Nginx 的相关配置

最新推荐文章于 2024-03-30 10:36:56 发布
最新推荐文章于 2024-03-30 10:36:56 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: nginx 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ls6658/article/details/121007094
版权

  • 下载 生成的配置: nginxconfig.io-example.com.tar.gz
    然后 上传 到你的服务器的/etc/nginx 目录.

    或,  复制压缩配置的base64字符串,将其粘贴到服务器的命令行并执行。

  • 进入你的 NGINX服务器上的配置目录:

      
    cd /etc/nginx

  • 创建当前NGINX配置的备份:

      
    tar -czvf nginx_$(date +'%F_%H-%M-%S').tar.gz nginx.conf sites-available/ sites-enabled/ nginxconfig.io/

使用tar解压新的压缩配置

tar -xzvf nginxconfig.io-example.com.tar.gz | xargs chmod 0644

  • 在您的服务器上运行此命令生成Diffie-Hellman keys:

      
    openssl dhparam -out /etc/nginx/dhparam.pem 2048

创建一个通用的ACME-challenge目录(用于 Let's Encrypt):

mkdir -p /var/www/_letsencrypt
chown www-data /var/www/_letsencrypt

  • 注释掉配置中的SSL相关指令:

    sed -i -r 's/(listen .*443)/\1; #/g; s/(ssl_(certificate|certificate_key|trusted_certificate) )/#;#\1/g; s/(server \{)/\1\n    ssl off;/g' /etc/nginx/sites-available/example.com.conf

  • 重新加载你的NGINX服务器:

    sudo nginx -t && sudo systemctl reload nginx

  • 使用Certbot从 Let's Encrypt 获得SSL证书:

    certbot certonly --webroot -d example.com --email info@example.com -w /var/www/_letsencrypt -n --agree-tos --force-renewal

  • 在配置中取消注释SSL相关指令:

    sed -i -r -z 's/#?; ?#//g; s/(server \{)\n    ssl off;/\1/g' /etc/nginx/sites-available/example.com.conf

  • 重新加载你的NGINX服务器:

    sudo nginx -t && sudo systemctl reload nginx

配置Certbot,当NGINX成功更新证书时重新加载:

echo -e '#!/bin/bash\nnginx -t && systemctl reload nginx' | sudo tee /etc/letsencrypt/renewal-hooks/post/nginx-reload.sh
sudo chmod a+x /etc/letsencrypt/renewal-hooks/post/nginx-reload.sh

重新加载NGINX以载入新的配置:

sudo nginx -t && sudo systemctl reload nginx

配置文件

/etc/nginx/nginx.conf

# Generated by nginxconfig.io
# https://www.digitalocean.com/community/tools/nginx?global.app.lang=zhCN

user                 www-data;
pid                  /run/nginx.pid;
worker_processes     auto;
worker_rlimit_nofile 65535;

# Load modules
include              /etc/nginx/modules-enabled/*.conf;

events {
    multi_accept       on;
    worker_connections 65535;
}

http {
    charset                utf-8;
    sendfile               on;
    tcp_nopush             on;
    tcp_nodelay            on;
    server_tokens          off;
    log_not_found          off;
    types_hash_max_size    2048;
    types_hash_bucket_size 64;
    client_max_body_size   16M;

    # MIME
    include                mime.types;
    default_type           application/octet-stream;

    # Logging
    access_log             /var/log/nginx/access.log;
    error_log              /var/log/nginx/error.log warn;

    # SSL
    ssl_session_timeout    1d;
    ssl_session_cache      shared:SSL:10m;
    ssl_session_tickets    off;

    # Diffie-Hellman parameter for DHE ciphersuites
    ssl_dhparam            /etc/nginx/dhparam.pem;

    # Mozilla Intermediate configuration
    ssl_protocols          TLSv1.2 TLSv1.3;
    ssl_ciphers            ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

    # OCSP Stapling
    ssl_stapling           on;
    ssl_stapling_verify    on;
    resolver               1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
    resolver_timeout       2s;

    # Load configs
    include                /etc/nginx/conf.d/*.conf;
    include                /etc/nginx/sites-enabled/*;
}

/etc/nginx/sites-available/example.com.conf

server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             example.com;
    set                     $base /var/www/example.com;
    root                    $base/public;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # security
    include                 nginxconfig.io/security.conf;

    # index.php
    index                   index.php;

    # index.php fallback
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    # additional config
    include nginxconfig.io/general.conf;

    # handle .php
    location ~ \.php$ {
        fastcgi_pass unix:/var/run/php/php-fpm.sock;
        include      nginxconfig.io/php_fastcgi.conf;
    }
}

# subdomains redirect
server {
    listen                  443 ssl http2;
    listen                  [::]:443 ssl http2;
    server_name             *.example.com;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    return                  301 https://example.com$request_uri;
}

# HTTP redirect
server {
    listen      80;
    listen      [::]:80;
    server_name .example.com;
    include     nginxconfig.io/letsencrypt.conf;

    location / {
        return 301 https://example.com$request_uri;
    }
}

/etc/nginx/nginxconfig.io/letsencrypt.conf

# ACME-challenge
location ^~ /.well-known/acme-challenge/ {
    root /var/www/_letsencrypt;
}

/etc/nginx/nginxconfig.io/security.conf

# security headers
add_header X-XSS-Protection          "1; mode=block" always;
add_header X-Content-Type-Options    "nosniff" always;
add_header Referrer-Policy           "no-referrer-when-downgrade" always;
add_header Content-Security-Policy   "default-src 'self' http: https: data: blob: 'unsafe-inline'; frame-ancestors 'self';" always;
add_header Permissions-Policy        "interest-cohort=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

# . files
location ~ /\.(?!well-known) {
    deny all;
}

/etc/nginx/nginxconfig.io/general.conf

# favicon.ico
location = /favicon.ico {
    log_not_found off;
    access_log    off;
}

# robots.txt
location = /robots.txt {
    log_not_found off;
    access_log    off;
}

# assets, media
location ~* \.(?:css(\.map)?|js(\.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
    expires    7d;
    access_log off;
}

# svg, fonts
location ~* \.(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
    add_header Access-Control-Allow-Origin "*";
    expires    7d;
    access_log off;
}

# gzip
gzip            on;
gzip_vary       on;
gzip_proxied    any;
gzip_comp_level 6;
gzip_types      text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;

/etc/nginx/nginxconfig.io/php_fastcgi.conf

# 404
try_files                     $fastcgi_script_name =404;

# default fastcgi_params
include                       fastcgi_params;

# fastcgi settings
fastcgi_index                 index.php;
fastcgi_buffers               8 16k;
fastcgi_buffer_size           32k;

# fastcgi params
fastcgi_param DOCUMENT_ROOT   $realpath_root;
fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
fastcgi_param PHP_ADMIN_VALUE "open_basedir=$base/:/usr/lib/php/:/tmp/";
与智者同行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在Nginx配置HTTP安全响应头
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Nginx配置Http响应头安全策略_nginx content-security-policy
最新发布
2401_84181383的博客
04-10 1912
是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
HTTP 请求头安全方案
qq_35040959的博客
01-13 1810
HTTP 请求头安全方案
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
再现隐私之争_反谷歌FLoC联盟: selenium谷歌浏览器报错: Error with Permissions-Policy header
青哥的博客
09-30 1万+
再现隐私之争:反谷歌FLoC联盟问题原因(谷歌FLoC技术)解决谷歌FLoC技术:目的原理潜在风险反谷歌 FLoC 联盟最后 问题 使用selenium操作无头模式(无界面模式)的谷歌浏览器时,控制台报如下错误: "Error with Permissions-Policy header: Unrecognized feature: 'interest-cohort'." 原因(谷歌FLoC技术) 在被谷歌浏览器操纵的目标网页上,出现了响应头:permissions-policy: interest-co
phpstudy中nginx环境配置伪静态去掉index.php
weixin_44694538的博客
01-11 1604
server { listen 80; server_name mylaravel.com; root "D:/WWW/laravel/public"; location / { index index.php index.html error/index.html; ...
nginx相关配置文件
12-19
4. **location块:** `location`块是Nginx配置中最细致的部分,根据请求的URI来匹配并执行相应的配置。例如,你可以设置静态文件路径、反向代理、URL重写等。 5. **虚拟主机配置:** 在`/etc/nginx/conf.d`或`/etc/...
nginx相关配置.doc
10-14
nginx 配置说明, 轮询,权重, ip_hash,等配置.
GitSorcerer#Typora#nginx相关配置1
07-25
nginx相关配置反向代理静态文件访问在serverindex index.html index.htm;
nginx配置相关介绍
09-30
Nginx 配置相关介绍 Nginx 是一个流行的开源 Web 服务器软件,广泛应用于 Web 服务器、反向代理、负载均衡等领域。下面对 Nginx 配置相关介绍,供大家参考。 1. Nginx 配置文件结构 Nginx 配置文件主要由多个块...
Nginx配置相关软件
07-02
以上是Nginx配置相关软件的主要知识点。通过深入学习和实践,你可以掌握Nginx配置和管理,为构建高效稳定的Web服务打下坚实基础。在使用这个压缩包进行学习时,建议逐步搭建环境,实际操作配置,遇到问题时查阅...
nginx漏洞修复:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
weixin_43135696的博客
07-20 2966
#需编辑 nginx.conf 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} ssl_dhparam /usr/local/nginx/conf/dhparams.pem; ...
Nginx 添加安全Security Missing Headers
qq_57252848的博客
09-23 424
以上的配置加上后 使用服务时可能会受到nginx的限制,要加下白名单,以下是示例。因为服务地址扫出来有漏洞,所以在nginx上去加请求的响应头。注意更新完要重新更新下nginx配置。以下在server块添加就好了。
nginx的权限问题(13: Permission denied)解决办法
吻等离子的博客
07-07 1万+
一个是www,一个是root用户。打开 nginx.conf 文件。查找nginx.conf的位置。
Nginx中的include用法
热门推荐
qq_30665009的博客
05-16 2万+
include可以用在任何地方,前提是include的文件自身语法正确。 include文件路径可以是绝对路径,也可以是相对路径,相对路径以nginx.conf为基准,同时可以使用通配符。配置实例# 绝对路径 include /etc/conf/nginx.conf # 相对路径 include port/80.conf # 通配符 include *.conf测试配置文件> ./ngin...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱(nginx漏洞修复)
qq_44637753的博客
09-27 3711
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱(nginx漏洞修复)
Web 安全之 Permissions Policy(权限策略)详解
A1_3_9_7的博客
03-30 1085
Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
http 状态码汇总
slx618的博客
12-11 501
完整的 HTTP 1.1规范说明书来自于RFC 2616,你可以 在线查阅。HTTP1.1的状态码被标记为新特性,因为许多浏览器只支持 HTTP 1.0。你应只把状态码发送给支持 HTTP 1.1的客户端,支持协议版本可以通过调用request.getRequestProtocol来检查。 状态码 表示 201 Created 已创建 202 Accepted 接受 301 重定向 302 临时重定向 400 Bad Request 401 Unauthorized 未授
NGINX 配置相关指令
08-16
以下是一些常用的NGINX配置指令: 1. `worker_processes`:指定NGINX工作进程数。 2. `events`:配置NGINX的事件模型,如使用 `epoll` 或 `select`。 3. `http`:表示HTTP服务的配置块,包含全局的HTTP参数。 4. `server`:定义一个服务块,可以设置监听端口、服务器名等。 5. `listen`:指定服务监听的端口。 6. `server_name`:指定服务器名,可以是域名、IP地址或通配符。 7. `location`:定义请求的处理规则,可以通过正则表达式匹配URL。 8. `root`:指定静态文件的根目录。 9. `index`:指定默认的索引文件。 10. `proxy_pass`:配置反向代理,将请求转发到指定的后端服务器。 11. `try_files`:配置NGINX在处理请求时尝试不同的文件或目录。 12. `rewrite`:重写URL或修改请求头。 13. `access_log`:配置访问日志的路径和格式。 14. `error_log`:配置错误日志的路径和级别。 15. `include`:包含其他配置文件。 这些只是一部分常用的NGINX配置指令,还有很多其他指令可根据具体需求进行配置。你可以通过查阅NGINX官方文档来获取更详细和全面的指令信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值