Diferencia entre revisiones de «Nginx»
(Página creada con «En esta página de la wiki se detalla un ejemplo de óptima instalación del servidor web [http://nginx.org/ nginx]. === Características de esta configuración en particu...») |
(Mejoras y correcciones de bugs menores :v) |
||
| Línea 4: | Línea 4: | ||
* Soporte dual-stack completo (IPv4+IPv6) | * Soporte dual-stack completo (IPv4+IPv6) | ||
* SSL/TLS optimizado para mayor seguridad | * SSL/TLS (optimizado) para mayor seguridad | ||
* Parámetros por defecto para ahorrar código | * Parámetros por defecto para ahorrar código | ||
* No necesitamos activar cgi_pathinfo en PHP | * No necesitamos activar cgi_pathinfo en PHP | ||
* Caché en memoria RAM para PHP-FPM | |||
=== Por hacer === | === Por hacer === | ||
* Separar aún más todo en snippets (ej. PHP5 y PHP7) | * Separar aún más todo en snippets (ej. PHP5 y PHP7) | ||
* Agregar soporte a negociaciones TLS con claves ECDSA (actualmente sólo RSA) | * Agregar soporte a negociaciones TLS con claves ECDSA (actualmente sólo RSA) | ||
| Línea 46: | Línea 46: | ||
include /etc/nginx/mime.types; | include /etc/nginx/mime.types; | ||
default_type application/octet-stream; | default_type application/octet-stream; | ||
client_body_buffer_size 10K; | |||
client_header_buffer_size 1k; | |||
client_max_body_size 1m; # modificar luego para webs con subida de archivos | |||
large_client_header_buffers 2 1k; | |||
# Parámetros por defecto para el SSL/TLS para no repetir todo luego | # Parámetros por defecto para el SSL/TLS para no repetir todo luego | ||
ssl_dhparam "/etc/nginx/dh- | ssl_dhparam "/etc/nginx/dh-params.pem"; # sudo openssl dhparam -out /etc/nginx/dh-params.pem 2048 | ||
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; | ssl_protocols TLSv1 TLSv1.1 TLSv1.2; | ||
ssl_prefer_server_ciphers on; | ssl_prefer_server_ciphers on; | ||
| Línea 55: | Línea 61: | ||
ssl_stapling on; | ssl_stapling on; | ||
ssl_stapling_verify on; | ssl_stapling_verify on; | ||
resolver | resolver 74.82.42.42 valid=300s; | ||
resolver_timeout 5s; | resolver_timeout 5s; | ||
log_format main '$remote_addr - $remote_user [$time_local] "$request" ' | log_format main '$remote_addr - $remote_user [$time_local] "$request" ' | ||
| Línea 64: | Línea 70: | ||
# Para proteger scripts PHP de login, etc | # Para proteger scripts PHP de login, etc | ||
limit_req_zone $binary_remote_addr zone=one:15m rate=2r/s; | limit_req_zone $binary_remote_addr zone=one:15m rate=2r/s; | ||
access_log /var/log/nginx/access.log main; | access_log off; | ||
#access_log /var/log/nginx/access.log main; | |||
gzip on; | gzip on; | ||
gzip_disable " | gzip_comp_level 4; | ||
gzip_vary on; | |||
gzip_min_length 10240; | |||
gzip_proxied expired no-cache no-store private auth; | |||
gzip_types text/javascript text/plain application/x-javascript text/xml text/css application/xml; | |||
gzip_disable "MSIE [1-6]\."; | |||
include /etc/nginx/conf.d/*.conf; | include /etc/nginx/conf.d/*.conf; | ||
| Línea 84: | Línea 97: | ||
=== /etc/nginx/snippets/fastcgi-php.conf === | === /etc/nginx/snippets/fastcgi-php.conf === | ||
Por defecto Nginx tiene asignado un tamaño pequeño a los buffers de fastcgi: si un script PHP produce salida de mayor tamaño, esta salida se cargará en archivos temporales en el disco duro. Esto último no es óptimo. | |||
<pre> | <pre> | ||
| Línea 92: | Línea 107: | ||
fastcgi_param PATH_INFO $path_info; | fastcgi_param PATH_INFO $path_info; | ||
fastcgi_index index.php; | fastcgi_index index.php; | ||
fastcgi_buffer_size 8k; | |||
fastcgi_buffers 64 15k; | |||
fastcgi_busy_buffers_size 256k; | |||
fastcgi_temp_file_write_size 256k; | |||
</pre> | </pre> | ||
| Línea 107: | Línea 127: | ||
listen [::]:80 default_server ipv6only=on; | listen [::]:80 default_server ipv6only=on; | ||
server_name _; | server_name _; | ||
root /var/www/default; | root /var/www/default; | ||
| Línea 117: | Línea 135: | ||
} | } | ||
error_page 404 /index.html; | |||
error_page 500 502 503 504 /50x.html; | error_page 500 502 503 504 /50x.html; | ||
location = /50x.html { | location = /50x.html { | ||
| Línea 124: | Línea 143: | ||
# Sin soporte de PHP. | # Sin soporte de PHP. | ||
} | } | ||
server { | |||
# __NO__ usar este archivo como plantilla para otros archivos de conf | |||
listen 443 ssl default_server; | |||
listen [::]:443 ssl default_server ipv6only=on; | |||
server_name _; | |||
ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem"; | |||
ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem"; | |||
root /var/www/default; | |||
index index.html; | |||
location / { | |||
try_files $uri $uri/ =404; | |||
} | |||
error_page 404 /index.html; | |||
error_page 500 502 503 504 /50x.html; | |||
location = /50x.html { | |||
root /usr/share/nginx/html; | |||
} | |||
} | |||
</pre> | </pre> | ||
=== /etc/nginx/conf.d/algunsitio.conf (HTTPS activado y por defecto) === | === /etc/nginx/conf.d/algunsitio.conf (HTTPS activado y por defecto) === | ||
Para agregar más sitios web, clona este archivo. | Para agregar más sitios web, clona este archivo (o añade más server{} en un mismo archivo). | ||
Si tienes instalado el repositorio Dotdeb, puedes disponer de PHP 5 y PHP 7 en la misma máquina, corriendo simultáneamente. Aquí puede elegir cuál ejecutar. | Si tienes instalado el repositorio Dotdeb, puedes disponer de PHP 5 y PHP 7 en la misma máquina, corriendo simultáneamente. Aquí puede elegir cuál ejecutar. | ||
| Línea 140: | Línea 182: | ||
server_name la0trared.hacklab.org.bo; | server_name la0trared.hacklab.org.bo; | ||
# | # Redireccionamos todo el tráfico HTTP al servidor HTTPS | ||
return 301 https://$host$request_uri; | |||
return 301 https:// | |||
} | } | ||
| Línea 154: | Línea 195: | ||
index index.php; | index index.php; | ||
# Aquí vienen en un sólo archivo | # Aquí vienen en un sólo archivo nuestro certificado, y el certificado de la CA. | ||
ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem"; | ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem"; | ||
ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem"; | |||
add_header X-Frame-Options DENY; | add_header X-Frame-Options DENY; | ||
add_header X-Content-Type-Options nosniff; | add_header X-Content-Type-Options nosniff; | ||
Revisión del 16:24 18 abr 2016
En esta página de la wiki se detalla un ejemplo de óptima instalación del servidor web nginx.
Características de esta configuración en particular
- Soporte dual-stack completo (IPv4+IPv6)
- SSL/TLS (optimizado) para mayor seguridad
- Parámetros por defecto para ahorrar código
- No necesitamos activar cgi_pathinfo en PHP
- Caché en memoria RAM para PHP-FPM
Por hacer
- Separar aún más todo en snippets (ej. PHP5 y PHP7)
- Agregar soporte a negociaciones TLS con claves ECDSA (actualmente sólo RSA)
Instalación
Para Debian/Ubuntu, sigue las instrucciones en la página oficial de nginx para instalar la última versión mainline.
Para ahorrar tiempo, puedes usar scripts como Gotdeb para automatizar la instalación. También soporta el repositorio de Dotdeb si planeas usar PHP 7.
Configuración
En los repositorios de Debian, nginx viene con la configuración dividida: sites-available y sites-enabled. En este caso, utilizaremos la configuración de nginx upstream (sólo conf.d).
Configuración principal
/etc/nginx/nginx.conf
user www-data;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
client_body_buffer_size 10K;
client_header_buffer_size 1k;
client_max_body_size 1m; # modificar luego para webs con subida de archivos
large_client_header_buffers 2 1k;
# Parámetros por defecto para el SSL/TLS para no repetir todo luego
ssl_dhparam "/etc/nginx/dh-params.pem"; # sudo openssl dhparam -out /etc/nginx/dh-params.pem 2048
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 74.82.42.42 valid=300s;
resolver_timeout 5s;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# Crear zona de riesgo (aún no la usamos): máximo 2 peticiones por segundo
# Para proteger scripts PHP de login, etc
limit_req_zone $binary_remote_addr zone=one:15m rate=2r/s;
access_log off;
#access_log /var/log/nginx/access.log main;
gzip on;
gzip_comp_level 4;
gzip_vary on;
gzip_min_length 10240;
gzip_proxied expired no-cache no-store private auth;
gzip_types text/javascript text/plain application/x-javascript text/xml text/css application/xml;
gzip_disable "MSIE [1-6]\.";
include /etc/nginx/conf.d/*.conf;
}
/etc/nginx/fastcgi_params
Agregar estas dos líneas al archivo.
fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
/etc/nginx/snippets/fastcgi-php.conf
Por defecto Nginx tiene asignado un tamaño pequeño a los buffers de fastcgi: si un script PHP produce salida de mayor tamaño, esta salida se cargará en archivos temporales en el disco duro. Esto último no es óptimo.
fastcgi_split_path_info ^(.+\.php)(/.+)$; try_files $fastcgi_script_name =404; set $path_info $fastcgi_path_info; fastcgi_param PATH_INFO $path_info; fastcgi_index index.php; fastcgi_buffer_size 8k; fastcgi_buffers 64 15k; fastcgi_busy_buffers_size 256k; fastcgi_temp_file_write_size 256k;
Configuración de sitios web
/etc/nginx/conf.d/default.conf
En este caso, por única vez se utilizará la directiva default_server e ipv6_only. De esta manera los sitios webs añadidos no tendrán problemas en soportar IPv4 e IPv6.
server {
# __NO__ usar este archivo como plantilla para otros archivos de conf
listen 80 default_server;
listen [::]:80 default_server ipv6only=on;
server_name _;
root /var/www/default;
index index.html;
location / {
try_files $uri $uri/ =404;
}
error_page 404 /index.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
# Sin soporte de PHP.
}
server {
# __NO__ usar este archivo como plantilla para otros archivos de conf
listen 443 ssl default_server;
listen [::]:443 ssl default_server ipv6only=on;
server_name _;
ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem";
ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem";
root /var/www/default;
index index.html;
location / {
try_files $uri $uri/ =404;
}
error_page 404 /index.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
/etc/nginx/conf.d/algunsitio.conf (HTTPS activado y por defecto)
Para agregar más sitios web, clona este archivo (o añade más server{} en un mismo archivo).
Si tienes instalado el repositorio Dotdeb, puedes disponer de PHP 5 y PHP 7 en la misma máquina, corriendo simultáneamente. Aquí puede elegir cuál ejecutar.
Se asume que queremos que la web funcione con HTTPS, y que disponemos de certificados SSL/TLS. Si no es el caso, podemos ver el ejemplo que sigue después de éste.
server {
listen 80;
listen [::]:80;
server_name la0trared.hacklab.org.bo;
# Redireccionamos todo el tráfico HTTP al servidor HTTPS
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name la0trared.hacklab.org.bo;
root /var/www/abcd;
index index.php;
# Aquí vienen en un sólo archivo nuestro certificado, y el certificado de la CA.
ssl_certificate "/etc/certs/evssl/hacklab.org.bo/fullchain.pem";
ssl_certificate_key "/etc/certs/evssl/hacklab.org.bo/privkey.pem";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
client_max_body_size 4M;
client_body_buffer_size 128k;
location / {
try_files $uri $uri/ =404;
}
location ~ [^/]\.php$ {
include snippets/fastcgi-php.conf;
# Descomenta la opción preferida.
#fastcgi_pass unix:/run/php/php7.0-fpm.sock;
#fastcgi_pass unix:/run/php/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param HTTPS on;
include fastcgi_params;
}
/etc/nginx/conf.d/websimple.conf (Sólo HTTP)
CUIDADO: Un sitio web HTTPS que tiene HSTS activado no puede ser reemplazado por una versión sólo-HTTP. (ej: diaspora)
server {
listen 80;
listen [::]:80;
server_name la0trared.hacklab.org.bo;
root /var/www/abcd;
index index.php;
client_max_body_size 4M;
client_body_buffer_size 128k;
location / {
try_files $uri $uri/ =404;
}
location ~ [^/]\.php$ {
include snippets/fastcgi-php.conf;
# Descomenta la opción preferida.
#fastcgi_pass unix:/run/php/php7.0-fpm.sock;
#fastcgi_pass unix:/run/php/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param HTTPS on;
include fastcgi_params;
}