项目使用Vue 开发前端应用，为了部署前端代码，需要安装Nginx 服务器。最近在安装Nginx，把过程记录下来，也供其他开发人员、运维人员参考。

一、安装Nginx

1.1目的

项目使用Vue 开发前端应用，为了部署前端代码，需要安装Nginx 服务器。为了让前端应用更加安全，特提供本文档作为基本教程，在安装完操作系统之后， 需要遵照本文档进行Nginx 的安装，以及进一步的配置。

1.2安装Nginx

Nginx 的安装有两种， YUM 安装或者自己编译安装，如果是快速安装，可以选择YUM包的方式， 下面以CentOS 为例。
在CentOS7 上， 添加EPEL yum 源：

sudo yum install epel-release

安装Nginx ：

sudo yum install nginx

1.3配置Nginx服务自动启动

在CentOS7 上， 配置Nginx服务随系统启动：

sudo systemctl enable nginx

确认Nginx 自启动：

sudo systemctl is-enabled nginx

二、 Nginx 基本操作

Nginx 基本操作，包括正常的启动/停止， 以及平滑停止等，以及验证配置文件是否正确，这些既可以通过Nginx 自身的命令， 也可以通过Linux 信号机制来执行，具体见下图：

这里其实就是一个小小的面试题目，比如，让Nginx 平滑停止，有哪几种方式？其实基本就两种：kill -QUIT和 nginx -s quit

其中， 最值得记住的，就是标准的Nginx 操作命令的基本语法：

/usr/sbin/nginx -s <signal>

signal 里面有stop、quit、reload等基本操作。

在执行重新加载配置文件之前，最好先验证一下，非常有用。
命令是：

/usr/sbin/nginx -t -c /usr/nginx/nginx.conf

三、Nginx 配置以及安全加固

3.4配置Nginx

1.4.1默认服务器根目录

默认的服务器根目录是/usr/share/nginx/html。放置在其中的文件将在web服务器上显示

/usr/share/nginx/html

此位置在Nginx附带的默认服务器块配置文件中指定，该文件位于/etc/nginx/nginx.conf

3.4.2服务器块配置

通过在/etc/nginx/conf.d.文件中创建以结尾的新配置文件，可以添加任何额外的服务器块（在Apache中称为虚拟主机）。启动Nginx时，将加载该目录中的conf。

3.4.3 Nginx全局配置

Nginx主配置文件位于/etc/nginx/nginx.conf。在这里，您可以更改设置，比如运行Nginx守护进程的用户，以及在Nginx运行时生成的工作进程的数量，等等。

配置信息：

worker_processes  2;
error_log   /data/nginx/logs/error.log  info;
pid        /etc/nginx/logs/nginx.pid;
worker_rlimit_nofile  65535;

查看Service 文件，最简单的办法就是使用：
sudo systemctl status nginx
结果的第一行即是Service 文件位置

ulimit -Hn
ulimit -Sn

* soft noproc 65535
* hard noproc 65535
* soft nofile 65535
* hard nofile 65535

3.4.4 Nginx events配置

参考配置信息：

events {
  use epoll;
   worker_connections  8192;
  }

3.4.5 Nginx 日志设置

配置日志文件位置，默认的日志目录设置在nginx/logs目录，在云服务器中，记得要把这个目录挂在额外的数据盘中，防止文件太多压垮系统盘。

在这里，采用logrotate组件，来做日志的轮转，就是按天来对文件进行切割和压缩。

日志轮转：

vi /etc/logrotate.d/nginx

该文件的内容为：

/usr/local/nginx/logs/*.log {
    # 日志文件轮转周期，可用值为: daily/weekly/yearly
    daily
    # 新日志文件的权限
    create 0664 work work
    # 轮转次数，即最多存储7个归档日志，会删除最久的归档日志,生产环境需设置为90天
    rotate 14
    # 以当前日期作为命名格式
    dateext
    # 轮循结束后，已归档日志使用gzip进行压缩
    compress
    # 与compress共用，最近的一次归档不要压缩
    delaycompress
    # 忽略错误信息
    missingok
    # 日志文件为空，轮循不会继续执行
    notifempty
    # 当日志文件大于指定大小时，才继续执行，单位为bytes（默认）/k/M/G
    size = 100M
    # 将日志文件转储后执行的命令，以endscript结尾，命令需要单独成行
    postrotate
        # 重启nginx日志服务，写入到新的文件中去，否则会依然写入重命名后的文件中
        /bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid 2> /dev/null` 2> /dev/null || true
        # 默认logrotate会以root身份运行，如果想要以其他身份执行一个命令，可以这样使用：
        #su - work -c '/home/work/odp/webserver/loadnginx.sh restart'
    endscript
}

演练，检查logrotate文件配置是否正确

logrotate -d -f /etc/logrotate.d/nginx

输入如下，即说明配置正确：

手工执行：

logrotate -f /etc/logrotate.d/nginx

3.4.6 Nginx 安全设置

为确保Nginx 服务器安全，需要采用以下配置：

（1）、禁用server 标记

server_tokens 启用的话，会暴露Nginx 版本信息，检查是否启用：

curl -I  http://<NGINX_URL>

下面是未启用的示例：

启用：

结果验证：

（2）、自定义缓存

设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下:

http{
      ... ...
      server{
        ... ...
        client_body_buffer_size  1K;
        client_header_buffer_size  1k;
        client_max_body_size  20m;
         large_client_header_buffers  2  1k;
        ... ...
      }
        ... ...
}

（3）、设置timeout

设置timeout设低来防御DOS攻击，nginx.conf配置如下：

http {
   ... ...
   client_body_timeout   10;
   client_header_timeout 30;
   keepalive_timeout     30  30;
   send_timeout          10;   

验证：

（4）、限制访问的方法

在目前的应用系统中值使用到POST、 GET和PUT方法，所以除了它们之外，其他方式的请求均可拒绝。Nginx.conf配置如下：

server{
      ... ...
      if($request_method !~ ^(GET|HEAD|PUT|POST)$) {  
         return 404;
        }
  ... ...

（5）、配置SSL证书加密套件

Nginx的默认配置允许您使用不安全的TLS协议旧版本（根据官方文档：ssl_协议TLSv1 TLSv1.1 TLSv1.2）。这可能会导致野兽攻击等攻击。因此，我们建议您不要使用旧的TLS协议，并将配置更改为仅支持更新的安全TLS版本。

server{
  ... ...
  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
  ... ...

（5）、配置HTTP header

为了进一步增强nginx web服务器，可以添加几个不同的HTTP头。以下是推荐的一些选项。

X-Frame-Options

可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在<Frame>或<iframe>中呈现页面。这可以防止点击劫持攻击。因此，建议为nginx服务器启用此选项。

为此，请在服务器部分的nginx配置文件中添加以下参数：

add_header X-Frame-Options "SAMEORIGIN";

CSP和X-XSS-Protection

内容安全策略（CSP）保护web服务器免受特定类型的攻击，包括跨站点脚本攻击（XSS）和数据注入攻击。

可以通过添加以下示例内容安全策略头来实现CSP（请注意，应将实际头配置为符合实际需求）：

add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

IE和Safari支持HTTP X-XSS-Protection头，如果您有强大的内容安全策略，则现代浏览器不需要HTTP X-XSS-Protection头。但是，为了在旧浏览器（还不支持CSP）的情况下防止XSS，可以将X-XSS保护头添加到服务器部分：

add_header X-XSS-Protection "1; mode=block";

四、后续

在Nginx 上启用Mod Security模块，进一步增强Nginx 的安全设置。