一、引言：等保测评与Nginx服务的重要性

在网络安全等级保护（等保）2.0框架下，Linux系统作为关键基础设施的核心载体，其安全性直接关系到业务连续性和数据资产保护。Nginx作为高并发场景下的主流Web服务器和反向代理，其配置合理性直接影响系统整体安全等级。本文将围绕等保测评中Linux系统下Nginx服务的核心测评项展开，提供可落地的安全配置建议。

二、访问控制安全配置

1. 用户权限最小化原则

Nginx进程应遵循最小权限原则运行：

# 创建专用用户组
groupadd nginx
useradd -g nginx -s /sbin/nologin -M nginx
# 修改配置文件指定运行用户
vim /etc/nginx/nginx.conf
user nginx nginx;  # 替代默认的nobody

此配置可防止Nginx通过提升权限执行恶意操作，需配合SELinux或AppArmor实现强制访问控制。

2. 目录权限管控

关键目录应设置严格权限：

chown -R nginx:nginx /var/log/nginx/
chmod 750 /var/log/nginx/  # 仅允许所有者和组读写
chmod 640 /etc/nginx/nginx.conf  # 配置文件仅允许所有者修改

日志目录需防止未授权访问，配置文件应限制修改权限。

3. 网络访问控制

通过TCP Wrapper和iptables实现多层级防护：

# /etc/hosts.allow 示例
nginx: 192.168.1.0/24
# iptables规则示例
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

建议结合Nginx的allow/deny指令实现应用层过滤：

location / {
    allow 192.168.1.0/24;
    deny all;
}

三、数据保护机制

1. TLS加密配置

强制HTTPS并禁用弱加密算法：

server {
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
}

需定期更新证书并配置HSTS：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

2. 敏感信息脱敏

防止日志记录敏感数据：

log_format main '$remote_addr - $remote_user [$time_local] '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
# 修改为过滤敏感字段
log_format masked '$remote_addr - $remote_user [$time_local] '
                  '"$request" $status';

3. 文件上传防护

限制上传文件类型和大小：

client_max_body_size 10m;  # 限制上传大小
location /upload {
    if ($request_filename ~* "\.(php|asp|sh)$") {
        return 403;
    }
    # 配合后端服务进行二次验证
}

四、日志审计体系

1. 日志集中管理

配置syslog远程日志：

error_log syslog:server=192.168.1.100:514,facility=local7,tag=nginx_error;
access_log syslog:server=192.168.1.100:514,facility=local7,tag=nginx_access combined;

需配合rsyslog配置实现日志分类存储。

2. 异常访问检测

通过fail2ban过滤恶意IP：

# /etc/fail2ban/jail.d/nginx.conf
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
action = iptables-multiport[name=nginx-http-auth, port="http,https", protocol=tcp]
logpath = /var/log/nginx/error.log
maxretry = 3
findtime = 600
bantime = 86400

3. 性能日志分析

启用stub_status模块监控：

location /nginx_status {
    stub_status on;
    allow 127.0.0.1;
    deny all;
}

结合Grafana构建可视化监控面板。

五、性能优化与安全平衡

1. 并发连接控制

优化worker进程配置：

worker_processes auto;  # 根据CPU核心数自动调整
worker_rlimit_nofile 65535;  # 每个worker最大文件描述符数
events {
    worker_connections 4096;  # 单worker最大连接数
    use epoll;  # Linux高效事件模型
}

2. 缓存安全配置

防止缓存污染攻击：

proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m inactive=60m;
location / {
    proxy_cache my_cache;
    proxy_cache_key $scheme$proxy_host$request_uri;
    proxy_cache_valid 200 302 10m;
    proxy_cache_valid 404 1m;
    add_header X-Cache-Status $upstream_cache_status;
}

3. 防DDoS配置

限速模块应用示例：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    server {
        location / {
            limit_req zone=one burst=20 nodelay;
        }
    }
}

六、等保测评检查要点

1. 配置文件合规性：检查nginx.conf及包含文件权限是否为640，所有者是否为root:nginx
2. 服务监听验证：确认仅监听必要端口，使用netstat -tulnp | grep nginx检查
3. 证书有效性：通过openssl x509 -in server.crt -noout -dates验证有效期
4. 日志完整性：检查日志轮转配置/etc/logrotate.d/nginx是否包含压缩和保留策略
5. 漏洞修复情况：定期执行nginx -V 2>&1 | grep -i "with-http_ssl_module"确认模块安全性

七、持续改进机制

1. 建立配置基线库，记录每次变更的SHA256校验值
2. 每月执行nginx -t测试配置语法，lynis audit system进行系统安全扫描
3. 季度性渗透测试应包含Nginx特有漏洞（如CVE-2021-23017目录遍历漏洞）
4. 制定应急预案，包含Nginx配置回滚流程和证书密钥备份方案

通过上述系统化的安全配置，可使Nginx服务在Linux环境下满足等保三级要求中的身份鉴别、访问控制、数据完整性等核心测评项。实际实施时需结合具体业务场景调整参数，建议通过自动化配置管理工具（如Ansible）实现批量部署和一致性维护。