-cross-origin";：控制Referrer信息传递（仅发送同源或安全跨源的Referer）；
• add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'";：限制资源加载来源（默认仅允许同源，允许必要的数据协议和内联样式）。

3. 访问控制优化

• 限制连接数与请求频率：在http块中定义共享内存区域（用于存储IP连接信息），并通过limit_conn、limit_req指令限制单个IP的并发连接数和请求速率。例如：

  limit_conn_zone $binary_remote_addr zone=addr:10m;  # 定义10MB共享内存存储IP连接数
  limit_conn addr 100;                              # 单个IP最多100个并发连接
  limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s burst=20 nodelay;  # 限制请求速率为10次/秒，突发20次
  

  这些配置可有效缓解DDoS攻击、暴力破解等场景的压力。
• 配置敏感区域白名单：对管理后台（如/admin/）、API接口等敏感路径，使用allow/deny指令限制IP访问范围，并启用基础认证（auth_basic）。例如：

  location /admin/ {
      allow 192.168.1.0/24;       # 允许内网IP段
      allow 10.0.0.0/8;           # 允许另一个内网IP段
      deny all;                   # 拒绝其他所有IP
      auth_basic "Restricted Access";  # 启用基础认证（弹出用户名密码窗口）
      auth_basic_user_file /etc/nginx/.htpasswd;  # 指定密码文件路径（需提前创建）
  }
  

  密码文件可通过htpasswd命令生成（如sudo htpasswd -c /etc/nginx/.htpasswd username）。

二、SSL/TLS安全配置

1. 启用HTTPS并强制跳转

• 配置SSL证书（可使用Let’s Encrypt免费获取）：

  listen 443 ssl http2;  # 启用HTTPS和HTTP/2协议
  ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;  # 证书路径
  ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;  # 私钥路径
  

• 强制HTTP请求重定向至HTTPS（避免明文传输）：

  if ($scheme != "https") {
      return 301 https://$server_name$request_uri;
  }
  

  Let’s Encrypt证书可通过certbot工具自动获取和续期（sudo certbot --nginx -d yourdomain.com）。

2. 优化SSL/TLS参数

• 禁用不安全协议：仅允许TLS 1.2及以上版本（TLS 1.0/1.1存在已知漏洞）：

  ssl_protocols TLSv1.2 TLSv1.3;
  

• 选择安全密码套件：优先使用前向保密（Forward Secrecy）的密码套件（如ECDHE、DHE），禁用RC4、DES等弱算法：

  ssl_ciphers HIGH:!aNULL:!MD5:!RC4:!3DES;
  ssl_prefer_server_ciphers on;  # 优先使用服务器端密码套件
  

• 启用OCSP Stapling：减少客户端验证证书时的延迟，提升性能并增强安全性：

  ssl_stapling on;              # 启用OCSP Stapling
  ssl_stapling_verify on;       # 验证OCSP响应的有效性
  resolver 8.8.8.8 8.8.4.4 valid=300s;  # DNS解析器（用于OCSP查询）
  resolver_timeout 5s;          # 解析超时时间
  

• 配置HSTS（HTTP严格传输安全）：强制浏览器在指定时间内（如1年）仅通过HTTPS访问站点，防止SSL剥离攻击：

  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  

  注意：启用HSTS后，若站点证书过期或配置错误，会导致用户无法访问，需谨慎测试。

三、其他安全措施

1. 防火墙配置

使用ufw（Uncomplicated Firewall）限制开放端口，仅允许HTTP（80）、HTTPS（443）和SSH（22）等必要服务：

sudo apt install ufw          # 安装ufw
sudo ufw allow 'Nginx Full'   # 允许Nginx的HTTP和HTTPS流量
sudo ufw allow 22/tcp         # 允许SSH（用于远程管理）
sudo ufw enable               # 启用防火墙

或通过iptables设置底层规则（如允许SSH、HTTP、HTTPS，拒绝其他入站流量）。

2. 定期更新与维护

• 更新系统和软件：定期运行sudo apt update && sudo apt upgrade，修补Nginx、内核及其他依赖组件的安全漏洞。
• 监控与日志分析：定期检查Nginx错误日志（/var/log/nginx/error.log）和访问日志（/var/log/nginx/access.log），使用工具（如ELK Stack、Prometheus+Grafana）分析异常请求（如大量404、高频POST请求），及时发现潜在攻击。

3. 系统级安全加固

• 禁用root远程登录：修改SSH配置（/etc/ssh/sshd_config），设置PermitRootLogin no，使用普通用户+sudo提升权限，降低root账户泄露风险。
• 设置强密码策略：通过PAM模块（如pam_pwquality）要求用户设置复杂密码（包含大小写字母、数字、特殊字符，长度≥8位）。