项目使用Vue 开发前端应用,为了部署前端代码,需要安装Nginx 服务器。最近在安装Nginx,把过程记录下来,也供其他开发人员、运维人员参考。
一、安装Nginx1.1目的项目使用Vue 开发前端应用,为了部署前端代码,需要安装Nginx 服务器。为了让前端应用更加安全,特提供本文档作为基本教程,在安装完操作系统之后, 需要遵照本文档进行Nginx 的安装,以及进一步的配置。
1.2安装NginxNginx 的安装有两种, YUM 安装或者自己编译安装,如果是快速安装,可以选择YUM包的方式, 下面以CentOS 为例。在CentOS7 上, 添加EPEL yum 源:
sudo yum install epel-release安装Nginx :
sudo yum install nginx1.3配置Nginx服务自动启动在CentOS7 上, 配置Nginx服务随系统启动:
sudo systemctl enable nginx确认Nginx 自启动:
sudo systemctl is-enabled nginx
二、 Nginx 基本操作
Nginx 基本操作,包括正常的启动/停止, 以及平滑停止等,以及验证配置文件是否正确,这些既可以通过Nginx 自身的命令, 也可以通过Linux 信号机制来执行,具体见下图:
这里其实就是一个小小的面试题目,比如,让Nginx 平滑停止,有哪几种方式?其实基本就两种:kill -QUIT和 nginx -s quit
其中, 最值得记住的,就是标准的Nginx 操作命令的基本语法:
/usr/sbin/nginx -s <signal>signal 里面有stop、quit、reload等基本操作。
在执行重新加载配置文件之前,最好先验证一下,非常有用。命令是:
/usr/sbin/nginx -t -c /usr/nginx/nginx.conf三、Nginx 配置以及安全加固3.4配置Nginx1.4.1默认服务器根目录默认的服务器根目录是/usr/share/nginx/html。放置在其中的文件将在web服务器上显示
/usr/share/nginx/html此位置在Nginx附带的默认服务器块配置文件中指定,该文件位于/etc/nginx/nginx.conf
3.4.2服务器块配置通过在/etc/nginx/conf.d.文件中创建以结尾的新配置文件,可以添加任何额外的服务器块(在Apache中称为虚拟主机)。启动Nginx时,将加载该目录中的conf。
3.4.3 Nginx全局配置Nginx主配置文件位于/etc/nginx/nginx.conf。在这里,您可以更改设置,比如运行Nginx守护进程的用户,以及在Nginx运行时生成的工作进程的数量,等等。
配置信息:
worker_processes 2;error_log /data/nginx/logs/error.log info;pid /etc/nginx/logs/nginx.pid;worker_rlimit_nofile 65535;参数
参数说明
worker_processes 2;
worker 数量: 根据操作系统cpu数量设置
error_log /data/nginx/logs/error.log info;
操作日志,对nginx的操作会显示于此文件中,应该配置一个大容量的路径,并经常压缩
pid /etc/nginx/logs/nginx.pid;
pid文件路径, 建议放在nginx 相关目录。注意此pid 文件需要和Nginx Service 文件一致。
查看Service 文件,最简单的办法就是使用:sudo systemctl status nginx结果的第一行即是Service 文件位置worker_rlimit_nofile 65535;
检查打开文件最大限制数
ulimit -Hnulimit -Sn修改/etc/security/limits.conf文件,在文件中添加如下行:
* soft noproc 65535* hard noproc 65535* soft nofile 65535* hard nofile 655353.4.4 Nginx events配置参考配置信息:
events { use epoll; worker_connections 8192; }参数
参数说明
use epoll;
使用epoll的I/O 模型
worker_connections 8192;
单个worker process进程的最大连接数数, 并发总数是worker_processes和worker_connections的乘积
3.4.5 Nginx 日志设置配置日志文件位置,默认的日志目录设置在nginx/logs目录,在云服务器中,记得要把这个目录挂在额外的数据盘中,防止文件太多压垮系统盘。
在这里,采用logrotate组件,来做日志的轮转,就是按天来对文件进行切割和压缩。
日志轮转:
vi /etc/logrotate.d/nginx该文件的内容为:
/usr/local/nginx/logs/*.log { # 日志文件轮转周期,可用值为: daily/weekly/yearly daily # 新日志文件的权限 create 0664 work work # 轮转次数,即最多存储7个归档日志,会删除最久的归档日志,生产环境需设置为90天 rotate 14 # 以当前日期作为命名格式 dateext # 轮循结束后,已归档日志使用gzip进行压缩 compress # 与compress共用,最近的一次归档不要压缩 delaycompress # 忽略错误信息 missingok # 日志文件为空,轮循不会继续执行 notifempty # 当日志文件大于指定大小时,才继续执行,单位为bytes(默认)/k/M/G size = 100M # 将日志文件转储后执行的命令,以endscript结尾,命令需要单独成行 postrotate # 重启nginx日志服务,写入到新的文件中去,否则会依然写入重命名后的文件中 /bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid 2> /dev/null` 2> /dev/null || true # 默认logrotate会以root身份运行,如果想要以其他身份执行一个命令,可以这样使用: #su - work -c '/home/work/odp/webserver/loadnginx.sh restart' endscript}演练,检查logrotate文件配置是否正确
logrotate -d -f /etc/logrotate.d/nginx输入如下,即说明配置正确:
手工执行:
logrotate -f /etc/logrotate.d/nginx3.4.6 Nginx 安全设置为确保Nginx 服务器安全,需要采用以下配置:
(1)、禁用server 标记server_tokens 启用的话,会暴露Nginx 版本信息,检查是否启用:
curl -I http://<NGINX_URL>下面是未启用的示例:
启用:
结果验证:
(2)、自定义缓存设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下:
http{ ... ... server{ ... ... client_body_buffer_size 1K; client_header_buffer_size 1k; client_max_body_size 20m; large_client_header_buffers 2 1k; ... ... } ... ...}(3)、设置timeout设置timeout设低来防御DOS攻击,nginx.conf配置如下:
http { ... ... client_body_timeout 10; client_header_timeout 30; keepalive_timeout 30 30; send_timeout 10;验证:
(4)、限制访问的方法在目前的应用系统中值使用到POST、 GET和PUT方法,所以除了它们之外,其他方式的请求均可拒绝。Nginx.conf配置如下:
server{ ... ... if($request_method !~ ^(GET|HEAD|PUT|POST)$) { return 404; } ... ...(5)、配置SSL证书加密套件Nginx的默认配置允许您使用不安全的TLS协议旧版本(根据官方文档:ssl_协议TLSv1 TLSv1.1 TLSv1.2)。这可能会导致野兽攻击等攻击。因此,我们建议您不要使用旧的TLS协议,并将配置更改为仅支持更新的安全TLS版本。
server{ ... ... ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; ... ...(5)、配置HTTP header为了进一步增强nginx web服务器,可以添加几个不同的HTTP头。以下是推荐的一些选项。
X-Frame-Options可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在<Frame>或<iframe>中呈现页面。这可以防止点击劫持攻击。因此,建议为nginx服务器启用此选项。
为此,请在服务器部分的nginx配置文件中添加以下参数:
add_header X-Frame-Options "SAMEORIGIN";CSP和X-XSS-Protection内容安全策略(CSP)保护web服务器免受特定类型的攻击,包括跨站点脚本攻击(XSS)和数据注入攻击。
可以通过添加以下示例内容安全策略头来实现CSP(请注意,应将实际头配置为符合实际需求):
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;IE和Safari支持HTTP X-XSS-Protection头,如果您有强大的内容安全策略,则现代浏览器不需要HTTP X-XSS-Protection头。但是,为了在旧浏览器(还不支持CSP)的情况下防止XSS,可以将X-XSS保护头添加到服务器部分:
add_header X-XSS-Protection "1; mode=block";四、后续
在Nginx 上启用Mod Security模块,进一步增强Nginx 的安全设置。
