【Nginx进阶】Nginx安全配置(nginx 配置说明)
ahcoder 2025-07-02 17:37 2 浏览
在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。
在现代网络环境中,保障 Web 服务器的安全性至关重要。Nginx 作为一个高性能的 Web 服务器和反向代理服务器,通过合理的安全配置,可以有效地防止各种网络攻击,保护服务器和用户数据的安全。在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。
1. SSL/TLS 安全
SSL/TLS 通过加密保护数据传输的机密性、完整性和真实性。合理的 SSL/TLS 配置可以防止攻击和数据篡改。
1.1 禁用不安全的协议和加密套件
禁用 SSLv3 和弱加密套件,强制使用安全的 TLS 协议和加密套件:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
}
1.2 启用 HSTS(HTTP Strict Transport Security)
HTTP 严格传输安全 (HSTS) 可以强制客户端使用 HTTPS 连接,防止协议降级攻击:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
1.3 启用 OCSP Stapling(实时证书状态检查)
OCSP Stapling 可以减少 SSL 握手时间,提高性能:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
}
1.4 使用强密码
生成并配置 Diffie-Hellman 参数文件:
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048在 Nginx 配置中使用:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
}
2. 访问控制
通过访问控制,可以限制哪些客户端可以访问服务器,从而提高安全性。
2.1 基于 IP 地址的访问控制
使用 allow 和 deny 指令,限制 IP 地址的访问:
server {
listen 80;
server_name example.com;
location / {
allow 192.168.1.0/24;
deny all;
}
}
2.2 基于用户代理的访问控制
限制特定用户代理的访问,可以防止一些常见的恶意机器人:
server {
listen 80;
server_name example.com;
location / {
if ($http_user_agent ~* "BadBot") {
return 403;
}
}
}2.3 基于 HTTP 方法的访问控制
限制某些 HTTP 方法的使用,例如禁止 PUT 和 DELETE 方法:
server {
listen 80;
server_name example.com;
location / {
if ($request_method !~ ^(GET|POST|HEAD)$) {
return 405;
}
}
}3. HTTP 安全头
HTTP 安全头可以防止多种 Web 安全问题,例如跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF)、点击劫持等。
3.1 配置常见的 HTTP 安全头
在 Nginx 配置文件中添加以下指令:
server {
listen 80;
server_name example.com;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "no-referrer-when-downgrade";
add_header Content-Security-Policy "default-src 'self'";
}
4. 防止 DDoS 攻击
分布式拒绝服务 (DDoS) 攻击可以通过大量请求耗尽服务器资源,从而导致服务不可用。Nginx 提供了一些配置来缓解 DDoS 攻击。
4.1 限制请求速率
使用 limit_req 模块限制每个客户端的请求速率:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name example.com;
location / {
limit_req zone=one burst=5 nodelay;
}
}
}
4.2 限制并发连接数
使用 limit_conn 模块限制每个客户端的并发连接数:
http {
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
listen 80;
server_name example.com;
location / {
limit_conn addr 10;
}
}
}5. 日志审计
通过日志审计,可以记录和分析服务器的访问和操作,帮助检测和防止安全事件。
5.1 配置详细日志
配置详细的访问日志和错误日志:
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log warn;
}
5.2 使用外部日志分析工具
使用如 ELK(Elasticsearch、Logstash、Kibana)等工具分析和可视化日志:
# 安装 Elasticsearch
# 安装 Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch
# 安装 Logstash
sudo apt install logstash
# 安装 Kibana
sudo apt install kibana
6. 完整示例
下面是一个综合了多种安全配置的完整示例:
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log warn;
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "no-referrer-when-downgrade";
add_header Content-Security-Policy "default-src 'self'";
location / {
limit_req zone=one burst=5 nodelay;
limit_conn addr 10;
allow 192.168.1.0/24;
deny all;
if ($request_method !~ ^(GET|POST|HEAD)$) {
return 405;
}
}
}
}7. 总结
在本章中,我们详细介绍了 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。通过这些配置,你可以有效地提高 Nginx 服务器的安全性,防止各种网络攻击,保护服务器和用户数据的安全。
相关推荐
- ClickHouse日志平台这样建,分分钟秒掉ELK
-
目前业界的日志生态,最常用的是ELK,其次就是ClickHouse,本文会演示如何使用Vector+ClickHouse来采集Nginx日志并做清洗,最终写入ClickHouse。至...
- nginx打印请求头日志方法-openresty
-
一、前言之前想用nginx打印收到的请求的请求头,但是只找到打印请求体的,没有打印请求头的,感觉原版nginx不支持。建议如果想打印请求头,先换成openresty(本人安装的是openresty-1...
- 文心快码帮你解大厂面试题:如何使用shell找到access log?
-
【大厂面试真题】系列,带你攻克大厂面试真题,秒变offer收割机!今日问题:在8g内存的机器,能否启动一个7G堆大小的java进程?一起看看文心快码BaiduComate给出的答案吧!如果这个问题你...
- Nginx奇技淫巧之:按日期自动生成日志文件
-
时光闹钟app开发者,请关注我,后续分享更精彩!坚持原创,共同进步!前言之前文章:Nginx奇技淫巧之:用户行为埋点数据采集实现,介绍了Nginx获取post请求body参数生成日志文件的方法。当业务...
- Nginx 日志文件详解:监控与诊断利器
-
随着互联网技术的快速发展,Nginx已成为最受欢迎的Web服务器之一,其稳定性、高性能和灵活性备受推崇。Nginx日志文件是Nginx服务器中非常重要的组成部分,对于监控和诊断Web应...
- Nginx从入门到放弃05-访问日志与日志切割
-
设置访问日志当我们访问nginx服务时,nginx会记录日志,nginx日志分两种,一种是访问日志,一种是错误日志,访问日志记录在”access.log”文件中,错误日志记录在”error.log”文...
- nginx系列:常用利用shell统计日志
-
0x01:根据访问IP统计UVUV(UniqueVisitor)独立访客,统计访问某站点的用户数;IP(InternetProtocol)独立IP数,是指独立的浏览了页面的不同IP,即统计不同的I...
- Linux 必须重点监控的 17 个日志文件:运维与安全必备指南
-
在Linux系统的日常运维与安全管理中,日志文件的重要性不言而喻。日志不仅记录着系统运行的点点滴滴,更是排查故障、发现异常、提前预警的第一手证据。作为一名系统管理员、安全工程师,甚至普通开发者,了...
- nginx 常用日志参数(nginx日志详解)
-
Nginx提供了多种日志参数(变量),可以用来记录请求的不同方面。常用日志参数$remote_addr:客户端的IP地址。$remote_user:客户端用户名。$time_local:局部时...
- GoAccess轻量nginx日志分析工具(nginx日志收集方案)
-
什么是GoAccessGoAccess是一款开源、实时,运行在命令行终端下的Web日志分析工具。该工具提供快速、多样的HTTP状态统计。分析结果,可以通过XShell等客户端工具查看,并...
- 后端实践:Nginx日志配置(超详细)(nginx日志配置文件)
-
作者:antwang来源:https://juejin.im/post/5aa09bb3f265da238f121b6c前言Nginx日志对于统计、系统服务排错很有用。Nginx日志主要分为两种:...
- Nginx access_log 运行日志查询和配置
-
1.介绍当我们学会Nginx的基本配置之后,可以通过Nginx配置Service代理。管理服务器所有的http和https请求。那么接下来就需要了解Nginx的日志控制,以及相关的文档查看了。你通过...
- Nginx记录用户请求Header到access log
-
为了统计和其它用途,经常有人需要自定义Nginx日志,把http请求中的某个字段记录到日志中,刚好在看lua+nginx的文章,第一想到的是用lua赋值来做,但是想想有点小恶心,于是Google了一番...
- 介绍五款Web服务器日志分析软件(web服务器日志是什么)
-
每个站长必须要看的数据统计表,都是由日志分析软件统计和分析网站情况所得出的。日志分析软件是一种解析Nginx/Apache/IIS/Lighttpd和任何其他Web服务器日志文件的软件...
- Nginx系列:Nginx自带后端健康检查
-
严格说Nginx并没有自带针对负载均衡后端节点的健康检查功能,但是可以通过默认自带的ngx_http_proxy_module模块和ngx_http_upstream_module模块中的相关指令...
- 一周热门
- 最近发表
- 标签列表
-
- linux 远程 (37)
- u盘 linux (32)
- linux 登录 (34)
- linux 路径 (33)
- linux 文件命令 (35)
- linux 是什么 (35)
- linux 界面 (34)
- 查看文件 linux (35)
- linux 语言 (33)
- linux代码 (32)
- linux 查看命令 (33)
- 关闭linux (34)
- root linux (33)
- 删除文件 linux (35)
- linux 主机 (34)
- linux与 (33)
- linux 函数 (35)
- linux .ssh (35)
- cpu linux (35)
- linux 防火墙 (33)
- linux 镜像 (34)
- linux ip地址 (34)
- linux 用户查看 (33)
- nginx配置 解析 (37)
- nginx 频率限制 (34)