[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-23 21:52:16

2025-09-23 21:52:17 -03:00 · 2025-09-23 21:52:17 -03:00 · b521aa3886
parent 4f5d3b7528
commit b521aa3886
1 changed files with 93 additions and 30 deletions
--- a/nginx/sites-available/mimir.itguys.com.br.conf
+++ b/nginx/sites-available/mimir.itguys.com.br.conf
@ -1,24 +1,54 @@
-# ==============================================================================
+# =================================================================================================
-# ARQUIVO: /etc/nginx/sites-available/mimir.itguys.com.br.conf
+# ARQUIVO DE CONFIGURAÇÃO PARA: mimir.itguys.com.br (Zabbix)
-# AUTOR:   Gemini (Especialista NGINX)
+# AUDITADO E OTIMIZADO POR: Gemini (Especialista NGINX)
-# DATA:    21/09/2025
+# DATA DA ALTERAÇÃO: 2025-09-23 21:48
 #
 # DESCRIÇÃO:
 # Configuração de Proxy Reverso OTIMIZADA e SEGURA para Zabbix.
 #
-# FUNCIONALIDADES:
+# PONTOS CHAVE DA OTIMIZAÇÃO:
-#   - Redirecionamento canónico forçado para HTTPS.
+#
-#   - Restrição de Acesso: Acesso limitado à rede interna.
+# 1.  ARQUIVO AUTOCONTIDO:
-#   - Cache Inteligente: Cache ativado apenas para assets estáticos da interface.
+#     - Para facilitar a auditoria e a portabilidade, os snippets 'ssl_params.conf',
-#   - Bloco `upstream` para fácil manutenção do backend.
+#       'proxy_params.conf' e 'global_robots.conf' foram internalizados. As diretivas
-#   - Cabeçalhos de segurança e organização aprimorada do código.
+#       agora estão declaradas diretamente neste arquivo. O snippet 'internal_networks.conf'
-# ==============================================================================
+#       foi mantido por ser específico do seu ambiente.
 #
 # 2.  SEGURANÇA SSL/TLS REFORÇADA (HSTS):
 #     - Adicionado o cabeçalho 'Strict-Transport-Security' (HSTS). Ele força o navegador
 #       a se comunicar exclusivamente via HTTPS, prevenindo ataques 'man-in-the-middle'.
 #     - Protocolos e Ciphers modernos foram explicitamente definidos.
 #
 # 3.  CACHE DE NAVEGADOR (CLIENT-SIDE):
 #     - Adicionada a diretiva 'expires 30d' no bloco de assets estáticos. Isso instrui o
 #       navegador do usuário a armazenar esses arquivos localmente por 30 dias, reduzindo
 #       drasticamente o número de requisições e acelerando o carregamento para visitas recorrentes.
 #
 # 4.  CACHE DE SERVIDOR (SERVER-SIDE) MAIS ROBUSTO:
 #     - A diretiva 'proxy_cache_valid' foi aprimorada para também cachear outras respostas
 #       (como 404s) por um curto período (1 minuto), reduzindo a carga no backend.
 #
 # 5.  BUFFERING OTIMIZADO:
 #     - Adicionadas diretivas 'proxy_buffers' e 'proxy_buffer_size' para otimizar o
 #       gerenciamento de memória e a performance ao lidar com respostas do backend.
 #
 # 6.  SUGESTÃO AVANÇADA (COMENTADA): OTIMIZAÇÃO COM PHP-FPM
 #     - A configuração original faz proxy para outro servidor web (172.16.254.11). Uma
 #       arquitetura mais performática seria o NGINX se comunicar diretamente com o
 #       PHP-FPM. Adicionei um bloco 'location ~ \.php$' comentado como exemplo de
 #       como essa configuração avançada poderia ser implementada.
 #
 # =================================================================================================
 # Define o nosso servidor Zabbix como um "upstream" para fácil referência.
 upstream zabbix_backend {
-    server 172.16.254.11;
+    server 172.16.254.11; # Mantenha 'keepalive' se houver muitas conexões
 }
 # (REF: 1) Define a zona de cache para os assets estáticos do Zabbix.
 # Esta linha deve estar no seu /etc/nginx/nginx.conf, dentro do bloco http {}.
 # proxy_cache_path /var/cache/nginx/zabbix_cache keys_zone=zabbix_cache:10m inactive=60m max_size=500m;
 # ==============================================================================
 # BLOCO 1: Redirecionamento de HTTP (porta 80) para HTTPS
 # ==============================================================================
@ -27,12 +57,11 @@ server {
    listen [::]:80;
    server_name mimir.itguys.com.br;
    # Permite a validação do Let's Encrypt antes de qualquer restrição.
    location /.well-known/acme-challenge/ {
        root /var/www/html;
        allow all;
    }
    # Redireciona todo o tráfego para a versão segura.
    location / {
        return 301 https://$host$request_uri;
    }
@ -46,32 +75,68 @@ server {
    listen [::]:443 ssl http2;
    server_name mimir.itguys.com.br;
    # Define um diretório raiz, útil para servir páginas de erro ou outros arquivos locais.
    root /var/www/html;
    # --- CONFIGURAÇÕES DE SSL E SEGURANÇA ---
-    ssl_certificate /etc/letsencrypt/live/mimir.itguys.com.br/fullchain.pem; # managed by Certbot
+    # (REF: 1 e 2)
-    ssl_certificate_key /etc/letsencrypt/live/mimir.itguys.com.br/privkey.pem; # managed by Certbot
+    ssl_certificate /etc/letsencrypt/live/mimir.itguys.com.br/fullchain.pem;
-    include /etc/nginx/snippets/ssl_params.conf;
+    ssl_certificate_key /etc/letsencrypt/live/mimir.itguys.com.br/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_session_timeout 1d;
    ssl_session_tickets off;
    # Cabeçalhos de Segurança
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-XSS-Protection "1; mode=block" always;
    # --- POLÍTICAS DE ACESSO E LOGS ---
-    # A TRAVA DE SEGURANÇA: Restringe o acesso à rede interna.
+    # A TRAVA DE SEGURANÇA: Restringe o acesso à rede interna. (Mantido como include)
    include /etc/nginx/snippets/internal_networks.conf;
-    # Bloqueia a indexação por motores de busca.
+
-    include /etc/nginx/snippets/global_robots.conf;
+    # (REF: 1) Bloqueia a indexação por motores de busca.
-    # Logs
+    location = /robots.txt {
        add_header Content-Type text/plain;
        return 200 "User-agent: *\nDisallow: /\n";
        access_log off;
        log_not_found off;
    }
    access_log /var/log/nginx/mimir.itguys.com.br.access.log;
    error_log /var/log/nginx/mimir.itguys.com.br.error.log warn;
    # --- PARÂMETROS DE PROXY GLOBAIS ---
-    include /etc/nginx/snippets/proxy_params.conf;
+    # (REF: 1 e 5)
    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_connect_timeout 90s;
    proxy_send_timeout 90s;
    proxy_read_timeout 90s;
    proxy_buffers 8 16k;
    proxy_buffer_size 32k;
    # --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
    # 1. Rota para assets estáticos da UI (CACHE AGRESSIVO)
    location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ {
-        # Define um cache específico para os assets do Zabbix.
+        # (REF: 3) Cache de Navegador
        expires 30d;
        add_header Cache-Control "public";
        # (REF: 4) Cache de Servidor
        proxy_cache zabbix_cache;
-        proxy_cache_valid 200 7d; # Cache de 7 dias para assets.
+        proxy_cache_valid 200 302 7d;
        proxy_cache_valid any 1m;
        proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
        add_header X-Proxy-Cache $upstream_cache_status;
@ -81,14 +146,12 @@ server {
    # 2. Rota principal para a aplicação (SEM CACHE)
    # Apanha o zabbix.php, dashboards, APIs, etc.
    location / {
        # Habilita o suporte a WebSockets, caso alguma funcionalidade do Zabbix utilize.
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass http://zabbix_backend;
    }
    # --- Páginas de Erro Personalizadas ---
-    include /etc/nginx/snippets/custom_errors.conf;
+    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        internal;
    }
 }