Предисловие

Если вам нужно настроить сервер Nginx для размещения веб-сайта или приложения, вот несколько основных шагов и примеры конфигураций, которые помогут вам начать работу. Обратите внимание, что конфигурация Nginx может быть очень гибкой и может быть настроена в соответствии с вашими конкретными потребностями. В следующих примерах предполагается, что на вашем сервере установлен Nginx.

1. Откройте терминал и войдите на свой сервер.

2、Используйте текстовый редактор（напримерnanoилиvim）ОткрытьNginxКонфигурациядокумент。

Файл конфигурации обычно находится по адресу /etc/nginx/nginx.conf или /etc/nginx/sites-available/default, хотя точное местоположение может различаться в зависимости от вашей операционной системы. Вот пример использования редактора vim:

sudo vim /etc/nginx/nginx.conf

Настройте порт прослушивания Nginx и блокировку сервера.

существоватьnginx.confсередина,Вы можете найти файл с именемhttpблокировать,Чтосередина ВключатьNginxобщая ситуация Конфигурация。Вы можете изменить значение по умолчаниюпорт прослушивания (по умолчанию 80) и добавить блок сервера.

# HTTP-модуль Этап настройки
http {

  	# Конфигурация защиты от DDoS
    limit_req_zone $binary_remote_addr zone=ddos:10m rate=10r/s;

    # Конфигурация журнала
    access_log /var/log/nginx/access.log;
    
    # Настраиваем блокировку сервера
    server {
        listen 80; # порт прослушивания
        
        server_name example.com; # доменное имя
        
        location / {
            root /var/www/html; # Корневой каталог сайта
            index index.html; # файл по умолчанию
        }
        
        location /static/ {
            alias /var/www/static/; # Статический каталог файлов
        }
        
        location /images/ {
            alias /var/www/images/; # Каталог файлов изображений
        }

      	# Пользовательская страница ошибок
				error_page 404 /404.html;
				location = /404.html {
    		root /var/www/html;
    		internal;
				}
        
        # Конфигурация обратного прокси
        location /api/ {
            proxy_pass http://backend-server; # Адрес внутреннего сервера
        }

        # Настройте SSL/TLS
    		listen 443 ssl;
    		server_name example.com;
    		ssl_certificate /path/to/your/certificate.crt;
    		ssl_certificate_key /path/to/your/private-key.key;

  			# Настройте версию протокола SSL и набор шифров
    		ssl_protocols TLSv1.2 TLSv1.3;
    		ssl_prefer_server_ciphers off;
    		ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';

  			# Настраиваем кэш сеанса SSL
    		ssl_session_cache shared:SSL:10m;
    		ssl_session_timeout 10m;

				# Включите заголовок HSTS, чтобы браузер всегда использовал HTTPS.
    		add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

      	# Предотвращение кликджекинга
				add_header X-Frame-Options SAMEORIGIN;

      	# Конфигурация заголовка безопасности
				add_header X-Content-Type-Options "nosniff";
				add_header X-XSS-Protection "1; mode=block";
				add_header X-Frame-Options "SAMEORIGIN";

    }
}

# Конфигурация защиты от DDoS

limit_req_zone: Это директива Nginx, используемая для определения области ограничения запросов. Эта область используется для записи информации о частоте запросов для каждого клиента.

$binary_remote_addr: Это переменная Nginx, которая представляет IP-адрес клиента. Каждый отдельный IP-адрес рассматривается как отдельный клиент.

zone=ddos:10m: В этом разделе определяется имя области ограничения запросов как «ddos» и выделяется 10 мегабайт памяти (10 м) для хранения связанных данных.

rate=10r/s: В этом разделе указаны ограничения скорости запросов. Это означает, что каждому IP-адресу разрешено отправлять до 10 запросов в секунду (10 об/с).

# Конфигурация журнала

access_log да Nginx Директивы конфигурации, используемые для определения настроек журналов доступа.

/var/log/nginx/access.log да Путь к файлу журнала, который сообщает Nginx Запишите журнал доступа в файл с именем access.log в файле. Обычно Нгинкс Файлы журналов будут помещены в /var/log/nginx/ каталог.

# Настраиваем блокировку сервера

порт прослушивания

порт прослушиванияда относится к компьютерной сети,Компьютер или сетевое устройство ожидает и получает входящие сетевые подключения или потоки данных, указав определенный номер сетевого порта. Каждая сетевая служба или приложение может прослушивать один или несколько портов.,Эти порты используются для идентификации различных сетевых служб или каналов связи.

Корневой каталог сайта

Корневой каталог сайт (также известный как корневая папка сайта, корневой каталог сайта или Корневой каталог сайтаструктура）даодинWebглавный на сервередокументпапка,Он содержит файлы и ресурсы, составляющие весь веб-сайт. Этот каталог обычно используется веб-серверами в качестве отправной точки для содержимого веб-сайта.,Также базовый путь по умолчанию при доступе к веб-сайту.

файл по умолчанию

когда вы посещаете веб-сайт,Обычно вы увидите домашнюю страницу или страницу по умолчанию веб-сайта. Эта страница по умолчанию называется индексным файлом.,Это первая страница веб-сайта, которая отображается посетителям.

Статический каталог файлов

Статический каталог файловда Папка или каталог, содержащий статические файлы (файлы, не требующие обработки на стороне сервера) веб-сайта. Эти статические файлы могут включать HTML.、CSS、JavaScript、изображение、шрифтдокументждать,Их не нужно динамически генерировать или обрабатывать на стороне сервера.,И да предоставляется непосредственно клиентскому браузеру.

Каталог файлов изображений

Каталог файлов изображенияда Папка или каталог, используемый для хранения файлов изображений с веб-сайта или приложения. Эти файлы изображений могут включать в себя различные типы изображений, такие как JPEG, PNG, GIF, SVG и т. д. Каталог файлов изображенийв целом Используется для организации и управления веб-сайтами.серединаизизображениересурс,Включите его для отображения на веб-странице или предоставления доступа пользователям по ссылке.

# Пользовательская страница ошибок

Эта конфигурация сообщает Nginx о возникновении ошибки 404.,Перенаправить пользователей на/404.htmlстраница。locationвнутри блокаrootДиректива определяет404страница Местосуществоватьиз目录,здесьда/var/www/html。internalдиректива используется для ограниченияlocationтолькосуществоватьNginxВнутренняя обработка,Путь к этой странице не будет виден извне.

# Конфигурация обратного прокси

location /api/ { ... }: этотдаодинlocationкусок,Указано для обработки с помощью/api/началоURLзапрос пути。только удовлетворениеэтотиндивидуальный条件из请求会进入этотиндивидуальныйlocationкусоксередина Процесс。

proxy_pass http://backend-server;: Это самая важная часть блока да Конфигурация. Он указывает адрес внутреннего сервера, на который Nginx должен пересылать запросы.

Например,Если адрес вашего внутреннего серверадаhttp://localhost:8000,Такздесьдолжно быть написано как proxy_pass http://localhost:8000;。

# Настройте SSL/TLS

1. Получите сертификат SSL/TLS.

Сначала вам необходимо получить сертификат SSL/TLS. Вы можете приобрести сертификат в авторитетном центре сертификации (например, Let's Encrypt, Comodo, DigiCert и т. д.) или использовать самозаверяющий сертификат. Самозаверяющие сертификаты подходят для сред тестирования и разработки, но в производственных средах рекомендуется использовать сертификат, выданный доверенным центром сертификации, чтобы обеспечить совместимость браузера и клиента.

2. Установите сертификат

После получения сертификата вам необходимо установить его на сервер. Обычно файл сертификата включает в себя файл открытого ключа (обычно с расширением .crt или .pem) и файл закрытого ключа (обычно с расширением .key). Сохраните эти файлы в безопасном месте на сервере.

3. Настройте SSL/TLS

В файле конфигурации,Найдите раздел, связанный с SSL/TLS.,В Нгинксе,в целомдасуществоватьserverкусок Внутри КонфигурацияSSL。

server { ... }: Это блок сервера Nginx, используемый для определения конфигурации сервера.

listen 443 ssl;: В этой строке указывается порт да443, который прослушивает сервер, и включает SSL-шифрование. Все входящие HTTPS-запросы будут обрабатываться через этот порт.

server_name example.com;: Здесь определяется доменное имя сервера.

ssl_certificate /path/to/your/certificate.crt; В этой строке указывается путь к SSL-сертификату, используемому для шифрования передаваемых данных.

ssl_certificate_key /path/to/your/private-key.key;: В этой строке указывается путь к файлу закрытого ключа SSL, используемому для расшифровки входящих зашифрованных данных.

# Настройте версию протокола SSL и набор шифров

Настройте версию протокола SSL и набор шифров. Обычно нет необходимости менять ее на свою, поскольку эта часть Конфигурации оптимизирована для безопасности и производительности сервера.

ssl_protocols Указаны поддерживаемые версии TLS,Обычно TLSv1.2 и TLS1.3 обеспечивают безопасный выбор.,Никаких изменений не требуется,Если только у вас нет особых потребностей.

ssl_prefer_server_ciphers установлен на off Чтобы гарантировать, что Nginx не применяет порядок наборов шифров на стороне сервера, его обычно не нужно менять.

ssl_ciphers Поддерживаемые наборы шифров определяются с использованием ECDHE (эллиптическая кривая Диффи-Хеллмана). Эфемерный) режимы обмена ключами и AES-GCM, обычно менять не нужно.

# Настраиваем кэш сеанса SSL

Эти две строки Конфигурации используются для настроек кэширования SSL-сессий, и они очень важны для улучшения производительности SSL/TLS сервера. Позвольте мне объяснить, что они означают:

ssl_session_cache shared:SSL:10m;：этот ХОРОШОКонфигурацияназначенныйSSLТип кэша сеанса、название и размер.

10m：этотчастьназначенныйсессиякэшиз大小。существовать Примерсередина,Размер кэшаустановлен на10 мегабайт (МБ). Это означает, что сервер может хранить около 10 мегабайт данных сеанса SSL.

ssl_session_timeout 10m;：этот ХОРОШОКонфигурацияназначенныйSSLсессиясуществоватькэшсерединаиз超时时间。

10m：этотчастьназначенныйсессияиз超时时间,Соответствует размеру кэша, указанному выше. В примере,Сеанс истечет через 10 минут и будет удален из кеша.

# Включите заголовок HSTS, чтобы браузер всегда использовал HTTPS.

max-age=31536000：назначенныйHSTSпродолжительность стратегии,В секундах. здесь,max-age одеялоустановлен на31536000Второй,Он равен одному году. Это означает, что как только браузер получит этот заголовок HSTS,Он запомнит ваш сайт на год,И принудительный доступ с использованием HTTPS-соединения.

# Предотвращение кликджекинга

Целью данной Конфигурации является повышение безопасности веб-сайта. кликджекингаатака,когда злоумышленник встраивает вашу веб-страницу в свой вредоносный веб-сайт,обманывать пользователей。установивX-Frame-OptionsдляSAMEORIGIN,Вы указываете браузеру, чтобы ваши страницы были вложены только в один и тот же источник.,тем самым повышая безопасность вашего сайта

# Конфигурация заголовка безопасности

1、X-Content-Type-Options "nosniff"：

X-Content-Type-Options Заголовок используется для управления тем, должен ли браузер выполнять анализ типов MIME.

"nosniff" Директива сообщает браузеру не выполнять анализ. Даже если ответ, возвращаемый сервером, содержит противоречивую информацию о типе MIME, браузер не будет пытаться угадать тип содержимого ответа.

Это помогает предотвратить атаки, связанные с путаницей типов MIME, когда злоумышленник может внедрить в ответ вредоносный контент и полагаться на то, что браузер неправильно интерпретирует тип MIME ответа.

2、X-XSS-Protection "1; mode=block"：

X-XSS-Protection Заголовок используется для включения встроенного в браузер фильтра межсайтового скриптинга (XSS).

"1; mode=block" Директива включает фильтр XSS и удаляет страницу при обнаружении потенциальной атаки XSS. на предотвращает загрузку.

Это помогает предотвратить XSS-атаки, когда злоумышленники пытаются внедрить вредоносные сценарии в веб-страницы для выполнения вредоносных действий, таких как кража пользовательской информации или перехват пользовательских сеансов.

3、X-Frame-Options "SAMEORIGIN"：

X-Frame-Options Заголовок используется для контроля возможности встраивания веб-страниц в <iframe> середина.

"SAMEORIGIN" Директива указывает, что только веб-страницы могут быть вложены под тем же доменным именем, что и исходная веб-страница. <iframe> середина.

Это помогает предотвратить атаки кликджекинга, при которых злоумышленник может попытаться внедрить ваш сайт во вредоносный сайт, чтобы обманом заставить пользователей принять меры или украсть информацию.