Настройка сервисов NGINX




Здравствуйте, уважаемые читатели! На микрокомпьютере MB77.07 установлен веб-сервер NGINX, но работает он в простейшей начальной конфигурации. Начальная конфигурация позволяет очень быстро запустить сайт. Но чтобы повысить безопасность и быстродействие сайта, а также удобство пользования ресурсом, понадобится задействовать дополнительные возможности NGINX.


Итак, пора улучшить начальную конфигурацию NGINX! Для этого нужно отредактировать файл из каталога /etc/nginx/sites-enabled - прописать дополнительные настройки в секцию server {}.

Для начала, нужно ораничить доступ к сайту по всяким левым запросам, чтобы ограничить возможности нездорового сканирования сайта:

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}

Потом, нужно запретить доступ к сайту напрямую по ip-адресу в обход доменного имени:

if ($host !~ ^(домен)$ ) {
return 403;
}

Для повышения быстродействия сайта на стороне клиента нужно заставить NGINX использовать кэш браузера, чтобы компьютер посетителя не делал лишних запросов на сервер:

expires 168h;
add_header Cache-Control private;

Кроме того, весьма полезно будет запретить NGINX записывать в журнал обращения к файлам изображений, а также файлам оформления стилей:

location ~ \.(jpg|png|ico|css){
access_log off;
expires max;
}

Далее, при возникновении ошибочных запросов пусть NGINX выдаёт мои страницы ошибок вместо стандартных. Во-первых, надо указать модулю proxy необходимость отображения страниц ошибок вместо запросов, добавив строку

proxy_intercept_errors on;

в конец файла proxy_params, а во-вторых, настроить соответствие страниц ошибкам:

error_page 403 /403.html;
location = /403.html {
root /mnt/usbflash1/mb7707;
allow all;
}
error_page 404 /404.html;
error_page 451 /451.html;
error_page 500 /500.html;
location = /500.html {
root /mnt/usbflash1/mb7707;
allow all;
}

Поскольку при генерации ошибок 403 и 500 переходы по внутренним ссылкам становится недоступными, то для отображения их страниц нужно указывать их расположение и принудительное разрешение доступа!

Чтобы страницы ошибок нормально отображались, их нужно размещать в корневом каталоге сайта!

Для ориентирования в адресной строке браузера расширения файлов и явное указание главной страницы совершенно не обязательно. Лучше скрыть главную страницу и расширения .html и .php страниц сайта. Каюсь, здесь я совсем запутался, большое спасибо Антону Прибора за помощь!

rewrite ^/(.*/)?index.(html|php)$ /$1 permanent;
rewrite ^/(.*)\.(php|html)$ /$1 permanent;
try_files $uri $uri.html $uri/index.html @php;
location @php {
set $fname $document_root$document_uri;
if ($fname ~ /$) {
set $fname "${fname}index";
}
if (!-f $fname.php) {
return 404;
}
include fastcgi.conf;
fastcgi_param SCRIPT_FILENAME $fname.php;
fastcgi_pass unix:/var/run/php5-fpm.sock;
}

Наконец, нужно создать чёрный список ip-адресов. В него можно смело добавлять адреса и даже целые подсети, с которых пытались сканировать сайт в поиске уязвимостей. Например, создать файл noips в каталоге /etc/nginx/conf.d и в нём директивой deny ххх.yyy.zzz.ttt запретить обращение к сайту каждого недружественного ip-адреса xxx.yyy.zzz.ttt.


Всё готово, остаётся сохранить файлы и перезагрузить NGINX:

service nginx restart


Обновлено - 10.12.2018. Описана настройка nginx-light - как предельно облегчённого и необременённого неиспользуемыми функциями.


Обновлено - 31.12.2019. Исправлено описание настройки пользовательских страниц ошибок.


Благодарю за внимание, доброго здоровья!



Сайт работает на микрокомпьютере