nginx官网:https://nginx.org/
nginx根据不同的安装方式,nginx的配置文件生成路径也有所不同
- yum/apt安装:配置文件在/etc/nginx/nginx.conf
- 源码编译安装:配置文件在/usr/local/nginx/conf
- docker运行:配置文件在/etc/nginx/nginx.conf
Nginx介绍(摘抄自百度百科):
Nginx是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP服务。它以其稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx使用C语言从头编写,已经移植到许多体系结构和操作系统,包括Linux、FreeBSD、Solaris、Mac OS AIX以及Microsoft Windows。Nginx有自己的函数库,并且除了zlib、PCRE、OpenSSL之外,标准模块只使用系统C库函数。Nginx的代码完全用C语言编写,已经移植到许多体系结构和操作系统上,具有很好的可移植性和广泛的兼容性。
Nginx的主要优势包括:
高并发连接能力:Nginx能够支持高达50,000个并发连接数的响应,使其在处理高并发连接方面表现出色。
低资源消耗:相比其他服务器软件,Nginx在处理静态文件、索引文件以及自动索引时,能够以较低的内存使用率和CPU占用率提供高效的服务。
异步非阻塞模式:Nginx采用异步非阻塞模式,能够处理大量的并发连接,而不会导致服务器资源耗尽。
高可用性:Nginx支持热部署,可以在不间断服务的情况下进行软件版本的升级,几乎可以做到7*24不间断运行。
模块化结构:Nginx的模块化结构允许用户根据需要选择和配置所需的模块,以适应不同的应用场景。
Nginx不仅可以作为Web服务器使用,还可以作为邮件代理服务器和负载均衡服务器。它支持反向代理和正向代理,能够有效地处理静态请求和动态请求的负载均衡。Nginx的配置文件非常简洁,支持perl语法,使得配置和管理更加方便。此外,Nginx还支持SSL和TLS,确保了通信的安全性
本文以ubuntu22.04,apt安装的nginx最新稳定版1.26.1为例
# 下载安装nginx key
wget http://nginx.org/keys/nginx_signing.key -P /root/script/download
# 安装key
sudo apt-key add /root/script/download/nginx_signing.key
# 添加源
release_name=`lsb_release -c | awk -F ' ' '{print $2}'`
echo "deb http://nginx.org/packages/ubuntu/ $release_name nginx" > /etc/apt/sources.list.d/nginx.list
echo "deb-src http://nginx.org/packages/ubuntu/ $release_name nginx" >> /etc/apt/sources.list.d/nginx.list
#安装nginx
apt update & apt install nginx
#查看nginx版本
nginx -v
nginx version: nginx/1.26.11.nginx软件版本相关
1.1使用最新的稳定版本
经常关注nginx官网发布的新版本并更新,以避免存在低版本的漏洞被利用。
#截止至2024年6月4日,稳定版已经更新到1.26.1
http://nginx.org/download/nginx-1.26.1.tar.gz1.2 禁止显示nginx服务器版本信息
如果使用低版本的nginx,可能存在可用的Nday漏洞,可以禁止显示nginx版本信息进行缓解(费点力还是有办法测试出使用的nginx版本的,但是会让攻击者权衡付出与收益是否成正比)。隐藏Nginx版本信息,可以减少攻击者获取服务器版本的机会,从而降低被已知漏洞攻击的风险。
#http模块中配置禁用服务器版本信息(需要重启服务)
vim /etc/nginx/nginx.conf
server_tokens off;2安全传输相关
2.1使用强密码密码套件和最新的TLS协议版本
强制使用强密码套件和最新的TLS协议版本提高传输安全性,但可能会导致与不支持这些协议的旧客户端不兼容,比如IE7。但是必须要配合ssl证书使用才可。
#server模块中配置使用的密码套件和TLS协议(需要重启)
vim /etc/nginx/conf.d/default.conf
listen 443 ssl;
server_name localhost;
ssl_certificate ./conf.d/cert.pem;
ssl_certificate_key ./conf.d/key.pem;
#主要是这三条配置对密码套件和TLS协议做出规定
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM';
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;2.2启用HTTP严格传输安全(HSTS)
确保浏览器只通过HTTPS与服务器通信,防止中间人攻击。但是,如果网站上有任何非HTTPS资源,可能会导致内容加载问题。同样也用搭配ssl证书使用。
#server模块中配置使用的HSTS(需要重启)
vim /etc/nginx/conf.d/default.conf
listen 443 ssl;
server_name localhost;
?
ssl_certificate ./conf.d/cert.pem;
ssl_certificate_key ./conf.d/key.pem;
?
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM';
ssl_prefer_server_ciphers on;
#在未来一年内强制浏览器使用https,也可301重定向到https
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
?
location / {
root /usr/share/nginx/html;
index index.html index.htm;2.3限制请求速率
这项配置可以限制每个IP地址的请求速率,防止DDoS攻击,但可能会影响高流量的合法用户,如果网站资源比较多的情况下可以调高允许的请求数。
#http模块中配置,限制客户端的请求数(需要重启服务)
vim /etc/nginx/nginx.conf
http {
server_tokens off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
#这两条配置
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
limit_req zone=mylimit burst=20;配置讲解:
- limit_req_zone定义了一个限速区(Rate Limiting Zone),用于存储请求的计数信息。
- $binary_remote_addr是一个变量,表示客户端的IP地址(以二进制形式存储,节省空间)。这是用来识别和跟踪单个客户端请求的键值。
- zone=mylimit:10m指定限速区的名字为mylimit,并为其分配10MB的内存空间来存储请求状态信息。
- rate=10r/s设置了限速的速率,即限制客户端每秒最多只能发起10次请求。
- limit_req zone=mylimit burst=20
- limit_req指令应用上面定义的限速区规则。
- zone=mylimit 引用了之前定义的mylimit限速区。
- burst=20参数设置了突发请求的缓冲区大小。这意味着在正常限速(10r/s)之外,服务器还可以处理突发情况下的额外20个请求,这些请求不会立即被拒绝,而是被视为“突发容忍量”。换句话说,在这个例子中,服务器能够接受短时间内达到30个请求(10个在限速内,20个突发),之后的请求直到速率低于限制才会再次被处理。
- 这两项配置共同工作,一方面确保服务器在正常情况下不会因为单个客户端的高频请求而过载,另一方面也提供了一定程度的灵活性来处理请求量的短暂激增,提高了用户体验,同时有效地抵御了潜在的DDoS攻击。
2.4防止内容类型嗅探
这项配置可以防止一些基于MIME类型的攻击,避免浏览器嗅探文件的实际内容类型,减少内容类型混淆攻击,但可能会影响某些依赖内容嗅探的功能。
比如攻击者可能试图让浏览器将一个包含恶意脚本的文件(也就是大小马)当作JavaScript执行,即使服务器标记它是作为图片或其他非脚本类型发送的。
#http模块中配置,防止内容类型嗅探(需要重启服务)
vim /etc/nginx/nginx.conf
http {
server_tokens off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
#这条配置
add_header X-Content-Type-Options "nosniff";
?
access_log /var/log/nginx/access.log main;2.5关闭目录索引(默认也是off)
通过配置 autoindex off;配置可以关闭目录索引功能,这意味着当用户尝试访问一个没有index.html默认文件的目录时,nginx将不再自动生成并显示该目录下的文件列表。取而代之的,服务器可以根据你的其他配置返回一个错误页面(如403 Forbidden或重定向到其他页面)。
#server模块中配置,关闭目录索引(需要重启服务)
vim /etc/nginx/conf.d/default.conf
server {
listen 80;
server_name localhost;
?
#access_log /var/log/nginx/host.access.log main;
?
listen 443 ssl;
server_name localhost;
#这条配置禁止自动目录索引
autoindex off;
?
ssl_certificate ./conf.d/cert.pem;
ssl_certificate_key ./conf.d/key.pem;2.6 防止点击劫持
攻击者可能通过iframe等技术将目标网站的内容嵌入到自己的网页中,诱使用户在不知情的情况下点击目标网页上的按钮或链接,从而执行恶意操作。
这项配置将让浏览器只允许来自相同源(即当前页面的协议、域名和端口都相同的页面)的页面将当前页面嵌入到框架中。这意味着,如果尝试从其他域名加载此页面到iframe里,浏览器将会阻止加载,从而防止点击劫持攻击。
#http模块中配置,防止内容类型嗅探(需要重启服务)
vim /etc/nginx/nginx.conf
http {
server_tokens off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
#防止点击劫持
add_header X-Frame-Options "SAMEORIGIN";2.7. 防止跨站脚本攻击
通过设置 X-XSS-Protection: 1; mode=block,可以启用浏览器的XSS保护机制,网站管理员能够增强站点对反射型和存储型XSS攻击的防护。但在某些情况下,可能会引发兼容性问题。比如随着浏览器安全策略的发展,有些浏览器已经废弃或计划废弃对该头的支持,转而依赖更先进的内容安全策略(CSP)等机制来防范XSS。
#http模块中配置,防止XSS攻击(需要重启服务)
vim /etc/nginx/nginx.conf
http {
server_tokens off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
#防止XSS攻击
add_header X-XSS-Protection "1; mode=block";3日志相关
3.1 配置日志记录
详细的日志记录有助于监控和排查问题,但会增加磁盘I/O和存储需求。
access_log配置可以详细记录网站的访问记录,每当有客户端请求到达Nginx服务器时,无论是成功的请求还是失败的请求,nginx都会记录相关信息到这个日志文件中。这些信息包括但不限于请求时间、客户端IP、请求方法(GET、POST等)、请求的URL、HTTP响应状态码等。
error_log配置可以记录nginx的错误日志文件。错误日志用于记录服务器运行时发生的错误、警告和其他重要事件。设置为warn意味着日志将记录从警告级别(warn)及以上级别的消息,包括错误(error)、关键(crit)、警报(alert)和紧急(emerg)级别。debug、info和notice级别的日志不会被记录。
日志对于分析网站流量、监控服务器运行状况以及故障排查非常有用。
#全局模块中配置error_log,设置nginx保存错误日志的目录和级别(需要重启服务)
vim /etc/nginx/nginx.confnginx
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
?
#http模块中配置access_log,设置访问网站日志的保存目录
vim /etc/nginx/nginx.confnginx
http {
server_tokens off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
?
access_log /var/log/nginx/access.log;3.2 日志保存时间设置
设置日志保存时间为6个月,以满足日志审计的要求。在Linux中最常用的工具是logrotate,logrotate的默认配置文件在/etc/logrotate.d/下。如果是编译安装的话则不存在/etc/logrotate.d/nginx文件,直接手动新增即可。
如果每天轮转一次觉得太频繁可以使用 weekly rotate 26每周轮转一次,记录26次也是180天
#备份默认的logrotate
mv /etc/logrotate.d/nginx /etc/logrotate.d/nginx.bak
#修改nginx的备份配置,按天轮转180天
vim /etc/logrotate.d/nginx
/var/log/nginx/access.log {
daily
missingok
rotate 180
compress
delaycompress
notifempty
create 640 nginx adm
sharedscripts
postrotate
if [ -f /var/run/nginx.pid ]; then
kill -USR1 `cat /var/run/nginx.pid`
fi
endscript
}
?
/var/log/nginx/error.log {
daily
missingok
rotate 180
compress
delaycompress
notifempty
create 640 nginx adm
sharedscripts
postrotate
if [ -f /var/run/nginx.pid ]; then
kill -USR1 `cat /var/run/nginx.pid`
fi
endscript
}- daily表示每天检查一次日志文件。
- missingok表示如果日志文件丢失,忽略错误继续执行。
- rotate 180表示日志文件保留180份,由于是按天轮转,所以大约是6个月。
- compress表示旧的日志文件使用gzip压缩,节省空间。
- delaycompress表示在下一次日志轮转时再压缩刚轮转的日志,防止当前日志还在写入时被压缩。
- notifempty 表示如果日志文件为空,则不进行轮转。
- create 640 nginx adm表示新建日志文件时设置的权限和属主属组。
- sharedscripts表示共享脚本,仅在所有日志都处理完后执行一次。
- postrotate和 endscript之间的命令会在日志轮转后执行,这里使用的是向Nginx发送USR1信号,让Nginx重新打开日志文件,避免日志写入被中断。
需要注意nginx.pid的文件路径
#测试配置是否正确。-v代表即详细模式,-f强制立即执行轮转。
sudo logrotate -vf /etc/logrotate.d/nginx
#可以发现成功轮转和压缩,先轮转再压缩
root@K8S:/etc/logrotate.d# ls /var/log/nginx/
access.log access.log.1 access.log.2.gz access.log.3.gz error.log error.log.1 error.log.2.gz
这样设置后,Nginx的日志将会按照配置自动进行轮转和压缩,且保留最近6个月的日志。
要注意具体的日志文件路径(如/var/log/nginx/xx.log)和Nginx的PID文件路径(如/var/run/nginx.pid)需要根据实际安装情况调整。