Linux系统如何加固Nginx_Linux加固Nginx服务器的详细步骤-linux运维-PHP中文网

Linux系统如何加固Nginx_Linux加固Nginx服务器的详细步骤

絕刀狂花

发布： 2025-10-09 10:35:01

原创

941人浏览过

隐藏Nginx版本号并关闭server_tokens，限制目录浏览与敏感文件访问，配置HTTPS及强加密策略，设置安全响应头防范XSS和点击劫持，通过限流规则防御DDoS攻击，结合防火墙与日志审计实现持续防护。

linux系统如何加固nginx_linux加固nginx服务器的详细步骤

加固Nginx服务器是提升Linux系统安全性的关键环节。攻击者常通过Web服务漏洞入侵系统，因此对Nginx进行合理配置和权限控制非常必要。以下为实用且可操作的加固步骤，适用于大多数生产环境。

隐藏Nginx版本号和服务器标识

暴露Nginx版本信息会增加被针对性攻击的风险。应关闭版本显示并隐藏服务器标识。

编辑Nginx主配置文件（通常位于/etc/nginx/nginx.conf）
在http{}块中添加：server_tokens off;
重启Nginx服务使更改生效：systemctl restart nginx

完成后，响应头中的Server: nginx/1.x.x将变为Server: nginx，减少信息泄露。

限制访问权限与目录浏览

默认开启的目录列表功能可能暴露敏感文件路径，需手动关闭并设置访问控制。

检查各server块或location配置中是否包含autoindex on;，如有则改为off
对敏感目录（如配置、日志、备份）使用deny规则：

location ~* /\. {
deny all;
}location ~* ~$ {
deny all;
}

上述规则禁止访问以点开头的隐藏文件和vim临时文件，防止配置泄露。

启用HTTPS并配置强加密策略

明文HTTP传输存在中间人攻击风险，必须部署SSL/TLS加密连接。

度加剪辑

度加剪辑（原度咔剪辑），百度旗下AI创作工具

查看详情

使用Let's Encrypt等可信CA签发证书，避免自签名证书
在server块中加载证书并强制跳转HTTPS：

listen 443 ssl http2;
ssl_certificate /path/to/fullchain.pem;
ssl_certificate_key /path/to/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512;
ssl_prefer_server_ciphers on;

将HTTP请求重定向到HTTPS：

server {
listen 80;
server_name example.com;
return 301 https://$host$request_uri;
}

配置安全响应头增强防护

利用HTTP响应头可有效缓解XSS、点击劫持等常见Web攻击。

在server或location块中添加以下头部：

add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000" always;

这些设置分别用于禁止页面嵌套、阻止MIME类型嗅探、启用浏览器XSS过滤和强制HTTPS访问。