Nginx安全编程最佳实践

1. 保持Nginx更新

• 定期升级：始终使用最新稳定版本的Nginx，及时应用安全补丁
• 移除不必要模块：编译时只包含必要的模块(--without-http_autoindex_module等)
• 订阅安全公告：关注Nginx官方安全通知和CVE漏洞报告

2. 安全配置基础

2.1 基本安全头设置

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Content-Security-Policy "default-src 'self';";
add_header Referrer-Policy "strict-origin-when-cross-origin";
add_header Permissions-Policy "geolocation=(), midi=(), camera=()";

2.2 禁用不必要的信息披露

server_tokens off;  # 隐藏Nginx版本信息
autoindex off;      # 禁用目录列表

3. SSL/TLS配置

3.1 强加密套件

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve secp384r1;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;

3.2 HSTS配置

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

4. 请求限制与防护

4.1 防止暴力破解

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location /login {
        limit_req zone=one burst=20 nodelay;
    }
}

4.2 限制HTTP方法

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 405;
}

4.3 防止DDoS

limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    limit_conn addr 10;
}

5. 文件与目录安全

5.1 敏感文件保护

location ~ /\.ht {
    deny all;
}

location ~* \.(ini|log|conf|bak)$ {
    deny all;
}

5.2 上传目录限制

location ^~ /uploads/ {
    deny all;
}

6. Web应用防火墙(WAF)集成

6.1 ModSecurity配置

load_module modules/ngx_http_modsecurity_module.so;

http {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
}

6.2 NAXSI配置

load_module modules/ngx_http_naxsi_module.so;

http {
    include /etc/nginx/naxsi_core.rules;

    server {
        location / {
            SecRulesEnabled;
            DeniedUrl "/50x.html";
        }
    }
}

7. 日志与监控

7.1 详细日志记录

log_format security '$remote_addr - $remote_user [$time_local] '
                   '"$request" $status $body_bytes_sent '
                   '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/security.log security;

7.2 异常请求监控

map $status $loggable {
    ~^[23]  0;
    default 1;
}

access_log /var/log/nginx/errors.log combined if=$loggable;

8. 容器化环境安全

8.1 Docker安全配置

FROM nginx:latest

# 以非root用户运行
RUN chown -R nginx:nginx /var/cache/nginx && \
    chown -R nginx:nginx /var/run && \
    chmod -R 755 /var/cache/nginx

USER nginx

8.2 Kubernetes安全上下文

securityContext:
  runAsNonRoot: true
  runAsUser: 101  # nginx用户ID
  readOnlyRootFilesystem: true
  capabilities:
    drop:
      - ALL

9. 性能与安全平衡

# 限制客户端body大小防止DoS
client_max_body_size 10m;

# 缓冲区限制
client_body_buffer_size 16k;
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;

# 超时设置
client_body_timeout 10;
client_header_timeout 10;
keepalive_timeout 5 5;
send_timeout 10;

10. 定期审计与测试

• 配置审计：使用nginx -t测试配置，定期使用工具如gixy审计配置
• 渗透测试：定期进行安全扫描和渗透测试
• 性能监控：监控异常流量模式和资源使用情况

通过实施这些最佳实践，可以显著提高Nginx服务器的安全性，降低被攻击的风险。记住，安全是一个持续的过程，需要定期审查和更新配置。