# Guia Definitivo de Configuração e Boas Práticas NGINX **Autor:** Gemini (AI Specialist) **Data:** 04 de Janeiro de 2026 **Contexto:** Padrões de segurança, performance e manutenção para infraestrutura web. --- ## 1. Princípios Fundamentais Antes de qualquer configuração, estas são as regras de ouro que devem ser aplicadas a **todos** os arquivos `.conf`. ### 1.1 Organização e Formatação * **Sem Snippets:** Evite `include snippets/ssl-params.conf;`. Todas as diretivas devem ser declaradas explicitamente no arquivo do site (`/etc/nginx/sites-available/exemplo.conf`). Isso facilita a auditoria e evita que uma alteração global quebre sites específicos. * **Cabeçalho Obrigatório:** Todo arquivo deve começar com comentários explicando o propósito, autor e data da última alteração. * **Indentação:** Use 4 espaços (ou consistência total com tabs). Nunca misture. * **Comentários:** Use comentários para separar blocos lógicos (`# Segurança`, `# Cache`, `# Upstream`). ### 1.2 Logs e Auditoria * **Isolamento:** Cada site/app deve ter seus próprios logs. Nunca use o `access.log` global. * **Caminho:** `/var/log/nginx/dominio_access.log` e `/var/log/nginx/dominio_error.log`. * **Retenção:** Configure o `logrotate` (sistema operacional) para manter 30 dias de histórico e compactar o dia anterior automaticamente (`delaycompress`). * **Fail2Ban:** As regras do Fail2Ban devem apontar para esses logs exclusivos. ### 1.3 Segurança (SSL/TLS e Headers) * **Protocolos:** Suporte a TLSv1.2 e TLSv1.3. * **Compatibilidade Apple:** Garantir ciphers que funcionem bem com dispositivos Apple antigos e novos, sem comprometer a segurança. * **HSTS:** Sempre habilitar `Strict-Transport-Security` em produção. * **Ocultação:** `server_tokens off;` para não revelar a versão do NGINX. --- ## 2. Configuração Base (Modelo SSL e Headers) *Copie e adapte este bloco para dentro de cada `server { ... }` listado nos exemplos abaixo.* ```nginx # ========================================= # CONFIGURAÇÃO SSL/TLS (Diretiva Direta) # ========================================= ssl_certificate /caminho/para/certificado/fullchain.pem; ssl_certificate_key /caminho/para/certificado/privkey.pem; # Otimização baseada no guia Mozilla/SSLLabs ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # Performance SSL ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; # Aprox 40k sessões ssl_session_tickets off; # OCSP Stapling (Melhora performance e privacidade) ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 1.1.1.1 valid=300s; resolver_timeout 5s; # ========================================= # HEADERS DE SEGURANÇA (Hardening) # ========================================= add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; add_header X-Frame-Options SAMEORIGIN always; add_header X-Content-Type-Options nosniff always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy no-referrer-when-downgrade always; # Content-Security-Policy (CSP) deve ser ajustada por aplicação ``` --- ## 3. Exemplos de Configuração por Categoria ### 3.1 Site Estático HTML Foco: Cache agressivo para assets, compressão Gzip/Brotli. ```nginx server { listen 443 ssl http2; server_name www.meusiteestatico.com; root /var/www/meusiteestatico; index index.html; # Logs Exclusivos access_log /var/log/nginx/meusiteestatico_access.log; error_log /var/log/nginx/meusiteestatico_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] # Compressão gzip on; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; location / { try_files $uri $uri/ =404; } # Cache de Arquivos Estáticos (Longa duração) location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff|woff2|ttf|eot)$ { expires 365d; add_header Cache-Control "public, no-transform"; } } ``` ### 3.2 WordPress / CMS Foco: Processamento PHP (FastCGI), segurança contra acesso direto a arquivos sensíveis. ```nginx server { listen 443 ssl http2; server_name blog.meusite.com; root /var/www/wordpress; index index.php index.html; # Logs Exclusivos access_log /var/log/nginx/wordpress_access.log; error_log /var/log/nginx/wordpress_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] # Segurança WP: Bloquear acesso a arquivos ocultos e uploads de scripts location ~ /\. { deny all; } location ~* /(?:uploads|files)/.*\.php$ { deny all; } location / { try_files $uri $uri/ /index.php?$args; } # Processamento PHP location ~ \.php$ { include fastcgi_params; fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Ajustar versão do PHP fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_intercept_errors on; } } ``` ### 3.3 Microsoft Exchange Server (Reverse Proxy) Foco: Headers específicos da MS, timeout alto, suporte a grandes uploads. ```nginx server { listen 443 ssl http2; server_name mail.empresa.com; # Logs Exclusivos access_log /var/log/nginx/exchange_access.log; error_log /var/log/nginx/exchange_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] # Ajustes Exchange client_max_body_size 2G; proxy_read_timeout 3600; proxy_http_version 1.1; proxy_request_buffering off; # Importante para RPC over HTTP location / { proxy_pass https://ip_do_servidor_exchange; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # Headers Específicos Exchange proxy_set_header Front-End-Https On; } # Redirecionamento raiz para OWA location = / { return 301 https://mail.empresa.com/owa; } } ``` ### 3.4 Plex Media Server Foco: Websockets, streaming contínuo, evitar buffering do proxy. ```nginx server { listen 443 ssl http2; server_name plex.meudominio.com; # Logs Exclusivos access_log /var/log/nginx/plex_access.log; error_log /var/log/nginx/plex_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] # Otimização para Streaming client_max_body_size 100M; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # Desabilitar buffering para streaming em tempo real proxy_buffering off; location / { proxy_pass http://127.0.0.1:32400; # Porta padrão Plex proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # Headers Plex proxy_set_header X-Plex-Client-Identifier $http_x_plex_client_identifier; proxy_set_header X-Plex-Device $http_x_plex_device; proxy_set_header X-Plex-Device-Name $http_x_plex_device_name; proxy_set_header X-Plex-Platform $http_x_plex_platform; } } ``` ### 3.5 Zammad (Helpdesk) Foco: Websockets (obrigatório para atualizações em tempo real) e Upstream. ```nginx upstream zammad-railsserver { server 127.0.0.1:3000; } upstream zammad-websocket { server 127.0.0.1:6042; } server { listen 443 ssl http2; server_name suporte.empresa.com; # Logs Exclusivos access_log /var/log/nginx/zammad_access.log; error_log /var/log/nginx/zammad_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] root /opt/zammad/public; client_max_body_size 50M; location /ws { proxy_pass http://zammad-websocket; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "Upgrade"; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } location / { proxy_pass http://zammad-railsserver; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } ``` ### 3.6 Zabbix Foco: PHP Frontend, geralmente roda em subdiretório ou raiz. ```nginx server { listen 443 ssl http2; server_name monitoramento.empresa.com; root /usr/share/zabbix; # Caminho padrão comum no Linux index index.php; # Logs Exclusivos access_log /var/log/nginx/zabbix_access.log; error_log /var/log/nginx/zabbix_error.log; # [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2] location / { try_files $uri $uri/ /index.php?$args; } location ~ \.php$ { include fastcgi_params; fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Verificar versão PHP fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_buffer_size 128k; fastcgi_buffers 4 256k; fastcgi_busy_buffers_size 256k; } # Previne acesso a arquivos sensíveis do Zabbix location ~ ^/(conf|app|include|local)/ { deny all; return 404; } } ``` ## 4. Validação e Testes Finais Não considere o trabalho concluído apenas ao salvar o arquivo. Siga este ritual: 1. **Validação de Sintaxe:** ```bash nginx -t ``` 2. **Recarregar Serviço (Sem Downtime):** ```bash systemctl reload nginx ``` 3. **Checklist de Testes Externos:** Utilize as ferramentas abaixo para validar sua configuração: * **SSL Labs:** Avaliar TLS/SSL e compatibilidade (Busque nota A+). * **CryptCheck:** Segunda opinião focada em ciphers modernos. * **Hardenize:** Diagnóstico de infraestrutura (DNSSEC, HSTS). * **HSTS Preload:** Verifica se o domínio pode ser pré-carregado nos navegadores. * **ImmuniWeb SSL:** Avaliação de compliance (PCI DSS, HIPAA). * **SecurityHeaders:** Verifica CSP, X-Frame-Options, etc. * **Mozilla Observatory:** Nota global de boas práticas web. * **GTmetrix:** Performance e Waterfall.