Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Melhores Práticas de Segurança do Nginx: Proteja Seu Servidor Web

Proteja seu servidor web Nginx com as melhores práticas de segurança essenciais. Este guia abrange a proteção de conexões SSL/TLS, a implementação de limitação de taxa eficaz para prevenir abusos, a mitigação de ataques web comuns como XSS e injeção de SQL, e a importância crítica de manter o Nginx atualizado. Aprenda etapas acionáveis e exemplos de configuração para aumentar a segurança do seu servidor e proteger sua presença online.

62 visualizações

Melhores Práticas de Segurança do Nginx: Proteja Seu Servidor Web

Na paisagem digital atual, a segurança do seu servidor web é primordial. O Nginx, um servidor web e proxy reverso de alto desempenho, é uma escolha popular para muitas aplicações. No entanto, como qualquer software, ele requer configuração e manutenção diligentes para protegê-lo contra várias ameaças. Este artigo descreve as melhores práticas essenciais de segurança do Nginx, cobrindo configuração de SSL/TLS, limitação de taxa, prevenção de ataques comuns e a importância de manter sua instalação do Nginx atualizada.

Implementar estas medidas aumentará significativamente a resiliência do seu servidor Nginx, protegendo seus dados, seus usuários e sua reputação.

1. Proteja Suas Conexões com SSL/TLS

SSL/TLS (Secure Sockets Layer/Transport Layer Security) é fundamental para criptografar a comunicação entre seu servidor e os clientes, prevenindo escutas e ataques man-in-the-middle. Configurar o SSL/TLS corretamente é a pedra angular da segurança do servidor web.

1.1 Obtenha e Instale um Certificado SSL

Primeiro, você precisa de um certificado SSL. Você pode obter um de uma Autoridade Certificadora (CA) confiável como Let's Encrypt (que oferece certificados gratuitos), Comodo, DigiCert ou outras. Após a obtenção, você geralmente receberá arquivos de certificado (ex: your_domain.crt, private.key, e potenciais certificados intermediários).

1.2 Configure o Nginx para SSL/TLS

Edite o arquivo de configuração do seu bloco de servidor Nginx (frequentemente localizado em /etc/nginx/sites-available/ ou /etc/nginx/conf.d/). Certifique-se de ter um bloco de servidor escutando na porta 443 para tráfego HTTPS.

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    # Incluir parâmetros SSL recomendados
    include /etc/nginx/snippets/ssl-params.conf;

    # ... outras configurações (root, blocos location, etc.)
}

server {
    listen 80;
    listen [::]:80;
    server_name your_domain.com www.your_domain.com;

    # Redirecionar HTTP para HTTPS
    return 301 https://$host$request_uri;
}

1.2.1 Parâmetros SSL para Segurança Aprimorada

Para fortalecer ainda mais sua configuração SSL, é crucial definir parâmetros SSL robustos. Você pode criar um arquivo separado (ex: /etc/nginx/snippets/ssl-params.conf) para essas configurações.

# /etc/nginx/snippets/ssl-params.conf

# Preferir cifras e protocolos fortes
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

# Ativar HSTS (HTTP Strict Transport Security)
# Adicione includeSubDomains se aplicável
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

# Ativar OCSP Stapling para verificações de certificado mais rápidas
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

# Parâmetros Diffie-Hellman (gere um forte se necessário)
# ssl_dhparam /etc/nginx/ssl/dhparams.pem;

# Cache de Sessão
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
  • Dica: Use ferramentas online como o SSL Test do SSL Labs para analisar sua configuração SSL/TLS e identificar áreas para melhoria.
  • Aviso: Evite protocolos desatualizados como SSLv3 e TLSv1.0/1.1, pois eles possuem vulnerabilidades conhecidas.

2. Implemente a Limitação de Taxa (Rate Limiting)

A limitação de taxa é uma técnica crucial para proteger seu servidor contra ataques de força bruta, ataques de negação de serviço (DoS) e para impedir que usuários individuais sobrecarreguem seus recursos.

2.1 Exemplo Básico de Limitação de Taxa

O Nginx fornece as diretivas limit_req_zone e limit_req para este propósito. limit_req_zone define uma zona de memória compartilhada que armazena o estado das requisições, e limit_req aplica esses limites a locais específicos.

http {
    # Definir uma zona de limitação de taxa para endereços IP
    # 'burst=10' permite que até 10 requisições sejam enfileiradas se a taxa for excedida
    # 'nodelay' significa que requisições que excedem a taxa são rejeitadas imediatamente
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        # ...

        location /login {
            limit_req zone=mylimit burst=10 nodelay;
            # ... sua configuração de manipulação de login
        }

        location / {
            limit_req zone=mylimit burst=20 nodelay;
            # ... sua configuração do site principal
        }
    }
}

Neste exemplo:
* $binary_remote_addr usa o endereço IP do cliente como chave para a limitação de taxa.
* zone=mylimit:10m define uma zona de memória compartilhada chamada mylimit com um tamanho de 10MB.
* rate=5r/s define a taxa média máxima para 5 requisições por segundo.
* burst=10 permite um pico (burst) de 10 requisições antes de aplicar o limite de taxa.
* nodelay garante que requisições em excesso sejam rejeitadas imediatamente, em vez de serem atrasadas.

  • Dica: Aplique limites de taxa mais agressivos a áreas sensíveis como páginas de login ou endpoints de API.
  • Aviso: Limites de taxa configurados incorretamente podem bloquear inadvertidamente usuários legítimos. Teste completamente.

3. Prevenção de Ataques Comuns

O Nginx pode ser configurado para mitigar vários ataques web comuns.

3.1 Proteja Contra Cross-Site Scripting (XSS) e Injeção de SQL

Embora o Nginx não seja um firewall de aplicação web (WAF), ele pode filtrar requisições maliciosas com base em padrões. Você pode usar módulos como ngx_http_security_headers_module e blocos location personalizados.

3.1.1 Cabeçalhos de Segurança

A injeção de cabeçalhos de segurança ajuda a proteger seus usuários contra ataques comuns. Adicione estes à sua configuração de servidor:

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "strict-origin-when-cross-origin";

3.1.2 Bloqueio de Padrões Maliciosos

Para filtragem mais avançada, você pode usar map para bloquear requisições contendo padrões suspeitos. Este é um exemplo básico e não substitui um WAF dedicado.

http {
    # Definir um mapa para bloquear bots/scanners maliciosos
    map $http_user_agent $bad_bot {
        default 0;
        "~*malicious_bot_pattern" 1;
        "~*another_suspicious_agent" 1;
    }

    server {
        # ...
        if ($bad_bot) {
            return 403;
        }
        # ...
    }
}

3.2 Proteja Contra a Travessia de Diretórios (Directory Traversal)

Impeça que usuários acessem arquivos fora da raiz web configurando cuidadosamente seus blocos location e desativando a listagem de diretórios, se não for necessário.

location / {
    root /var/www/html;
    index index.html index.htm;
    try_files $uri $uri/ =404;
    autoindex off; # Desativar listagem de diretórios
}

# Exemplo de restrição de acesso a arquivos sensíveis
location ~ /\.ht {
    deny all;
}

3.3 Oculte a Versão do Nginx

É uma boa prática ocultar o número da versão do Nginx, pois os invasores podem explorar vulnerabilidades conhecidas associadas a versões específicas.

http {
    server_tokens off;
    # ...
}

Esta diretiva remove o número da versão do servidor de páginas de erro e do cabeçalho de resposta HTTP Server.

3.4 Limite os Métodos HTTP

Se sua aplicação não requer certos métodos HTTP (como PUT, DELETE, OPTIONS), você pode desativá-los para reduzir a superfície de ataque.

location /api/ {
    # Permitir apenas GET e POST
    if ($request_method !~ ^(GET|POST)$) {
        return 405;
    }
    # ...
}

4. Mantenha o Nginx Atualizado

Vulnerabilidades de software são constantemente descobertas. Atualizar regularmente o Nginx para a versão estável mais recente é uma das maneiras mais eficazes de corrigir falhas de segurança conhecidas.

4.1 Como Atualizar

Use o gerenciador de pacotes do seu sistema operacional para atualizar o Nginx.

Para Debian/Ubuntu:

sudo apt update
sudo apt upgrade nginx

Para CentOS/RHEL:

sudo yum update nginx
  • Dica: Assine os avisos de segurança do Nginx ou os anúncios de segurança da sua distribuição para se manter informado sobre atualizações críticas.
  • Aviso: Sempre faça backup dos seus arquivos de configuração antes de realizar atualizações significativas.

5. Considerações Adicionais de Segurança

  • Configuração do Firewall: Garanta que o firewall do seu servidor (ex: ufw, firewalld) permita tráfego apenas nas portas necessárias (tipicamente 80 e 443).
  • Controle de Acesso: Implemente listas de controle de acesso (ACLs) para restringir o acesso a áreas sensíveis do seu site.
  • Monitoramento de Logs: Revise regularmente os logs de acesso e erro do Nginx em busca de atividade suspeita.
  • Fail2ban: Considere usar ferramentas como fail2ban para bloquear automaticamente endereços IP que exibem comportamento malicioso, como tentativas repetidas de login malsucedidas.

Conclusão

Proteger seu servidor web Nginx é um processo contínuo que envolve uma combinação de configuração adequada, atualizações regulares e vigilância. Ao implementar as melhores práticas delineadas neste artigo – proteger SSL/TLS, empregar limitação de taxa, mitigar ataques comuns e manter o software atualizado – você pode fortalecer significativamente a postura de segurança do seu servidor e proteger suas aplicações web contra a grande maioria das ameaças.

Continue pesquisando e adaptando suas medidas de segurança à medida que novas ameaças e melhores práticas emergem no cenário em constante evolução da cibersegurança.