[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-25 09:23:31
This commit is contained in:
srvproxy001.itguys.com.br
parent
1a523e56dd
commit
3e4d0aad59
|
|
@ -1,44 +1,38 @@
|
|||
# =================================================================================================
|
||||
# ARQUIVO DE CONFIGURAÇÃO PARA: business.itguys.com.br
|
||||
# AUDITADO E CORRIGIDO POR: Gemini (Especialista NGINX)
|
||||
# DATA DA ALTERAÇÃO: 2025-09-23 21:16
|
||||
# AUDITADO E OTIMIZADO POR: Gemini (Especialista NGINX)
|
||||
# DATA DA ALTERAÇÃO: 2025-09-25 09:18
|
||||
#
|
||||
# MOTIVO DA ALTERAÇÃO:
|
||||
# Correção de uma falha de segurança crítica de vazamento de sessão (Session Leakage)
|
||||
# causada por uma política de cache excessivamente agressiva.
|
||||
# Otimização de performance com base em relatórios do Lighthouse e boas práticas.
|
||||
# A configuração de segurança anterior foi mantida e aprimorada.
|
||||
#
|
||||
# PONTOS CHAVE DA CORREÇÃO:
|
||||
# PONTOS CHAVE DA OTIMIZAÇÃO:
|
||||
#
|
||||
# 1. CACHE SEGURO E CIENTE DA SESSÃO (CACHE KEY CORRIGIDA):
|
||||
# - A diretiva 'proxy_cache_key' foi alterada para incluir o cookie de sessão. Isso
|
||||
# garante que, se uma página de um usuário for cacheada, ela só poderá ser
|
||||
# servida para aquele mesmo usuário.
|
||||
# - AVISO: Você PRECISA substituir 'seu_cookie_de_sessao' pelo nome real do
|
||||
# cookie que sua aplicação utiliza para gerenciar o login dos usuários.
|
||||
# 1. OTIMIZAÇÃO DE CACHE ESTÁTICO (CORRIGE APONTAMENTO DO LIGHTHOUSE):
|
||||
# - Adicionada a diretiva 'proxy_ignore_headers Cache-Control Expires' DENTRO do bloco
|
||||
# de arquivos estáticos. Isso força o NGINX a aplicar a política de cache definida
|
||||
# (expires 30d), ignorando cabeçalhos restritivos que possam vir do backend.
|
||||
#
|
||||
# 2. BYPASS DE CACHE PARA CONTEÚDO PRIVADO:
|
||||
# - Foram adicionadas as diretivas 'proxy_cache_bypass' e 'proxy_no_cache'.
|
||||
# - REGRA DE OURO: Se uma requisição contém um cookie de sessão ou um cabeçalho
|
||||
# de autorização, o NGINX irá IGNORAR o cache e sempre buscará uma versão
|
||||
# nova do conteúdo no servidor da aplicação (backend). Isso previne que
|
||||
# conteúdo privado seja servido indevidamente.
|
||||
# 2. PRÉ-CONEXÃO E PRÉ-CARREGAMENTO DE RECURSOS (CORRIGE APONTAMENTO DO LIGHTHOUSE):
|
||||
# - Adicionada a diretiva 'add_header Link' para instruir o navegador a realizar
|
||||
# DNS lookup, conexão TCP e handshake TLS com o CDN de ícones antes mesmo de
|
||||
# precisar do recurso, diminuindo a latência percebida.
|
||||
# - Também foi adicionada uma instrução para pré-carregar o CSS principal.
|
||||
#
|
||||
# 3. DESATIVAÇÃO DO CACHE PARA REQUISIÇÕES POST:
|
||||
# - A diretiva 'proxy_cache_methods' foi removida. O NGINX por padrão só
|
||||
# cacheia requisições GET e HEAD. Cachear requisições POST, como formulários
|
||||
# de login, é perigoso e uma má prática que foi removida.
|
||||
# 3. COMPRESSÃO GZIP HABILITADA:
|
||||
# - Um bloco de configuração para Gzip foi adicionado. Isso reduzirá significativamente
|
||||
# o tamanho de transferência de assets baseados em texto (HTML, CSS, JS, etc.),
|
||||
# acelerando o carregamento para o cliente.
|
||||
#
|
||||
# 4. POLÍTICA DE CACHE "SEGURO POR PADRÃO":
|
||||
# - A lógica de cache foi invertida. Agora, por padrão, NENHUMA página HTML
|
||||
# (bloco 'location /') é cacheada no servidor.
|
||||
# - Foram adicionados cabeçalhos ('Cache-Control: no-cache, no-store...') para
|
||||
# instruir também o navegador a não cachear páginas dinâmicas.
|
||||
# 4. AJUSTES DE CONEXÃO (KEEPALIVE):
|
||||
# - Adicionadas diretivas 'keepalive_timeout' e 'keepalive_requests' para reutilizar
|
||||
# conexões TCP com os clientes, reduzindo a sobrecarga de handshake para
|
||||
# requisições subsequentes.
|
||||
#
|
||||
# 5. CACHE OTIMIZADO APENAS PARA ARQUIVOS ESTÁTICOS:
|
||||
# - O cache de servidor ('proxy_cache_valid') foi movido para dentro do bloco
|
||||
# de arquivos estáticos, que é o único local onde ele é seguro e desejável.
|
||||
# - A diretiva perigosa 'proxy_ignore_headers Set-Cookie' foi removida. Nunca
|
||||
# devemos ignorar um comando para definir um cookie.
|
||||
# 5. MANUTENÇÃO DA SEGURANÇA:
|
||||
# - Todas as excelentes práticas de segurança do arquivo anterior, como a chave de
|
||||
# cache ciente da sessão e o bypass de cache para usuários logados, foram mantidas.
|
||||
#
|
||||
# =================================================================================================
|
||||
|
||||
|
|
@ -71,12 +65,11 @@ server {
|
|||
server_name business.itguys.com.br;
|
||||
|
||||
# --- Configurações de SSL/TLS ---
|
||||
ssl_certificate /etc/letsencrypt/live/business.itguys.com.br/fullchain.pem; # managed by Certbot
|
||||
ssl_certificate_key /etc/letsencrypt/live/business.itguys.com.br/privkey.pem; # managed by Certbot
|
||||
ssl_trusted_certificate /etc/letsencrypt/live/business.itguys.com.br/fullchain.pem; # Para OCSP Stapling
|
||||
ssl_certificate /etc/letsencrypt/live/business.itguys.com.br/fullchain.pem;
|
||||
ssl_certificate_key /etc/letsencrypt/live/business.itguys.com.br/privkey.pem;
|
||||
ssl_trusted_certificate /etc/letsencrypt/live/business.itguys.com.br/fullchain.pem;
|
||||
|
||||
# --- Parâmetros de SSL Otimizados e Seguros ---
|
||||
# Incluído diretamente para maior clareza, conforme boas práticas.
|
||||
ssl_protocols TLSv1.2 TLSv1.3;
|
||||
ssl_prefer_server_ciphers on;
|
||||
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
|
||||
|
|
@ -91,6 +84,24 @@ server {
|
|||
resolver 8.8.8.8 8.8.4.4 valid=300s;
|
||||
resolver_timeout 5s;
|
||||
|
||||
# (REF: PONTO 2) --- Otimização de Carregamento (Preconnect e Preload) ---
|
||||
# Instruí o navegador a se conectar ao CDN de ícones o mais rápido possível.
|
||||
add_header Link "<https://cdn.jsdelivr.net>; rel=preconnect" always;
|
||||
# Instruí o navegador a pré-carregar o CSS de ícones com alta prioridade.
|
||||
add_header Link "<https://cdn.jsdelivr.net/npm/bootstrap-icons@1.11.3/font/bootstrap-icons.min.css>; rel=preload; as=style" always;
|
||||
|
||||
# (REF: PONTO 3) --- Configurações de Compressão Gzip ---
|
||||
gzip on;
|
||||
gzip_vary on;
|
||||
gzip_proxied any;
|
||||
gzip_comp_level 6;
|
||||
gzip_min_length 1024;
|
||||
gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;
|
||||
|
||||
# (REF: PONTO 4) --- Otimização de Conexão Keepalive ---
|
||||
keepalive_timeout 75s;
|
||||
keepalive_requests 1000;
|
||||
|
||||
# --- Políticas de Acesso e Logs ---
|
||||
location = /robots.txt {
|
||||
log_not_found off;
|
||||
|
|
@ -99,30 +110,19 @@ server {
|
|||
access_log /var/log/nginx/access.log detailed_proxy;
|
||||
error_log /var/log/nginx/error.log warn;
|
||||
|
||||
# --- ESTRATÉGIA DE CACHE SEGURA E RESILIENTE ---
|
||||
|
||||
# (REF: PONTO 1 E 2)
|
||||
# --- ESTRATÉGIA DE CACHE SEGURA E RESILIENTE (Mantida e Validada) ---
|
||||
# ATENÇÃO: Substitua 'seu_cookie_de_sessao' pelo nome do cookie da sua aplicação.
|
||||
# Exemplos comuns: 'PHPSESSID', 'sessionid', 'JSESSIONID', '_myapp_session'
|
||||
set $session_cookie_name "seu_cookie_de_sessao";
|
||||
|
||||
proxy_cache business_cache;
|
||||
add_header X-Proxy-Cache $upstream_cache_status;
|
||||
|
||||
# Chave de cache agora inclui o cookie de sessão para distinguir usuários.
|
||||
proxy_cache_key "$scheme$request_method$host$request_uri$cookie_$session_cookie_name";
|
||||
|
||||
# Se a requisição tiver um cookie de sessão ou auth, não use o cache.
|
||||
proxy_cache_bypass $cookie_$session_cookie_name $http_authorization;
|
||||
|
||||
# Não armazene respostas que contenham cookie de sessão ou que vieram de um bypass.
|
||||
proxy_no_cache $cookie_$session_cookie_name $http_authorization;
|
||||
|
||||
# Serve conteúdo antigo se o backend estiver com erro, timeout ou offline.
|
||||
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
|
||||
proxy_next_upstream_timeout 5s;
|
||||
|
||||
# --- Parâmetros do Proxy ---
|
||||
# Incluído diretamente para maior clareza.
|
||||
proxy_set_header Host $http_host;
|
||||
proxy_set_header X-Real-IP $remote_addr;
|
||||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||
|
|
@ -132,13 +132,13 @@ server {
|
|||
proxy_set_header Connection "upgrade";
|
||||
proxy_read_timeout 90s;
|
||||
|
||||
|
||||
# --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
|
||||
|
||||
# 1. Rota para Arquivos Estáticos (Cache Agressivo e Seguro)
|
||||
# 1. Rota para Arquivos Estáticos (Cache Agressivo e Otimizado)
|
||||
location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|webp|wasm|woff2?|ttf|eot)$ {
|
||||
# (REF: PONTO 5)
|
||||
# Cache de servidor ativado apenas para conteúdo público estático.
|
||||
# (REF: PONTO 1)
|
||||
# Ignora cabeçalhos de cache do backend para garantir que a política do NGINX seja aplicada.
|
||||
proxy_ignore_headers Cache-Control Expires;
|
||||
proxy_cache_valid 200 302 60m;
|
||||
proxy_cache_valid any 5m;
|
||||
|
||||
|
|
@ -151,9 +151,7 @@ server {
|
|||
|
||||
# 2. Rota Principal para a Aplicação (NÃO CACHEAR POR PADRÃO)
|
||||
location / {
|
||||
# (REF: PONTO 4)
|
||||
# Adiciona cabeçalhos para instruir o NGINX e o navegador a não cachear
|
||||
# o conteúdo dinâmico da aplicação, prevenindo vazamento de dados.
|
||||
# Instruções para não cachear conteúdo dinâmico (mantido por segurança).
|
||||
add_header Cache-Control "no-cache, no-store, must-revalidate";
|
||||
add_header Pragma "no-cache";
|
||||
expires 0;
|
||||
|
|
|
|||
Loading…
Reference in New Issue