如何使用 Nginx 进行安全加固？

推荐答案

-- -------------------- ---- -------
-- ----

-- ------------  
   --- ----- ---------------------- ----------- ------------

-- ---- ----- -----  
   - ------------ ------------- ----- ----
   --------
   ------------- ----

1. 限制请求大小和缓冲区
   防止缓冲区溢出攻击，限制客户端请求大小和缓冲区：

   client_body_buffer_size 1k;
   client_header_buffer_size 1k;
   client_max_body_size 1k;
   large_client_header_buffers 2 1k;

2. 配置 SSL/TLS
   使用强加密算法和协议，禁用不安全的 SSL/TLS 版本：

   ssl_protocols TLSv1.2 TLSv1.3;
   ssl_ciphers HIGH:!aNULL:!MD5;
   ssl_prefer_server_ciphers on;

3. 启用 HTTP Strict Transport Security (HSTS)
   强制客户端使用 HTTPS 连接：

   add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

4. 限制访问频率
   使用 limit_req 模块限制客户端请求频率，防止 DDoS 攻击：

   limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
   location / {
       limit_req zone=one burst=5;
   }

5. 配置防火墙和 IP 白名单
   使用 allow 和 deny 指令限制访问来源：

   location /admin {
       allow 192.168.1.0/24;
       deny all;
   }

6. 禁用不必要的 HTTP 方法
   只允许必要的 HTTP 方法，如 GET 和 POST：

   if ($request_method !~ ^(GET|POST)$ ) {
       return 405;
   }

7. 定期更新 Nginx
   保持 Nginx 版本为最新，及时修复已知漏洞。

8. 日志监控和审计
   启用日志记录并定期审计，监控异常行为：

   access_log /var/log/nginx/access.log;
   error_log /var/log/nginx/error.log;

-- -------------------- ---- -------

-- ------

--- -- --------
----- ------------------------------------------------------- -----------------------

--- -- -- ----- ---
----------- -- ---- ------------------------------------- -------------- ----- ----------

--- -- ----------
---------------------------------------------------

--- -- -- -------
------- ------------------------- ------- - ---------------- ------- ---- ----- - -----------------

--- -- -- ---- ------ --------- -------- ------
---- ------- ----- ----- --- ------- ------------ ---- --------------------- ----- ---

--- -- ------
-- ----------- ------------------ ---- ------------------------

--- -- ------ -- ---
-- ------- - ------ --------- -- --------------------------------------

--- -- ------ ---- --
----------- ---- ---- ---- ------------------- ------------- ---- -----------

--- -- ---- -----
----- -------------------- ----- ----------------

--- --- -------
--------------------------------------------------------