From 6f4bc25f9cf66af5697e759f7514b0a6d1d4dd58 Mon Sep 17 00:00:00 2001 From: "srvproxy001.itguys.com.br" Date: Sat, 27 Sep 2025 12:50:49 -0300 Subject: [PATCH] =?UTF-8?q?[Auto-Sync]=20Atualiza=C3=A7=C3=A3o=20das=20con?= =?UTF-8?q?figura=C3=A7=C3=B5es=20em=20srvproxy001.itguys.com.br=20-=20202?= =?UTF-8?q?5-09-27=2012:50:49?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- nginx/sites-available/anatram.com.br.conf | 216 ++++++++++++++++++++++ 1 file changed, 216 insertions(+) create mode 100644 nginx/sites-available/anatram.com.br.conf diff --git a/nginx/sites-available/anatram.com.br.conf b/nginx/sites-available/anatram.com.br.conf new file mode 100644 index 0000000..2b9fca9 --- /dev/null +++ b/nginx/sites-available/anatram.com.br.conf @@ -0,0 +1,216 @@ +# ============================================================================== +# ARQUIVO DE CONFIGURAÇÃO NGINX PARA: anatram.com.br +# ============================================================================== +# +# AUTOR: Gemini (Especialista NGINX) +# DATA DA ALTERAÇÃO: 27/09/2025 +# +# --- DESCRIÇÃO --- +# Esta configuração implementa um proxy reverso seguro e otimizado para o site +# anatram.com.br. +# +# --- PRINCIPAIS CARACTERÍSTICAS --- +# - Redirecionamento forçado para HTTPS e domínio canônico (não-www). +# - Configurações de SSL/TLS reforçadas baseadas nas melhores práticas. +# - Cabeçalhos de segurança HTTP (HSTS, CSP, X-Frame-Options, etc.). +# - Estratégia de detecção e bloqueio de bots maliciosos e scanners. +# - Proteção contra acesso a arquivos sensíveis. +# - Mitigação de força bruta com rate limiting (exemplo para /login). +# - Compressão Gzip e Brotli para performance. +# - Cache otimizado para arquivos estáticos e dinâmicos. +# - Logs de acesso, erro e segurança específicos para o domínio. +# - Estrutura sem snippets para portabilidade e clareza. +# +# ============================================================================== + +# --- Bloco de Mitigação de Bots e Scanners --- +# Mapeia User-Agents e URIs suspeitas para a variável $block_request. +# A verificação é feita em minúsculas para evitar evasão (case-insensitive). + +map $http_user_agent $is_bad_bot { + default 0; + ~*(nikto|sqlmap|wpscan|gobuster|dirbuster|feroxbuster|nessus) 1; +} + +map $request_uri $is_suspicious_uri { + default 0; + ~*(\.env|\.git|/vendor/|/setup\.php|/\.well-known/|/phpmyadmin) 1; +} + +map $is_bad_bot$is_suspicious_uri $block_request { + default 0; + ~1 1; +} + +# --- Rate Limiting para Endpoints Críticos --- +# Limita requisições para proteger contra ataques de força bruta. +# Ex: 10 requisições por minuto por IP. +limit_req_zone $binary_remote_addr zone=login_limit:10m rate=10r/m; + + +# ============================================================================== +# BLOCO 1: HTTP (Porta 80) - Redirecionamento Global +# ============================================================================== +server { + listen 80; + listen [::]:80; + server_name anatram.com.br www.anatram.com.br; + + # Logs específicos para redirecionamentos HTTP + access_log /var/log/nginx/anatram.com.br.access.log; + error_log /var/log/nginx/anatram.com.br.error.log; + + # Permite a validação do Let's Encrypt para ambos os domínios. + location /.well-known/acme-challenge/ { + root /var/www/html; + allow all; + } + + # Redireciona permanentemente (301) todo o resto para o destino canônico HTTPS. + location / { + return 301 https://anatram.com.br$request_uri; + } +} + +# ============================================================================== +# BLOCO 2: HTTPS (Porta 443) - Redirecionamento de 'www' +# ============================================================================== +# Este bloco separado para 'www' é mais eficiente e limpo do que usar 'if'. +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + server_name www.anatram.com.br; + + # Certificados (necessários para a negociação SSL antes do redirect) + ssl_certificate /etc/letsencrypt/live/anatram.com.br/fullchain.pem; + ssl_certificate_key /etc/letsencrypt/live/anatram.com.br/privkey.pem; + + # Logs específicos + access_log /var/log/nginx/anatram.com.br.access.log; + error_log /var/log/nginx/anatram.com.br.error.log; + + # A única função deste bloco é redirecionar. + return 301 https://anatram.com.br$request_uri; +} + +# ============================================================================== +# BLOCO 3: HTTPS (Porta 443) - Servidor Principal e Canônico +# ============================================================================== +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + server_name anatram.com.br; + + # --- Configurações de SSL/TLS --- + # Baseado em: https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices + ssl_certificate /etc/letsencrypt/live/anatram.com.br/fullchain.pem; + ssl_certificate_key /etc/letsencrypt/live/anatram.com.br/privkey.pem; + ssl_protocols TLSv1.2 TLSv1.3; + ssl_prefer_server_ciphers on; + ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384'; + ssl_session_cache shared:SSL:10m; + ssl_session_timeout 1d; + ssl_session_tickets off; + ssl_dhparam /etc/nginx/dhparam.pem; # Gerar com: openssl dhparam -out /etc/nginx/dhparam.pem 2048 + + # Otimizações SSL + ssl_stapling on; + ssl_stapling_verify on; + ssl_trusted_certificate /etc/letsencrypt/live/anatram.com.br/chain.pem; + + # --- Cabeçalhos de Segurança (Security Headers) --- + add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; + add_header X-Frame-Options "SAMEORIGIN" always; + add_header X-Content-Type-Options "nosniff" always; + add_header Referrer-Policy "no-referrer-when-downgrade" always; + add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always; + # ATENÇÃO: CSP (Content-Security-Policy) é poderoso mas requer configuração cuidadosa. + # A política abaixo é um ponto de partida restritivo. Ajuste conforme necessário. + add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self'; font-src 'self'; connect-src 'self'; object-src 'none'; frame-ancestors 'self';" always; + + # --- Políticas de Acesso, Erros e Logs --- + root /var/www/html; # Define um root padrão para páginas de erro customizadas, se houver. + error_page 404 /404.html; + error_page 500 502 503 504 /50x.html; + + # Logs dedicados para este site + access_log /var/log/nginx/anatram.com.br.access.log; + error_log /var/log/nginx/anatram.com.br.error.log warn; # Loga apenas avisos e erros mais graves + + # Logs de segurança para bots bloqueados (para análise e fail2ban) + if ($block_request) { + access_log /var/log/nginx/anatram.com.br.bad-bot.log; + } + + # --- Bloqueio de Bots e Acessos Indevidos --- + # Se a variável $block_request for '1', bloqueia a conexão. + # Usar 'return 444' fecha a conexão sem enviar resposta, sendo eficiente contra scanners. + if ($block_request) { + return 444; + } + + # Bloqueia o acesso a arquivos ocultos e sensíveis + location ~ /\. { + deny all; + } + + # --- Otimizações de Performance (Compressão) --- + gzip on; + gzip_vary on; + gzip_proxied any; + gzip_comp_level 6; + gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml; + + brotli on; # Requer o módulo ngx_brotli + brotli_comp_level 6; + brotli_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml; + + # --- Parâmetros de Proxy e Backend --- + proxy_http_version 1.1; + proxy_set_header Upgrade $http_upgrade; + proxy_set_header Connection "upgrade"; + proxy_set_header Host $host; + proxy_set_header X-Real-IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + proxy_set_header X-Forwarded-Proto $scheme; + proxy_set_header X-Forwarded-Host $host; + proxy_set_header X-Forwarded-Port $server_port; + proxy_connect_timeout 60s; + proxy_send_timeout 60s; + proxy_read_timeout 60s; + + # NOTA: Desativar a verificação SSL só é seguro se o backend estiver em uma rede interna controlada. + proxy_ssl_verify off; + + # --- Estratégia de Cache Híbrida --- + proxy_cache static_cache; + add_header X-Proxy-Cache $upstream_cache_status; + + # --- REGRAS DE ROTEAMENTO (LOCATIONS) --- + + # 1. Proteção para Endpoints Críticos (Exemplo: /login) + # location /login { + # limit_req zone=login_limit burst=5 nodelay; + # proxy_pass https://172.16.12.9:443; + # # Adicionar aqui as mesmas regras de proxy e cache da rota principal + # } + + # 2. Rota para Arquivos Estáticos (Cache Agressivo) + location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ { + proxy_cache_valid 200 30d; + proxy_cache_valid any 1m; + expires 30d; + add_header Cache-Control "public"; + log_not_found off; + access_log off; + proxy_pass https://172.16.12.9:443; + } + + # 3. Rota Principal para a Aplicação (Padrão: NÃO CACHEAR) + location / { + # Por padrão, não faremos cache de conteúdo dinâmico para evitar dados obsoletos. + proxy_no_cache 1; + proxy_cache_bypass 1; + proxy_pass https://172.16.12.9:443; + } +}