Nginx

De Hacklab La Paz - r00thouse
Revisión del 16:24 18 abr 2016 de Looper (discusión | contribs.) (Mejoras y correcciones de bugs menores :v)

En esta página de la wiki se detalla un ejemplo de óptima instalación del servidor web nginx.

Características de esta configuración en particular

  • Soporte dual-stack completo (IPv4+IPv6)
  • SSL/TLS (optimizado) para mayor seguridad
  • Parámetros por defecto para ahorrar código
  • No necesitamos activar cgi_pathinfo en PHP
  • Caché en memoria RAM para PHP-FPM

Por hacer

  • Separar aún más todo en snippets (ej. PHP5 y PHP7)
  • Agregar soporte a negociaciones TLS con claves ECDSA (actualmente sólo RSA)

Instalación

Para Debian/Ubuntu, sigue las instrucciones en la página oficial de nginx para instalar la última versión mainline.

Para ahorrar tiempo, puedes usar scripts como Gotdeb para automatizar la instalación. También soporta el repositorio de Dotdeb si planeas usar PHP 7.

Configuración

En los repositorios de Debian, nginx viene con la configuración dividida: sites-available y sites-enabled. En este caso, utilizaremos la configuración de nginx upstream (sólo conf.d).

Configuración principal

/etc/nginx/nginx.conf

user www-data;
worker_processes  auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    client_body_buffer_size 10K;  
    client_header_buffer_size 1k;  
    client_max_body_size 1m; # modificar luego para webs con subida de archivos
    large_client_header_buffers 2 1k;

    # Parámetros por defecto para el SSL/TLS para no repetir todo luego
    ssl_dhparam "/etc/nginx/dh-params.pem"; # sudo openssl dhparam -out /etc/nginx/dh-params.pem 2048
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 74.82.42.42 valid=300s;
    resolver_timeout 5s;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
 
    # Crear zona de riesgo (aún no la usamos): máximo 2 peticiones por segundo
    # Para proteger scripts PHP de login, etc
    limit_req_zone $binary_remote_addr zone=one:15m rate=2r/s;

    access_log off;
    #access_log  /var/log/nginx/access.log  main;
 
    gzip on;
    gzip_comp_level 4;
    gzip_vary on;
    gzip_min_length 10240;
    gzip_proxied expired no-cache no-store private auth;
    gzip_types text/javascript text/plain application/x-javascript text/xml text/css application/xml;
    gzip_disable "MSIE [1-6]\.";

 
    include /etc/nginx/conf.d/*.conf;
}

/etc/nginx/fastcgi_params

Agregar estas dos líneas al archivo.

fastcgi_param  PATH_INFO          $fastcgi_path_info;
fastcgi_param  PATH_TRANSLATED    $document_root$fastcgi_path_info;

/etc/nginx/snippets/fastcgi-php.conf

Por defecto Nginx tiene asignado un tamaño pequeño a los buffers de fastcgi: si un script PHP produce salida de mayor tamaño, esta salida se cargará en archivos temporales en el disco duro. Esto último no es óptimo.

fastcgi_split_path_info ^(.+\.php)(/.+)$;
try_files $fastcgi_script_name =404;

set $path_info $fastcgi_path_info;
fastcgi_param PATH_INFO $path_info;
fastcgi_index index.php;
fastcgi_buffer_size 8k;
fastcgi_buffers 64 15k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;

Configuración de sitios web

/etc/nginx/conf.d/default.conf

En este caso, por única vez se utilizará la directiva default_server e ipv6_only. De esta manera los sitios webs añadidos no tendrán problemas en soportar IPv4 e IPv6.

server {
    # __NO__ usar este archivo como plantilla para otros archivos de conf

    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name _;

    root   /var/www/default;
    index  index.html;

    location / {
        try_files $uri $uri/ =404;
    }

    error_page 404 /index.html;
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # Sin soporte de PHP.
}
server {
    # __NO__ usar este archivo como plantilla para otros archivos de conf

    listen 443 ssl default_server;
    listen [::]:443 ssl default_server ipv6only=on;
    server_name _;

    ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem";
    ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem";

    root   /var/www/default;
    index  index.html;
    location / {
        try_files $uri $uri/ =404;
    }

    error_page 404 /index.html;
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

/etc/nginx/conf.d/algunsitio.conf (HTTPS activado y por defecto)

Para agregar más sitios web, clona este archivo (o añade más server{} en un mismo archivo).

Si tienes instalado el repositorio Dotdeb, puedes disponer de PHP 5 y PHP 7 en la misma máquina, corriendo simultáneamente. Aquí puede elegir cuál ejecutar.

Se asume que queremos que la web funcione con HTTPS, y que disponemos de certificados SSL/TLS. Si no es el caso, podemos ver el ejemplo que sigue después de éste.

server {
        listen 80;
        listen [::]:80;
        server_name la0trared.hacklab.org.bo;

        # Redireccionamos todo el tráfico HTTP al servidor HTTPS
        return 301 https://$host$request_uri;
}

server {
        listen 443 ssl http2;
        listen [::]:443 ssl http2;

        server_name la0trared.hacklab.org.bo;

        root /var/www/abcd;
        index index.php;
 
        # Aquí vienen en un sólo archivo nuestro certificado, y el certificado de la CA.
        ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem";
        ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem";

        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;  

        client_max_body_size 4M;
        client_body_buffer_size 128k;

        location / {
                try_files $uri $uri/ =404;
        }
        location ~ [^/]\.php$ {  
                include snippets/fastcgi-php.conf;  
                # Descomenta la opción preferida.
                #fastcgi_pass unix:/run/php/php7.0-fpm.sock;  
                #fastcgi_pass unix:/run/php/php5-fpm.sock;  
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;  
                fastcgi_param HTTPS on;
                include        fastcgi_params;  
}

/etc/nginx/conf.d/websimple.conf (Sólo HTTP)

CUIDADO: Un sitio web HTTPS que tiene HSTS activado no puede ser reemplazado por una versión sólo-HTTP. (ej: diaspora)

server {
        listen 80;
        listen [::]:80;
        server_name la0trared.hacklab.org.bo;

        root /var/www/abcd;
        index index.php;
 
        client_max_body_size 4M;
        client_body_buffer_size 128k;

        location / {
                try_files $uri $uri/ =404;
        }
        location ~ [^/]\.php$ {  
                include snippets/fastcgi-php.conf;  
                # Descomenta la opción preferida.
                #fastcgi_pass unix:/run/php/php7.0-fpm.sock;  
                #fastcgi_pass unix:/run/php/php5-fpm.sock;  
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;  
                fastcgi_param HTTPS on;
                include        fastcgi_params;  
}