筑牢防线，守护网站（Ubuntu Nginx安全加固指南）

二、基础准备工作

在开始之前，请确保你已拥有Ubuntu系统的root权限或sudo权限，并已安装Nginx：

sudo apt updatesudo apt install nginx -y  

三、关键安全加固步骤

1. 隐藏Nginx版本号

攻击者常通过版本号判断是否存在已知漏洞。隐藏版本号可增加攻击难度。

编辑Nginx主配置文件：

sudo nano /etc/nginx/nginx.conf  

在http块中添加或修改以下行：

server_tokens off;  

保存后重载Nginx：

sudo nginx -s reload  

2. 限制HTTP方法

只允许必要的HTTP方法（如GET、POST），禁用TRACE、DELETE等危险方法。

在站点配置文件（如/etc/nginx/sites-available/default）的server块中添加：

if ($request_method !~ ^(GET|HEAD|POST)$) {    return 405;}  

3. 防止目录遍历和敏感文件访问

确保用户无法访问配置文件、日志等敏感信息：

location ~ /\. {    deny all;}location ~* \.(log|conf|htaccess|env)$ {    deny all;}  

4. 启用HTTPS并配置强加密

使用Let's Encrypt免费证书启用HTTPS，并配置现代TLS协议：

ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;ssl_prefer_server_ciphers off;  

这属于Web服务器防护的核心环节。

5. 配置速率限制防暴力破解

防止登录接口被暴力破解：

http {    limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;    server {        location /login {            limit_req zone=login burst=5 nodelay;        }    }}  

四、定期更新与监控

保持系统和Nginx版本最新是Linux系统安全的基础：

sudo apt update && sudo apt upgrade -y  

同时建议启用日志监控（如fail2ban）和定期审查访问日志。

五、总结

通过以上步骤，你可以显著提升Nginx服务器的安全性。记住，安全不是一次性任务，而是持续的过程。结合Nginx服务器安全配置的最佳实践，你的Web服务将更加稳健可靠。

希望这篇针对小白的Ubuntu Nginx安全加固指南对你有所帮助！