Nginx在Ubuntu上如何安全配置

Nginx在Ubuntu上的安全配置指南

一、基础系统安全准备

在配置Nginx前，需先强化Ubuntu系统的基础安全，降低整体风险：

• 更新系统与软件包：运行sudo apt update && sudo apt upgrade -y，确保系统和Nginx等软件为最新版本，修补已知漏洞。
• 禁用SSH root登录：编辑/etc/ssh/sshd_config，将PermitRootLogin yes改为no，并重启SSH服务（sudo systemctl restart sshd），避免直接使用root账户登录。
• 启用防火墙（UFW）：使用sudo ufw allow 22/tcp（SSH）、sudo ufw allow 80/tcp（HTTP）、sudo ufw allow 443/tcp（HTTPS）开放必要端口，然后执行sudo ufw enable启用防火墙，通过sudo ufw status验证状态。

二、Nginx核心安全配置

1. 隐藏版本与敏感信息

• 关闭版本号：编辑/etc/nginx/nginx.conf，在http块中添加server_tokens off;，防止攻击者通过响应头识别Nginx版本。
• 移除多余HTTP头：在server块中添加more_clear_headers Server;，进一步隐藏服务器信息（需安装headers-more-nginx-module模块，若未安装可通过源码编译添加）。

2. 限制访问权限

• IP白名单：针对管理后台（如/admin/），配置仅允许特定IP访问：

  location /admin/ {
      allow 192.168.1.0/24;  # 允许内部网络
      allow 10.0.0.0/8;      # 允许私有网络
      deny all;              # 拒绝其他所有IP
  }
  

• 地理限制：使用geo模块限制国家/地区访问（需提前配置IP数据库）：

  http {
      geo $country {
          default 0;         # 默认拒绝
          192.168.1.0/24 1;  # 允许国内IP段
      }
      server {
          if ($country = 0) {
              return 403;    # 非允许地区返回403
          }
      }
  }
  

• 请求频率限制：在http块中定义共享内存区域，限制单个IP的请求频率：

  http {
      limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;  # 每秒10个请求
      server {
          location / {
              limit_req zone=mylimit burst=20 nodelay;  # 允许突发20个请求，无延迟
          }
      }
  }
  

3. 强化HTTP协议与加密

• 禁用不安全HTTP方法：仅允许GET、HEAD、POST方法，阻止PUT、DELETE等危险方法：

  if ($request_method !~ ^(GET|HEAD|POST)$ ) {
      return 444;  # 直接关闭连接
  }
  

• 配置HSTS：强制浏览器使用HTTPS，添加以下头部（需已启用HTTPS）：

  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
  

• 优化SSL配置：使用Let’s Encrypt获取免费证书（sudo apt install certbot python3-certbot-nginx），并配置强加密套件：

  server {
      listen 443 ssl http2;
      server_name example.com;
      ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
      ssl_protocols TLSv1.2 TLSv1.3;  # 仅使用TLS 1.2及以上
      ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';  # 强加密套件
      ssl_prefer_server_ciphers on;
  }
  

4. 防止常见攻击

• 防目录遍历：关闭目录列表功能，规范路径访问：

  location / {
      autoindex off;  # 关闭目录列表
      try_files $uri $uri/ =404;  # 规范化路径，避免../遍历
  }
  

• 限制请求体大小：防止大文件上传耗尽服务器资源：

  client_max_body_size 10M;  # 限制请求体为10MB
  

• 限制并发连接：在http块中定义共享内存区域，限制每个IP的并发连接数：

  http {
      limit_conn_zone $binary_remote_addr zone=ops:10m;  # 共享内存区域
      server {
          location / {
              limit_conn ops 5;  # 每个IP最多5个并发连接
          }
      }
  }
  

三、集成第三方安全工具

• 安装Fail2Ban：用于防范暴力破解，配置Nginx防护：

  sudo apt install fail2ban
  

  编辑/etc/fail2ban/jail.d/nginx.conf：

  [nginx-http-auth]
  enabled = true
  port = http,https
  logpath = /var/log/nginx/error.log
  maxretry = 5
  bantime = 3600
  findtime = 600
  

  重启Fail2Ban：sudo systemctl restart fail2ban。
• 启用ModSecurity：开源WAF（Web应用防火墙），检测OWASP Top 10威胁（如SQL注入、XSS），需源码编译Nginx并添加模块（参考ModSecurity官方文档）。

四、日常维护与监控

• 定期更新：开启自动安全更新，安装unattended-upgrades：

  sudo apt install unattended-upgrades
  sudo dpkg-reconfigure --priority=low unattended-upgrades
  

• 备份配置：定期备份Nginx配置和日志：

  sudo tar -czvf nginx-backup-$(date +%F).tar.gz /etc/nginx /var/log/nginx
  

  设置定时任务（每天凌晨2点备份）：

  echo "0 2 * * * tar -czvf /backup/nginx-$(date +\%F).tar.gz /etc/nginx /var/log/nginx" | sudo tee -a /etc/crontab
  

• 日志审查：定期检查Nginx访问日志（/var/log/nginx/access.log）和错误日志（/var/log/nginx/error.log），使用grep、awk等工具分析异常请求（如大量404、403错误）。