Debian 上 Nginx SSL 安全配置实操清单
一 基础与系统加固
- 保持系统与软件为最新:执行 sudo apt update && sudo apt full-upgrade,并启用 unattended-upgrades 自动安全更新,及时获取 Nginx/OpenSSL 修复。
- 启用防火墙仅开放必要端口:例如 ufw allow 80,443/tcp && ufw enable(如使用 firewalld 则放行 http/https 服务)。
- 证书与私钥权限最小化:私钥建议 600,证书 644;证书路径如 /etc/letsencrypt/live/yourdomain.com/,确保仅 root 可读。
- 确认 Nginx 编译包含 SSL 模块:执行 nginx -V 2>&1 | grep – ‘–with-http_ssl_module’,若缺失需重新安装带 SSL 模块的版本。
二 证书获取与自动续期
- 使用 Let’s Encrypt 获取受信任证书:安装 certbot 与 python3-certbot-nginx,执行 sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com 自动申请并写入 HTTPS 配置。
- 配置自动续期与平滑重载:建议以 systemd timer 或 cron 每周执行 sudo certbot renew --dry-run 验证,续期成功后 systemctl reload nginx 使新证书生效。
- 证书路径与格式:常见为 fullchain.pem(证书链)与 privkey.pem(私钥),在 server 块中使用 ssl_certificate 与 ssl_certificate_key 指定。
三 推荐的 Nginx SSL 配置
- 强制 HTTPS:在监听 80 的 server 中使用 return 301 https://$host$request_uri;。
- 协议与套件:仅启用 TLSv1.2/TLSv1.3;优先使用 ECDHE 实现 Forward Secrecy;示例套件:
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384。
- 性能与握手优化:启用 HTTP/2、ssl_session_cache shared:SSL:10m、ssl_session_timeout 10m、ssl_session_tickets off。
- 证书与 DH 参数:使用 fullchain.pem/privkey.pem;生成并配置 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem。
- OCSP Stapling:启用 ssl_stapling on; ssl_stapling_verify on;,并使用可靠 resolver(如 8.8.8.8 8.8.4.4)。
- 安全响应头:添加 Strict-Transport-Security(如 max-age=31536000; includeSubDomains)、X-Frame-Options、X-Content-Type-Options、X-XSS-Protection、Referrer-Policy 等。
- 方法限制与信息泄露防护:限制仅 GET/HEAD/POST 方法返回 405,关闭 server_tokens off。
四 验证与运维
- 配置语法与生效:每次修改后执行 sudo nginx -t,无误后 sudo systemctl reload nginx。
- 连接与证书校验:使用 openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 查看握手与证书链;也可用在线工具做合规检测。
- 持续监控与演练:监控 access/error 日志,定期做 renew --dry-run 演练与证书到期巡检,确保告警与自动续期正常。
五 最小化示例片段
# 强制 HTTPS
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
# HTTPS 主配置
server {
listen 443 ssl http2;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "origin" always;
server_tokens off;
if ($request_method !~ ^(GET|HEAD|POST)$) { return 405; }
location / {
root /var/www/html;
try_files $uri $uri/ =404;
}
}