Nginx配置文件安全加固（小白也能看懂的详细教程）

一、隐藏Nginx版本号

默认情况下，Nginx会在HTTP响应头中暴露其版本号，这可能帮助攻击者识别已知漏洞。我们可以通过修改配置文件来隐藏它。

# 编辑 nginx.conf 文件，在 http 块中添加或修改以下行：server_tokens off;

保存后重启Nginx服务即可生效。这样，当用户访问错误页面（如404）时，就不会看到类似 nginx/1.18.0 的信息了。

二、限制请求方法

很多攻击利用非标准HTTP方法（如PUT、DELETE）尝试上传恶意文件或删除资源。我们可以在server块中只允许必要的方法，比如GET、POST和HEAD。

if ($request_method !~ ^(GET|HEAD|POST)$ ) {    return 405;}

这段代码会拒绝所有非指定方法的请求，并返回405 Method Not Allowed状态码。

三、设置客户端请求体和头部大小限制

过大或畸形的请求体可能用于DoS（拒绝服务）攻击。通过限制客户端请求体和头部大小，可以有效缓解此类风险。

# 在 http 或 server 块中设置client_max_body_size 10M;        # 限制上传文件最大为10MBclient_header_buffer_size 1k;   # 客户端请求头部缓冲区大小large_client_header_buffers 4 4k; # 大请求头的最大数量和大小

这些设置有助于防止缓冲区溢出和资源耗尽攻击。

四、禁用不必要的模块和功能

Nginx在编译时可能包含一些你不需要的模块（如autoindex）。如果启用了目录浏览（autoindex on），攻击者可能窥探你的文件结构。

# 确保在 location 块中没有启用 autoindexlocation / {    autoindex off;  # 默认就是 off，但显式关闭更安全}

此外，如果你不需要SSI、SSI过滤器等功能，建议在编译Nginx时就排除它们，减少攻击面。

五、启用安全响应头

现代浏览器支持多种安全策略，通过设置响应头可以增强防护能力。

# 在 server 块中添加add_header X-Frame-Options "SAMEORIGIN" always;add_header X-Content-Type-Options "nosniff" always;add_header X-XSS-Protection "1; mode=block" always;add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

这些头部分别用于防止点击劫持、MIME类型嗅探、XSS攻击以及强制HTTPS连接。

六、定期更新与日志监控

即使配置再安全，如果Nginx本身存在未修复的漏洞，依然危险。因此，请务必：

• 定期更新Nginx到最新稳定版本；
• 开启并定期检查访问日志和错误日志；
• 使用fail2ban等工具自动封禁恶意IP。

通过以上步骤，你可以显著提升Nginx服务器的安全性。记住，Nginx安全配置不是一次性任务，而是一个持续的过程。结合Web服务器加固的最佳实践，配合Nginx配置文件优化，能有效防止Web攻击，保护你的网站和用户数据。

提示：每次修改配置后，请先使用 nginx -t 测试配置语法是否正确，再执行 systemctl reload nginx 重载服务，避免服务中断。