Ubuntu下Nginx安全设置怎么做

以下是Ubuntu下Nginx的安全设置要点：

1. 基础系统加固

   • 更新系统补丁：sudo apt update && sudo apt upgrade -y。
   • 最小化安装：移除不必要的软件包sudo apt autoremove --purge。
   • 配置防火墙（UFW）：

     sudo ufw enable sudo ufw allow 22/tcp # SSH  sudo ufw allow 80/tcp # HTTP（可选）  sudo ufw allow 443/tcp # HTTPS  

2. Nginx核心安全配置

   • 隐藏版本信息：在/etc/nginx/nginx.conf中添加server_tokens off;。
   • 启用HTTPS：
     • 安装Certbot获取免费SSL证书：sudo apt install certbot python3-certbot-nginx，然后运行sudo certbot --nginx -d example.com。
     • 配置HTTP跳转HTTPS：在/etc/nginx/sites-available/default中添加重定向规则。
   • SSL/TLS安全参数：

     ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; 

3. 访问控制与防攻击

   • IP访问限制：

     location /admin { allow 192.168.1.0/24; deny all; } 

   • 请求速率限制：

     limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s; location /api/ { limit_req zone=api_limit burst=20 nodelay; } 

   • 防止常见Web攻击：
     • 点击劫持：add_header X-Frame-Options "SAMEORIGIN";。
     • XSS攻击：add_header X-XSS-Protection "1; mode=block";。
     • 内容类型嗅探：add_header X-Content-Type-Options "nosniff";。

4. 文件与日志安全

   • 限制目录访问：禁止访问敏感目录（如配置文件、日志）：

     location ~* ^/(\.git|\.ht|logs) { deny all; } 

   • 关闭目录列表：autoindex off;。
   • 设置文件权限：确保Nginx配置文件权限为640，目录权限为750。

5. 高级安全增强

   • 启用WAF（Web应用防火墙）：安装ModSecurity模块（需手动编译Nginx）。
   • 监控与日志：配置logrotate定期轮转日志，分析异常请求。

参考来源：