Bonnes pratiques de sécurité Nginx : Protégez votre serveur Web
Dans le paysage numérique actuel, la sécurité de votre serveur Web est primordiale. Nginx, un serveur Web et un proxy inverse haute performance, est un choix populaire pour de nombreuses applications. Cependant, comme tout logiciel, il nécessite une configuration et une maintenance rigoureuses pour le protéger contre diverses menaces. Cet article présente les bonnes pratiques essentielles en matière de sécurité Nginx, couvrant la configuration SSL/TLS, la limitation de débit, la prévention des attaques courantes et l'importance de maintenir votre installation Nginx à jour.
La mise en œuvre de ces mesures renforcera considérablement la résilience de votre serveur Nginx, protégeant ainsi vos données, vos utilisateurs et votre réputation.
1. Sécurisez vos connexions avec SSL/TLS
SSL/TLS (Secure Sockets Layer/Transport Layer Security) est fondamental pour chiffrer la communication entre votre serveur et les clients, empêchant l'écoute clandestine et les attaques de l'homme du milieu. Une configuration correcte de SSL/TLS est une pierre angulaire de la sécurité des serveurs Web.
1.1 Obtenir et installer un certificat SSL
Premièrement, vous avez besoin d'un certificat SSL. Vous pouvez en obtenir un auprès d'une autorité de certification (CA) de confiance comme Let's Encrypt (qui propose des certificats gratuits), Comodo, DigiCert ou autres. Une fois obtenu, vous recevrez généralement des fichiers de certificat (par exemple, your_domain.crt, private.key, et potentiellement des certificats intermédiaires).
1.2 Configurer Nginx pour SSL/TLS
Modifiez le fichier de configuration de votre bloc serveur Nginx (souvent situé dans /etc/nginx/sites-available/ ou /etc/nginx/conf.d/). Assurez-vous d'avoir un bloc serveur écoutant sur le port 443 pour le trafic HTTPS.
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name your_domain.com www.your_domain.com;
ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;
# Inclure les paramètres SSL recommandés
include /etc/nginx/snippets/ssl-params.conf;
# ... autres configurations (root, blocs location, etc.)
}
server {
listen 80;
listen [::]:80;
server_name your_domain.com www.your_domain.com;
# Redirection HTTP vers HTTPS
return 301 https://$host$request_uri;
}
1.2.1 Paramètres SSL pour une sécurité renforcée
Pour renforcer davantage votre configuration SSL, il est crucial de définir des paramètres SSL robustes. Vous pouvez créer un fichier séparé (par exemple, /etc/nginx/snippets/ssl-params.conf) pour ces paramètres.
# /etc/nginx/snippets/ssl-params.conf
# Préférer les chiffrements et protocoles forts
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
# Activer HSTS (HTTP Strict Transport Security)
# Ajouter includeSubDomains si applicable
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
# Activer OCSP Stapling pour des vérifications de certificat plus rapides
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Paramètres Diffie-Hellman (générer un paramètre fort si nécessaire)
# ssl_dhparam /etc/nginx/ssl/dhparams.pem;
# Mise en cache de session
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
- Astuce : Utilisez des outils en ligne comme SSL Labs' SSL Test pour analyser votre configuration SSL/TLS et identifier les domaines à améliorer.
- Avertissement : Évitez les protocoles obsolètes comme SSLv3 et TLSv1.0/1.1, car ils présentent des vulnérabilités connues.
2. Mettre en œuvre la limitation de débit (Rate Limiting)
La limitation de débit est une technique cruciale pour protéger votre serveur contre les attaques par force brute, les attaques par déni de service (DoS) et pour empêcher les utilisateurs individuels de submerger vos ressources.
2.1 Exemple de limitation de débit de base
Nginx fournit les directives limit_req_zone et limit_req à cette fin. limit_req_zone définit une zone de mémoire partagée qui stocke l'état des requêtes, et limit_req applique ces limites à des emplacements spécifiques.
http {
# Définir une zone de limitation de débit pour les adresses IP
# 'burst=10' permet de mettre jusqu'à 10 requêtes en file d'attente si le débit est dépassé
# 'nodelay' signifie que les requêtes dépassant le débit sont rejetées immédiatement
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;
server {
# ...
location /login {
limit_req zone=mylimit burst=10 nodelay;
# ... configuration de votre gestionnaire de connexion
}
location / {
limit_req zone=mylimit burst=20 nodelay;
# ... configuration de votre site principal
}
}
}
Dans cet exemple :
* $binary_remote_addr utilise l'adresse IP du client comme clé pour la limitation de débit.
* zone=mylimit:10m définit une zone de mémoire partagée nommée mylimit avec une taille de 10 Mo.
* rate=5r/s définit le débit moyen maximal à 5 requêtes par seconde.
* burst=10 autorise une rafale de 10 requêtes avant d'appliquer la limite de débit.
* nodelay garantit que les requêtes excédentaires sont rejetées immédiatement plutôt que d'être retardées.
- Astuce : Appliquez des limites de débit plus agressives aux zones sensibles comme les pages de connexion ou les points de terminaison d'API.
- Avertissement : Des limites de débit configurées incorrectement peuvent bloquer par inadvertance des utilisateurs légitimes. Testez minutieusement.
3. Prévenir les attaques courantes
Nginx peut être configuré pour atténuer diverses attaques Web courantes.
3.1 Se protéger contre le Cross-Site Scripting (XSS) et l'injection SQL
Bien que Nginx ne soit pas un pare-feu d'applications Web (WAF), il peut filtrer les requêtes malveillantes basées sur des modèles. Vous pouvez utiliser des modules comme ngx_http_security_headers_module et des blocs location personnalisés.
3.1.1 En-têtes de sécurité
L'injection d'en-têtes de sécurité aide à protéger vos utilisateurs contre les attaques courantes. Ajoutez-les à votre configuration de serveur :
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "strict-origin-when-cross-origin";
3.1.2 Blocage des motifs malveillants
Pour un filtrage plus avancé, vous pouvez utiliser map pour bloquer les requêtes contenant des motifs suspects. Ceci est un exemple de base et ne remplace pas un WAF dédié.
http {
# Définir une carte pour bloquer les mauvais bots/scanners
map $http_user_agent $bad_bot {
default 0;
"~*malicious_bot_pattern" 1;
"~*another_suspicious_agent" 1;
}
server {
# ...
if ($bad_bot) {
return 403;
}
# ...
}
}
3.2 Protection contre la traversée de répertoire (Directory Traversal)
Empêchez les utilisateurs d'accéder à des fichiers en dehors de la racine Web en configurant soigneusement vos blocs location et en désactivant l'indexation des répertoires si cela n'est pas nécessaire.
location / {
root /var/www/html;
index index.html index.htm;
try_files $uri $uri/ =404;
autoindex off; # Désactiver l'indexation des répertoires
}
# Exemple de restriction de l'accès aux fichiers sensibles
location ~ /\.ht {
deny all;
}
3.3 Masquer la version Nginx
Il est de bonne pratique de masquer le numéro de version de Nginx, car les attaquants peuvent exploiter des vulnérabilités connues associées à des versions spécifiques.
http {
server_tokens off;
# ...
}
Cette directive supprime la version du serveur des pages d'erreur et de l'en-tête de réponse HTTP Server.
3.4 Limiter les méthodes HTTP
Si votre application n'a pas besoin de certaines méthodes HTTP (telles que PUT, DELETE, OPTIONS), vous pouvez les désactiver pour réduire la surface d'attaque.
location /api/ {
# Autoriser uniquement GET et POST
if ($request_method !~ ^(GET|POST)$) {
return 405;
}
# ...
}
4. Maintenir Nginx à jour
Des vulnérabilités logicielles sont constamment découvertes. Mettre à jour régulièrement Nginx vers la dernière version stable est l'un des moyens les plus efficaces de corriger les failles de sécurité connues.
4.1 Comment mettre à jour
Utilisez le gestionnaire de paquets de votre système d'exploitation pour mettre à jour Nginx.
Pour Debian/Ubuntu :
sudo apt update
sudo apt upgrade nginx
Pour CentOS/RHEL :
sudo yum update nginx
- Astuce : Abonnez-vous aux avis de sécurité Nginx ou aux annonces de sécurité de votre distribution pour rester informé des mises à jour critiques.
- Avertissement : Sauvegardez toujours vos fichiers de configuration avant d'effectuer des mises à jour importantes.
5. Considérations de sécurité supplémentaires
- Configuration du pare-feu : Assurez-vous que le pare-feu de votre serveur (par exemple,
ufw,firewalld) n'autorise le trafic que sur les ports nécessaires (généralement 80 et 443). - Contrôle d'accès : Implémentez des listes de contrôle d'accès (ACL) pour restreindre l'accès aux zones sensibles de votre site.
- Surveillance des journaux : Examinez régulièrement les journaux d'accès et d'erreurs de Nginx à la recherche d'activités suspectes.
- Fail2ban : Envisagez d'utiliser des outils comme
fail2banpour bloquer automatiquement les adresses IP présentant un comportement malveillant, comme des tentatives de connexion infructueuses répétées.
Conclusion
Sécuriser votre serveur Web Nginx est un processus continu qui implique une combinaison de configuration appropriée, de mises à jour régulières et de vigilance. En mettant en œuvre les bonnes pratiques décrites dans cet article – sécuriser SSL/TLS, employer la limitation de débit, atténuer les attaques courantes et maintenir un logiciel à jour – vous pouvez renforcer considérablement la posture de sécurité de votre serveur et protéger vos applications Web contre la grande majorité des menaces.
Continuez à rechercher et à adapter vos mesures de sécurité à mesure que de nouvelles menaces et de nouvelles bonnes pratiques émergent dans le paysage en constante évolution de la cybersécurité.