Настройка безопасности для защиты веб-сервера Nginx на Ubuntu 22.04

Nginx является одним из самых популярных веб-серверов благодаря своей производительности и гибкости. Однако, как и любой другой веб-сервер, он может стать мишенью для различных кибератак.

В этой статье мы рассмотрим основные шаги по настройке безопасности для защиты веб-сервера Nginx на Ubuntu 22.04, с подробными примерами и инструкциями.

Установка и обновление Nginx

Прежде чем начать настройку безопасности, необходимо установить и обновить Nginx до последней версии.

1. Установка Nginx:

   sh

    

   sudo apt update sudo apt install nginx

2. Обновление Nginx:

   sh

    

   sudo apt update sudo apt upgrade nginx

Настройка файрвола (UFW)

UFW (Uncomplicated Firewall) — это простой инструмент для управления iptables. Настроим файрвол, чтобы разрешить только необходимые порты.

1. Разрешение SSH, HTTP и HTTPS трафика:

   sh

    

   sudo ufw allow OpenSSH sudo ufw allow 'Nginx Full'

2. Включение файрвола:

   sh

    

   sudo ufw enable

3. Проверка статуса UFW:

   sh

    

   sudo ufw status

Настройка SSL/TLS

Использование SSL/TLS для шифрования трафика — это обязательный шаг для обеспечения безопасности веб-сервера. Мы используем Let's Encrypt для получения бесплатного SSL-сертификата.

1. Установка Certbot:

   sh

    

   sudo apt install certbot python3-certbot-nginx

2. Получение и установка сертификата:

   sh

    

   sudo certbot --nginx

3. Автоматическое обновление сертификатов: Certbot автоматически настраивает cron-задачу для обновления сертификатов. Проверить конфигурацию можно так:

   sh

    

   sudo systemctl list-timers | grep certbot

Пример конфигурации Nginx для SSL:

Защита от DDoS-атак

1. Установка модуля ngx_http_limit_req_module: Этот модуль позволяет ограничивать количество запросов от одного IP-адреса.

2. Настройка ограничения количества запросов: Откройте конфигурационный файл Nginx, например:

   sh

    

   sudo nano /etc/nginx/nginx.conf

   Добавьте следующие строки в блок http:

   nginx

    

   http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { ... location / { limit_req zone=one burst=5 nodelay; ... } } }

   Эта конфигурация ограничивает запросы до 1 запроса в секунду с burst до 5 запросов без задержки.

3. Перезагрузка Nginx для применения изменений:

   sh

    

   sudo systemctl reload nginx

Защита от кибератак с помощью fail2ban

Fail2ban — это инструмент, который защищает сервер от попыток взлома путем блокировки IP-адресов с подозрительной активностью.

1. Установка fail2ban:

   sh

    

   sudo apt install fail2ban

2. Создание конфигурационного файла для Nginx: Создайте файл /etc/fail2ban/jail.local и добавьте в него:

   sh

    

   [nginx-http-auth] enabled = true filter = nginx-http-auth action = iptables[name=HTTP, port=http, protocol=tcp] logpath = /var/log/nginx/error.log maxretry = 3

   Также создайте файл фильтра /etc/fail2ban/filter.d/nginx-http-auth.conf:

   sh

    

   [Definition] failregex = no user/password was provided for basic authentication.*client: <HOST>

3. Перезапуск fail2ban для применения изменений:

   sh

    

   sudo systemctl restart fail2ban

Ограничение размера загрузок

Ограничение размера загружаемых файлов помогает предотвратить DoS-атаки и использование избыточных ресурсов.

1. Настройка максимального размера загрузки: Откройте конфигурационный файл Nginx, например:

   sh

    

   sudo nano /etc/nginx/nginx.conf

   Добавьте или измените директиву client_max_body_size:

   nginx

    

   http { ... client_max_body_size 10M; ... }

2. Перезагрузка Nginx для применения изменений:

   sh

    

   sudo systemctl reload nginx

Обновление и патчинг системы

Регулярное обновление операционной системы и установленных пакетов помогает защитить сервер от уязвимостей.

1. Обновление системы:

   sh

    

   sudo apt update sudo apt upgrade

2. Настройка автоматических обновлений: Установите пакет unattended-upgrades для автоматического обновления безопасности.

   sh

    

   sudo apt install unattended-upgrades sudo dpkg-reconfigure --priority=low unattended-upgrades

Защита конфигурационных файлов

1. Настройка прав доступа к конфигурационным файлам Nginx:

   sh

    

   sudo chown -R root:root /etc/nginx sudo chmod -R 644 /etc/nginx

2. Ограничение доступа к критическим файлам: Убедитесь, что файлы конфигурации доступны только пользователю root.

   sh

    

   sudo chmod 600 /etc/nginx/nginx.conf sudo chmod 600 /etc/nginx/sites-available/default

Заключение

Настройка безопасности для защиты веб-сервера Nginx на Ubuntu 22.04 включает в себя несколько важных шагов, таких как настройка файрвола, использование SSL/TLS, защита от DDoS-атак и использование инструмента fail2ban.

Эти меры помогут значительно повысить уровень безопасности вашего веб-сервера и защитить его от множества потенциальных угроз.

Регулярное обновление системы и настройка прав доступа к конфигурационным файлам также играют ключевую роль в обеспечении безопасности.