随着互联网的不断发展，Web应用的规模和复杂性也在不断增加。Nginx作为一款高性能开源Web服务器软件，经过多年发展，已成为全球最流行的Web服务器之一，其自身的安全性尤为重要。

一、Nginx介绍

Nginx是由伊戈尔·赛索耶夫（Igor Sysoev）2002年开发的一款开源高性能Web服务器软件，他在俄罗斯第二大型门户网站和搜索引擎Rambler.ru工作时，为了解决C10K问题（即同时支持上万并发连接），使用C语言开发了Nginx，使她天生具有轻量级和高并发等特点，第一个开源版本0.1.0发布于2004年10月，其将源代码以类BSD许可证的形式发布，因她的稳定性、丰富的功能集、简单的配置文件和低系统资源消耗而闻名于世。

Nginx可以提供HTTP服务，包括处理静态文件，支持SSL(提供HTTPS访问)、GZIP(网页压缩)、虚拟主机、URL重写等功能，可搭配FastCGI程序(如PHP)处理动态请求。除此之外，Nginx还可以用于基本的代理、反向代理、负载均衡、缓存等服务器功能，在集群环境中解决网络负载、提高可用性等。其在BSD-like 协议下发行，可以在UNIX、Linux、macOS、Solaris以及Windows等多种操作系统下运行。其特点是占有内存少，并发能力强。

根据2023年11月份W3Techs公司统计的数据显示，在全球约11.3亿网站中，市场占有率排名前三的Web服务器分别是Nginx（34.2%）、Apache(30.8%)和Cloudflare Server(21.2%)，可以看到作为后起之秀的Nginx已超越了Apache。Nginx之所以能够脱颖而出，是因为它具有性能高、稳定性好、结构模块化、配置简单以及资源消耗低等优点。

二、Nginx主要功能

Nginx主要有三种应用场景：

静态资源服务

通过本地文件系统提供服务

代理服务

缓存加速、负载均衡

API服务

OpenRestry（又称：ngx_openresty）是一个基于 Nginx 的可伸缩的 Web 平台，支持 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,可以快速构造出足以胜任 C10K 以上并发连接响应的超高性能 Web 应用系统。

代理服务

首先要明确一个概念，所谓代理（Proxy）就是一个代表、一个渠道；此时就涉及到两个角色，一个是被代理角色，一个是目标角色。被代理角色通过这个代理访问目标角色完成一些任务的过程称为代理操作过程，代理（Proxy）分为正向代理和反向代理。

正向代理服务

正向代理，是最常接触到的代理模式， “它代理的是客户端（Client）”，正向代理是一个位于客户端和原始服务器（Origin Server）之间的服务器，客户端向代理发送一个请求并指定目标（原始服务器），由代理服务器将此请求转发至目标（原始服务器），并将从原始服务器取得内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理，例如必须设置正向代理服务器的 IP 地址或域名，以及代理的服务端口。

常

见

用

途

• 对客户端访问授权，上网进行认证；
• 记录用户上网行为管理；
• 对外隐藏实际用户信息。

反向代理服务

反向代理，“它代理的是服务端（Server）”，主要用于服务器集群分布式部署的情况下，即通过部署多台服务器来解决单台服务器访问人数限制的问题，从而提高服务的整体吞吐量，并且反向代理服务器可根据不同请求的特征，决定将某个请求转发至某台后端服务器，从而实现负载均衡。反向代理隐藏了服务器的信息，对外都是透明的，访问者并不知道自己访问的是一个代理服务器。常见场景如下图所示：

常

见

用

途

• 保护内网的安全，通常将公网地址配置于反向代理服务器，将 Web 服务器配置于内网，从而对外避免暴露Web服务的内网地址，提高安全性；
• 缓存加速；
• 负载均衡，通过反向代理服务器来优化网站的负载。

负载均衡

Nginx反向代理服务器接收到客户端发送的请求，并按照一定的分配规则，分发到不同的后台服务，尽可能做到各个后台服务器的负载大致相同，这种分发的过程称为负载均衡。

Nginx支持多种协议的反向代理，如HTTP、TCP和UDP等。

Nginx支持的负载均衡调度算法如下：

• 轮询策略：轮询是默认的负载均衡方法，按照上游池中服务器列表的顺序分发请求。当上游服务器的容量变化时，还可以考虑使用加权轮询。其指令名称是weight。
• 最小连接：通过将当前请求代理到打开连接数最少的上游服务器实现负载均衡。与轮询一样，在决定将连接发送到哪台服务器时，最少连接也会考虑权重。其指令名称是least_conn。
• 随机：该方法用于指示 NGINX 从组中随机选择一台服务器，同时考虑服务器的权重。随机负载均衡的指令名称是random。
• 通用哈希：管理员使用请求或运行时给定的文本、变量或两者的组合定义哈希值，NGINX 能够为当前请求生成哈希值并将其放在上游服务器上，从而在这些服务器之间分发负载。其指令名称是 hash。
• IP 哈希：此方法仅适用于 HTTP。IP 哈希算法使用客户端 IP 地址作为哈希。IP 哈希与通用哈希存在细微的不同，前者使用 IPv4 地址的前三个八进制位或整个 IPv6 地址，而后者使用的是远程变量。其指令名称是 ip_hash。
• 最短时间：该算法仅在 NGINX Plus 中提供，与最小连接算法类似，它将请求代理到当前连接数最少的上游服务器，但首选平均响应时间最短的服务器。此方法是最复杂的负载均衡算法之一，能够满足高性能 Web 应用的需求。其指令名称是least_time。

三、Nginx安全加固建议

Nginx的安全加固主要从以下两点考虑：一是Nginx服务器自身是否安全，比如是否存在安全漏洞；二是Nginx是否提供了可使用的安全功能，这部分主要是检查Nginx的配置是否得当，在安全性、可用性、稳定性之间取得平衡。

Nginx加固首先建议选择最新的稳定版本，且符合安全基线要求，在升级版本时，建议优先在测试环境测试通过后再进行升级，避免由于兼容性带来的问题。另外在安装时使用自定义的安装路径，并配置使用自定义的Web目录。此外，针对Nginx的安全特性，有如下加固建议：

01

Nginx安装及运行

为保持最大的安全性，应该按照最小授权原则分配访问权限。最小授权原则规定，在安全环境中，应该授予用户完成工作任务或工作职责所必需的最小访问权限。该原则实际应用要求对所有资源和功能进行低级别的粒度访问控制，建议使用指定的普通用户和组来运行Nginx（注意：切勿使用特权用户运行nginx，如root或Administrator用户）。

（1）以root用户创建安装Nginx所需的文件系统。

为Nginx创建独立的逻辑卷：

lvcreate -L 10G -n lv_nginx system

创建文件系统：

mkfs -t ext3 /dev/mapper/system-lv_nginx

创建安装目录，并mount文件系统

mkdir -p /nginx

mount /dev/mapper/system-lv_nginx /nginx

修改fstab，添加挂载点

echo "/dev/system/lv_nginx /nginx ext3 acl,user_xattr 1 2">>/etc/fstab

（2）以root用户创建Nginx所需用户、组

创建 nginx 组：

groupadd nginx

创建 nginx 用户并加入 nginx 组：

useradd nginx –g nginx

（3）以root用户安装Nginx

解压并安装：

cd /nginx //切换目录

tar -xzf nginx-1.24.0.tar.gz //解压

cd nginx-1.24.0 // 切换目录

./configure --prefix=/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module --with-pcre --with-zlib

//--prefix=/nginx 是安装目录 --with后跟的是模块名，按照需要进行安装

make // 编译

make install // 安装

（4）修改Nginx安装目录属组

chown -R nginx:nginx /nginx

（5）以nginx用户修改监听端口

Linux/Unix限制非特权用户不能监听1024以下的端口，而且对于一些服务，赋予过高的权限，会带来一定的风险，所以需要将默认监听端口80和443修改为大于1024的可用端口。

vi /nginx/conf/nginx.conf

server {

# regular server listening for HTTP traffic

# listen 80;

listen 8080;

}

server {

# server listening for SSL traffic on port 443;

# listen 443 ssl;

listen 8443 ssl;

}

如果使用默认端口，虽然操作系统可以使用setuid（如chmod u+s /nginx/sbin/nginx）、或使用iptables端口转发等来实现，但这些方式都会给系统带来一些

风险。当操作系统内核超过2.1版本后出现了基于能力（capability）的授权，可以给/nginx/sbin/nginx赋予监听80端口的能力

（setcap cap_net_bind_service =+eip /nginx/sbin/nginx），我们建议使用此方法。

（6）使用nginx用户启动服务

/nginx/sbin/nginx

02

通过挂载选项实现最小授权

可将Web资源部署到独立的文件系统上，并确保该文件系统挂载时使用noexec,、nodev和nosetuid选项，具体如下所示：

LABEL=/www /www ext3 defaults,nosuid,noexec,nodev 1 2

nodev 不解析文件系统中的字符设备或块设备。

noexec不允许执行被加载的文件系统中的任何二进制文件。

nosuid 不允许 set-user-identifier 或 set-group-identifier 位起作用

03

使用overlayFS实现资源读写分离

OverlayFS伪文件系统最初包含在Linux 内核3.18版本中：允许以一种对用户完全透明的方式组合两个目录树或文件系统(“上层”和“下层”)，能够访问“合并”层上的文件和目录。

Linux内核在挂载文件系统时采用的标准行为：作为挂载点目录中存在的文件和目录被屏蔽，并且对用户不可用，而挂载文件系统上存在的文件和目录被显示。只有在卸载文件系统后，才能再次访问原始文件。当我们在同一目录上挂载多个文件系统时，也会发生这种情况。相反，当使用OverlayFS伪文件系统时，不同层上存在的文件被“组合”在一起，生成的文件系统可自行挂载。

OverlayFS工作涉及两层：lower和upper。lower通常以readonly模式mount。由于不能对其上托管的文件和目录直接进行更改，因此可将其用作安全备用设置。相反，upper可以以read/write模式进行安装。存在于这两层上的文件被combine在一起，并可在merged层中进行访问，该层本身可作为标准文件系统来进行挂载。

假设网站根目录/www/html有一个目录upload是要求可读写的，其他只读即可。可通过以下操作实现：

mkdir -p /data/lower

mkdir -p /data/upper

mkdir -p /data/worker

mv /www/html/upload /data/upper/

mv /www/html/* /data/lower/

mount -t overlayfs overlay -o lower=/data/lower,upper=/data/upper,workdir=/data/worker, rw overlay /www1/html

各组成部分的详细解释如下：

mount ：Linux系统的命令，用于挂载文件系统。

-t overlay ：指定挂载的文件系统类型是overlay。

-o ：指定挂载选项，后面跟的是各种选项，用逗号分隔。

? lowerdir=${lower_dir} ：指定lower directory，也就是底层目录，这个目录的内容是只读的。

? upperdir=${upper_dir} ：指定upper directory，也就是上层目录，这个目录的内容是可读写的，所有的修改都会在这个目录中进行。

? workdir=${work_dir} ：指定工作目录，这个目录用于存储一些必要的元数据，以支持overlay文件系统的操作。这个目录必须要和upper directory在同一个文件系统下。

rw ：指定文件系统是可读写的。

overlay ：这是挂载的文件系统类型。

${merged_dir} ：这是挂载点，overlay文件系统会在这个位置被挂载，你可以在这个位置看到整个overlay文件系统的内容，也就是lower directory和upper directory合并之后的结果。

这样就完美实现了读写分离，底层目录只读，上层目录可写。

overlayfs因为特殊的机制，建议使用Linux内核4.0以上版本，否则对硬盘的inode消耗较大。