Nginx 安全控制

当我们的内容很有价值，并且我们正确地关注用户的隐私和安全时，我们可以使用 Nginx 来控制和保护我们服务的访问以及我们管理的数据。

Nginx SSL 终止

SSL（安全套接字层）连接使用证书进行身份验证，然后将加密数据从客户端计算机发送到 Web 服务器。 SSL 终止是 SSL 卸载（解密）的一种形式，将部分责任从 Web 服务器转移到另一台机器上。 SSL 终止用于识别加密数据。

在本节中，我们将介绍如何在 NGINX Plus 和 NGINX 上配置 HTTPS 服务器。

要在我们的 nginx.conf 文件中设置 HTTPS 服务器，请将 ssl 参数添加到 server 块中的 listen 指令，然后指定服务器证书和私钥文件的位置

服务器证书是一个公共实体。 它将发送到连接到 Nginx Plus 或 Nginx 的每个客户端。

私钥是一个安全密钥或实体，应存储在具有受限访问权限的文件中。 但是，nginx 的主进程必须能够读取此文件。 我们也可以将私钥存储在与证书相同的文件中。

ssl_protocol 和 ssl_ciphers 指令可用于要求客户端在使用 SSL/TLS 建立连接时仅使用强版本和密码。

TCP 上游服务器的 SSL 终止

获取 SSL 证书

首先，我们需要获取服务器证书和私钥，并将它们放在服务器上。 证书可以从受信任的 CA（证书颁发机构）获得，也可以使用 SSL 库（如 OpenSSL）生成。

配置 Nginx Plus

要配置 SSL 终止，请将以下指令添加到 Nginx Plus 配置中

启用 SSL

要启用 SSL，请为将连接传递到上游服务器组的 TCP 服务器定义 listen 指令的 ssl 参数

添加 SSL 证书

要添加 SSL 证书，请使用 ssl_certificate 指令定义证书的路径，并在 ssl_certificate_key 指令中指定私钥的路径

此外，ssl_protocols 和 ssl_ciphers 指令可用于限制连接，并且仅添加 SSL/TLS 的强版本和密码

使用 HTTP 基本身份验证限制访问

我们可以通过实施用户名和密码身份验证来限制对我们的网站或其某些部分的访问。 用户名和密码取自密码文件创建工具创建和填充的文件，例如 apache2-utils。

创建密码文件

要创建用户名-密码对，请使用密码文件创建实用程序，例如 httpd-tools 或 apache2-utils

1. 首先，验证是否安装了 httpd-tools 或 apache2-utils。

2. 创建一个密码文件和第一个用户，使用 -c 标志运行 htpasswd 实用程序，该标志用于创建一个新文件，将文件路径名作为第一个参数，将用户名作为第二个参数。

按 Enter 并在提示符处输入 user1 的密码。

3. 创建其他的用户名-密码对。 忽略 -c 标志，因为该文件已存在

4. 我们可以确保该文件包含配对的用户名和加密密码

为 HTTP 基本身份验证配置 Nginx Plus 和 Nginx

1. 在我们要保护的位置内，定义 auth_basic 指令，并为密码保护区域命名。 当要求凭据时，该区域的名称将显示在用户名和密码对话框窗口中。

2. 使用包含用户/密码对的 .htpasswd 文件的路径定义 auth_basic_user_file 指令