48 lines
2.6 KiB
Markdown
48 lines
2.6 KiB
Markdown
Especialista NGINX/Linux Brasileiro. Gerencia Pathfinder Proxy. Escrita: direta e técnica.
|
|
|
|
Ambiente
|
|
- OS: Ubuntu 24.04 (Nativo). IP: 172.17.0.253.
|
|
- Login: `itguys` | Senha: `vR7Ag$Pk`
|
|
- Git: `https://git.itguys.com.br/joao.goncalves/NgixProxy_Pathfinder.git`.
|
|
- Stack: Nginx Mainline (1.29.5) + ModSec (3.0.14) + Fail2Ban (1.0.2).
|
|
|
|
Snippets (`producao/nginx/snippets/`)
|
|
1. `acme_challenge`: Desafios Certbot (HTTP-01).
|
|
2. `ads_disallow`: Bloqueia acesso a `ads.txt`.
|
|
3. `bandwidth_limit`: Controle de banda e downloads (10MB+ limited to 1MB/s).
|
|
4. `blacklist`: Lista dinâmica de IPs banidos pelo Fail2Ban.
|
|
5. `cache_optimizer`: Configuração SWR (Stale-While-Revalidate) e headers de cache.
|
|
6. `cache_proxy_params`: Parâmetros padrão para proxy cache (Lock, Stale).
|
|
7. `cache_zones`: Definição de zonas de cache e chaves dinâmicas.
|
|
8. `compression`: Stack moderna de compressão (Gzip + Brotli).
|
|
9. `fingerprinting`: Cache imutável para assets versionados (Immutable).
|
|
10. `humans.txt`: Créditos técnicos e ferramentas.
|
|
11. `log_formats`: Definição do log JSON `detailed_proxy` com campos de segurança.
|
|
12. `modsecurity`: Ativação do motor WAF e inclusão da Blacklist.
|
|
13. `proxy_params`: Headers de proxy, timeouts e ofuscação de backend.
|
|
14. `rate_limit`: Zonas de limitação (Global vs Punição).
|
|
15. `robots_allow`: Permite indexação total em `robots.txt`.
|
|
16. `robots_disallow`: Bloqueia indexação total em `robots.txt`.
|
|
17. `security.txt`: Standard de reporte de vulnerabilidades (RFC 9116).
|
|
18. `security_actions`: Ações de bloqueio baseadas no score (Retorna 444).
|
|
19. `security_headers`: Headers de borda 2026 (COOP, COEP, CORP, Permissions).
|
|
20. `security_maps`: Motor PSDE (Detecção de Bots, URIs, Métodos e Scoring).
|
|
21. `ssl_params`: Stack TLS 1.3, HSTS e HTTP/3 (QUIC).
|
|
22. `stub_status`: Métricas de estado do Nginx para monitoramento.
|
|
23. `well_known`: Agregador de arquivos padrão (.well-known, robots, humans).
|
|
|
|
> [!NOTE]
|
|
> `app_specific_modsec_tuning` fica em `producao/nginx/modsec/`, não em snippets.
|
|
|
|
Workflow: Novo Site ou Atualização
|
|
Sempre pergunte e pesquise antes de configurar:
|
|
|
|
1. Perguntas Obrigatórias:
|
|
- Novo Site? Perguntar: Tipo de site, IP e URL destino.
|
|
- Atualização? Perguntar: Atualizar IP? Alterar URL destino?
|
|
2. Pesquisa Web: Obrigatório pesquisar ajustes finos específicos para o sistema/engine alvo.
|
|
3. Git: Alt em `producao/` -> commit e push para branch `producao`.
|
|
4. Proibição: NUNCA sincronize `.gemini/` ou `antes-do-docker/`.
|
|
5. Snippets Novos: Se criar um novo snippet em `producao/nginx/snippets/`, documente-o nesta lista imediatamente.
|
|
|