Nginx虚拟主机安全配置（从零开始保护你的网站）

一、什么是Nginx虚拟主机？

Nginx虚拟主机（Virtual Host）是指在同一台服务器上通过不同域名或端口托管多个网站的技术。例如，你可以用一台服务器同时运行 example.com 和 blog.example.com。这种灵活性带来了便利，但也增加了安全风险——一个站点被攻破可能影响其他站点。

二、基础安全配置步骤

1. 隐藏Nginx版本号

默认情况下，Nginx会在HTTP响应头中暴露其版本号（如 Server: nginx/1.18.0），这会让攻击者更容易找到已知漏洞。我们可以通过修改主配置文件来隐藏它。

# 编辑 nginx.conf 文件（通常位于 /etc/nginx/nginx.conf）http {    server_tokens off;  # 添加这一行    ...}  

保存后重载Nginx：sudo nginx -s reload

2. 限制请求方法

大多数网站只需要 GET、POST 和 HEAD 方法。禁用不必要的方法（如 PUT、DELETE）可减少攻击面。

server {    listen 80;    server_name example.com;    # 只允许 GET、POST、HEAD    if ($request_method !~ ^(GET|HEAD|POST)$ ) {        return 405;    }    ...}  

3. 防止目录遍历和敏感文件访问

确保用户无法访问配置文件、日志或备份文件等敏感内容。

server {    ...    # 禁止访问 .htaccess、.git、.env 等文件    location ~ /\. {        deny all;    }    # 禁止访问以 . 开头的隐藏文件    location ~* \.(env|log|bak|sql|ini)$ {        deny all;    }}  

4. 设置安全响应头

添加安全相关的HTTP头可以有效防御XSS、点击劫持等常见攻击。

server {    ...    # 安全响应头    add_header X-Frame-Options "SAMEORIGIN" always;    add_header X-Content-Type-Options "nosniff" always;    add_header Referrer-Policy "no-referrer-when-downgrade" always;    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'" always;}  

三、定期更新与监控

除了配置，保持Nginx及其依赖组件的最新状态也非常重要。使用以下命令检查并更新：

# Ubuntu/Debiansudo apt update && sudo apt upgrade nginx# CentOS/RHELsudo yum update nginx  

同时建议启用访问日志和错误日志，并定期审查异常请求。

结语

通过以上简单的配置，你已经为你的 Nginx虚拟主机 构筑了一道基础防线。记住，Web服务器安全 是一个持续的过程，需要不断学习和实践。希望这篇 Nginx配置教程 能帮助你迈出安全运维的第一步，实现有效的 网站安全加固。

提示：所有配置修改前请先备份原文件，避免服务中断。