Nginx-安全

```bash
# Nginx配置文件示例
http {
  # ################## 安全相关的HTTP响应头 ##################
  # 可以有效防御常见的Web攻击
  server_tokens off;  # 关闭在响应头中显示Nginx版本号，提高安全性
  add_header X-Frame-Options "SAMEORIGIN";  # 防止网站被嵌入恶意网页中，避免点击劫持
  add_header X-XSS-Protection "1; mode=block";  # 启用浏览器XSS防护功能，并在检测到攻击时，停止渲染页面
  add_header X-Content-Type-Options "nosniff";  # 禁止浏览器猜测（嗅探）资源的MIME类型，防止资源类型混淆攻击
  add_header Referrer-Policy "strict-origin-origin-when-cross-origin";  # 控制引用地址信息的传递，增强隐私保护
  add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'";  # 内容安全策略，控制资源加载来源，防止XSS等攻击
    # default-src 'self': 只允许加载同源资源
    # http: https:: 允许通过HTTP和HTTPS加载资源
    # data:: 允许data:URI的资源（如base64编码的图片）
    # blob:: 允许blob:URI的资源（如视频流）
    # 'unsafe-inline': 允许内联脚本和样式（根据需要配置）

# ################## 限制连接数 ##################
  # 限制单个IP的连接数和请求频率防止DOS攻击
  limit_conn_zone $binary_remote_addr zone=addr:10m;  # 定义一个共享内存区域，用于存储IP连接数信息
    # $binary_remote_addr: 使用二进制格式存储客户端IP，节省空间
    # zone=addr:10m: 指定共享内存区域名称为addr，大小为10MB
  limit_conn addr 100;  # 限制每个IP同时最多100个连接
  limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s;  # 定义请求频率限制，每个IP10r/s(每秒最多10个请求)
  limit_req zone=req_zone burst=20 nodelay;  # 应用请求频率限制，burst=20(最多允许20个请求排队)

# ################## 配置超时时间 ##################
  # 设置合理的超时参数，防止慢速攻击
  client_body_timeout 10;  # 客户端请求体超时时间，单位秒
  client_header_timeout 10;  # 客户端请求头超时时间
  keepalive_timeout 5 5;  # 客户端保持连接超时时间
    # 第一个参数是客户端超时时间
    # 第二个参数是在响应头中的Keep-Alive超时时间
  send_timeout 10;  # 向客户端发送响应的超时时间
  proxy_read_timeout 10;  # 读取代理服务器响应的超时时间
  proxy_connect_timeout 10;  # 连接代理服务器的超时时间

# ################## 文件上传配置 ##################
  client_max_body_size 10m;  # 限制请求体大小，即上传文件的最大大小为10MB
  client_body_buffer_size 128k;  # # 设置请求体缓冲区大小为128KB,超过此大小的请求体会被写入临时文件
  client_body_temp_path /var/nginx/client_body_temp;  # 配置临时文件存储路径

# ################## SSL/TLS安全配置 ##################
  server {
    listen 443 ssl;  # 监听443端口，启用SSL/TLS
    ssl_certificate /path/to/cert.pem;  # 指定SSL证书路径
    ssl_certificate_key /path/to/key.pem;  # 指定SSL证书私钥路径
    # 将所有HTTP请求重定向到HTTPS
    if ($scheme != "https") {
      return 301 https://$server_name$request_uri;  # 重定向到HTTPS
    }
    add_header Strict-Transport-Security "max-age=31536000" always;  # 启用HSTS，强制浏览器在指定时间内使用HTTPS访问

# ################## 优化SSL/TLS配置 ##################
    ssl_protocols TLSv1.2 TLSv1.3;  # 只允许TLS 1.2和1.3版本，禁用不安全的SSL和早期TLS版本
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;  # 配置加密套件
      # ECDHE: 使用椭圆曲线密钥交换
      # AES-GCM: 使用AES-GCM加密模式
    ssl_prefer_server_ciphers on;  # 优先使用服务器的加密套件
    ssl_session_cache shared:SSL:10m;  # 配置SSL会话缓存，提高性能
      # shared:SSL:10m: 所有工作进程共享的缓存，大小为10MB
    ssl_session_timeout 10m;  # SSL会话超时时间
    ssl_stapling on;  # 启用OCSP Stapling
    ssl_stapling_verify on;  # 启用OCSP Stapling验证
    resolver 8.8.8.8 8.8.4.4 valid=300s;  # 配置DNS解析器，用于OCSP Stapling验证
    resolver_timeout 5s;  # 配置DNS解析器超时时间

# ################## 日志安全 ##################
    # 定义详细的日志格式
    log_format detailed '$remote_addr - $remote_user [$time_local] '  # 记录客户端IP和访问时间
                        '"$request" $status $body_bytes_sent '  # 记录请求信息、状态码和发送字节数
                        '"$http_referer" "$http_user_agent" '  # 记录来源页面和用户代理
                        '$request_time $upstream_response_time';  # 记录请求处理时间和上游响应时间
    access_log /var/log/nginx/access.log detailed buffer=32k flush=5s;  # 配置访问日志
      # buffer=32k: 使用32KB缓冲区
      # flush=5s: 每5秒刷新一次日志
    error_log /var/log/nginx/error.log warn;  # 设置错误日志级别为warn,开发环境使用debug级别获取更多信息
      # 可选级别: debug, info, notice, warn, error, crit, alert, emerg
    location /static/ {  # 静态资源
      access_log off;  # 关闭访问日志以提高性能
    }

# ################## 基于IP地址的访问控制 ##################
    location / {
      alias /data/nginx/html;  # 指定网站根目录
      index index.html;  # 默认首页
        # 基于IP地址的访问控制,按小范围在前, 大范围在后排序(deny 拒绝,allow 允许)
        deny  192.168.80.18;  # 拒绝单个 IP 地址 192.168.80.7 的访问请求
        allow 192.168.80.0/24;  # 允许 192.168.80.x 网段访问
        allow 2001:0db8::/32;  # 允许 IPv6 地址 2001:0db8::/32 访问
        deny all;  # 拒绝其他所有访问请求
    }

# ################## 账户认证 ##################
    location / {
      alias /data/nginx/html;  # 指定网站根目录
      index index.html;  # 默认首页
      auth_basic "输入登录密码";  # 设置认证提示信息
      auth_basic_user_file /etc/nginx/.htpasswd;  # 指定认证文件路径
        # 使用 htpasswd -c /etc/nginx/.htpasswd <用户名>  # 创建认证文件(-c 创建新文件,首次必须,之后可以不加,加了会覆盖)
        # 使用 htpasswd -b /etc/nginx/.htpasswd <用户名> <密码>  # 创建认证文件(-b 非交互式方式提交密码,无-c 则追加到文件末尾)
        # 其它常用参数: -D 删除指定用户, -m 使用MD5加密密码, -d 使用CRYPT加密密码, -p 使用PLAINTEXT明文密码
    }
    # curl http://<用户名>:<密码>@www.xxx.com/  # curl带用户名和密码访问

# ################## 配置上传目录权限 ##################
    location /uploads/ {
      root /var/www/uploads;  # 指定上传根目录
      client_body_temp_path /var/www/tmp;  # 指定临时文件目录
      dav_methods PUT DELETE MKCOL COPY MOVE;  # 允许的WebDAV方法
      create_full_put_path on;  # 自动创建上传目录
      dav_access user:rw group:rw all:r;  # 设置目录访问权限
        # user:rw - 文件所有者可读写
        # group:rw - 组用户可读写
        # all:r - 其他用户只读
      # 限制上传文件类型
      if ($request_filename ~* ^.*?\.(php|php5|sh|pl|py)$) {
        return 403;
      }
    }

# ################## 防止SQL注入 ##################
    location / {
      if ($request_uri ~* [;'<>] ) {  # 检查URL中是否包含特殊字符,如果包含分号、单引号、尖括号等字符
        return 444;  # 444是Nginx特殊状态码，表示关闭连接而不发送响应头
      }
      if ($args ~* [;'<>] ) {  # 检查查询字符串中的特殊字符
        return 444;
      }
      location ~* /(admin|backup|config|db|src)/ {  # 保护敏感URI
        deny all;  # 拒绝所有请求
      }
    }

# ################## 配置白名单 ##################
    location /admin/ {  # 配置管理员目录
      # 允许内网IP段访问
      allow 192.168.1.0/24;  # 允许内网IP段访问
        # 192.168.1.0/24: 允许192.168.1.x网段的所有IP
      allow 10.0.0.0/8;  # 允许另一个内网IP段访问,支持多条
      deny all;  # 拒绝其他所有IP访问
      auth_basic "Restricted Access";  # 设置认证提示信息
      auth_basic_user_file /etc/nginx/.htpasswd;  # 指定认证文件路径
    }

# ################## 防止目录遍历 ##################
    location ~ /\. {  # 禁止访问所有以点开头的隐藏文件和目录
      deny all;  # 拒绝所有请求
      access_log off;  # 禁止记录访问日志
      log_not_found off;  # 禁止记录404错误日志
    }
    location ~* ^/(uploads|images)/.*\.(php|php5|sh|pl|py|asp|aspx|jsp)$ {  # 禁止访问特定目录
      deny all;  # 拒绝所有请求
    }
    location / {
        autoindex off;  # 禁止自动列出目录
    }
    # ################## 静态资源禁止执行脚本 ##################
    location /static/ {  # 静态资源目录下禁止执行脚本
      location ~ \.(php|php5)$ {  # 禁止执行PHP文件
        deny all;  # 拒绝所有请求
      }
      location ~* \.(css|js|jpg|jpeg|png|gif|ico|svg|woff|woff2|ttf|eot)$ {  # 只允许特定文件类型
        expires 30d;  # 设置缓存时间
        add_header Cache-Control "public, no-transform";  # 设置缓存控制头
      }
    }

# ################## 错误页面 ##################
    error_page 404             /404.html;  # 自定义404错误页面
    error_page 500 502 503 504 /50x.html;  # 自定义50x错误页面
    error_page 403      http://example.com/forbidden.html;  # 自定义403错误页面重定向至指定页面
    error_page 404 =301 http://example.com/notfound.html;  # 自定义404错误页面重定向至指定页面并返回301状态码

# ################## 错误日志 ##################
    error_log /dev/null;  # 禁止记录错误日志(一般禁用所有的,在对应的location中再开启,方便排查问题)
    access_log /apps/nginx/logs/xxx.com.log;  # 自定义访问日志文件(存储为指定名称文件)
    error_log /apps/nginx/logs/xxx.com_error.log warn;  # 自定义错误日志文件(存储为指定名称文件)
      # level: debug, info, notice, warn, error, crit, alert, emerg
  }
}

# ################## 限流限速 ##################
http{
  limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;  # <限制http请求> 限制同一IP请求数
  limit_req_zone $server_name zone=perserver:10m rate=10r/s;  # <限制http请求> 限制同一域名请求数
  limit_conn_zone $binary_remote_addr zone=addr:10m;  # <限制并发连接数> 限制同一IP并发连接数
    # $binary_remote_addr: 二进制格式存储的客户端地址
    # zone=one:10m: 定义一块名为one,10m大小的存储空间,用于存储访问信息(80000个IP地址=10M)
    # rate=10r/s: 限制频率(请求/秒),超过此速率的请求放入burst队列做延迟处理
    # burst=20: 当此队列满后,会中断请求报错
    # nodelay: 立即返回状态码

server {
    limit_rate_after 100m;  # <限制下载速度>下载达到后开始限速
    limit_rate 100k;  # <限制下载速度>限速100k

location / {
      limit_req zone=one burst=20 nodelay;  # <限制http请求>当此队列满后,会中断请求报错(超过会被拒绝)
        # burst=20: 当此队列满后,会中断请求报错
        # nodelay: 立即返回状态码
      limit_req_status 500;  # <限制http请求>默认 503,也可以指定其它状态码
      limit_conn addr 1;  # <限制并发连接数>限制并发连接数
        # addr: zone中定义的名称
        # 1: 限制并发连接数
    }
  }
}
```
**相关教程：**
[（六）企业级高性能 WEB 服务 - Nginx 常见模块](https://mp.weixin.qq.com/s/L368HU1HAWDNqexErYCegg)
[这样配置，让Nginx更安全](https://mp.weixin.qq.com/s/OvKZE9wbGzlSL3pu0_2LXg)