10 KiB
10 KiB
Guia Definitivo de Configuração e Boas Práticas NGINX
Autor: Gemini (AI Specialist) Data: 04 de Janeiro de 2026 Contexto: Padrões de segurança, performance e manutenção para infraestrutura web.
1. Princípios Fundamentais
Antes de qualquer configuração, estas são as regras de ouro que devem ser aplicadas a todos os arquivos .conf.
1.1 Organização e Formatação
- Sem Snippets: Evite
include snippets/ssl-params.conf;. Todas as diretivas devem ser declaradas explicitamente no arquivo do site (/etc/nginx/sites-available/exemplo.conf). Isso facilita a auditoria e evita que uma alteração global quebre sites específicos. - Cabeçalho Obrigatório: Todo arquivo deve começar com comentários explicando o propósito, autor e data da última alteração.
- Indentação: Use 4 espaços (ou consistência total com tabs). Nunca misture.
- Comentários: Use comentários para separar blocos lógicos (
# Segurança,# Cache,# Upstream).
1.2 Logs e Auditoria
- Isolamento: Cada site/app deve ter seus próprios logs. Nunca use o
access.logglobal. - Caminho:
/var/log/nginx/dominio_access.loge/var/log/nginx/dominio_error.log. - Retenção: Configure o
logrotate(sistema operacional) para manter 30 dias de histórico e compactar o dia anterior automaticamente (delaycompress). - Fail2Ban: As regras do Fail2Ban devem apontar para esses logs exclusivos.
1.3 Segurança (SSL/TLS e Headers)
- Protocolos: Suporte a TLSv1.2 e TLSv1.3.
- Compatibilidade Apple: Garantir ciphers que funcionem bem com dispositivos Apple antigos e novos, sem comprometer a segurança.
- HSTS: Sempre habilitar
Strict-Transport-Securityem produção. - Ocultação:
server_tokens off;para não revelar a versão do NGINX.
2. Configuração Base (Modelo SSL e Headers)
Copie e adapte este bloco para dentro de cada server { ... } listado nos exemplos abaixo.
# =========================================
# CONFIGURAÇÃO SSL/TLS (Diretiva Direta)
# =========================================
ssl_certificate /caminho/para/certificado/fullchain.pem;
ssl_certificate_key /caminho/para/certificado/privkey.pem;
# Otimização baseada no guia Mozilla/SSLLabs
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# Performance SSL
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # Aprox 40k sessões
ssl_session_tickets off;
# OCSP Stapling (Melhora performance e privacidade)
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 valid=300s;
resolver_timeout 5s;
# =========================================
# HEADERS DE SEGURANÇA (Hardening)
# =========================================
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy no-referrer-when-downgrade always;
# Content-Security-Policy (CSP) deve ser ajustada por aplicação
3. Exemplos de Configuração por Categoria
3.1 Site Estático HTML
Foco: Cache agressivo para assets, compressão Gzip/Brotli.
server {
listen 443 ssl http2;
server_name www.meusiteestatico.com;
root /var/www/meusiteestatico;
index index.html;
# Logs Exclusivos
access_log /var/log/nginx/meusiteestatico_access.log;
error_log /var/log/nginx/meusiteestatico_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Compressão
gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
location / {
try_files $uri $uri/ =404;
}
# Cache de Arquivos Estáticos (Longa duração)
location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff|woff2|ttf|eot)$ {
expires 365d;
add_header Cache-Control "public, no-transform";
}
}
3.2 WordPress / CMS
Foco: Processamento PHP (FastCGI), segurança contra acesso direto a arquivos sensíveis.
server {
listen 443 ssl http2;
server_name blog.meusite.com;
root /var/www/wordpress;
index index.php index.html;
# Logs Exclusivos
access_log /var/log/nginx/wordpress_access.log;
error_log /var/log/nginx/wordpress_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Segurança WP: Bloquear acesso a arquivos ocultos e uploads de scripts
location ~ /\. { deny all; }
location ~* /(?:uploads|files)/.*\.php$ { deny all; }
location / {
try_files $uri $uri/ /index.php?$args;
}
# Processamento PHP
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Ajustar versão do PHP
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_intercept_errors on;
}
}
3.3 Microsoft Exchange Server (Reverse Proxy)
Foco: Headers específicos da MS, timeout alto, suporte a grandes uploads.
server {
listen 443 ssl http2;
server_name mail.empresa.com;
# Logs Exclusivos
access_log /var/log/nginx/exchange_access.log;
error_log /var/log/nginx/exchange_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Ajustes Exchange
client_max_body_size 2G;
proxy_read_timeout 3600;
proxy_http_version 1.1;
proxy_request_buffering off; # Importante para RPC over HTTP
location / {
proxy_pass https://ip_do_servidor_exchange;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Headers Específicos Exchange
proxy_set_header Front-End-Https On;
}
# Redirecionamento raiz para OWA
location = / {
return 301 https://mail.empresa.com/owa;
}
}
3.4 Plex Media Server
Foco: Websockets, streaming contínuo, evitar buffering do proxy.
server {
listen 443 ssl http2;
server_name plex.meudominio.com;
# Logs Exclusivos
access_log /var/log/nginx/plex_access.log;
error_log /var/log/nginx/plex_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Otimização para Streaming
client_max_body_size 100M;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# Desabilitar buffering para streaming em tempo real
proxy_buffering off;
location / {
proxy_pass http://127.0.0.1:32400; # Porta padrão Plex
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Headers Plex
proxy_set_header X-Plex-Client-Identifier $http_x_plex_client_identifier;
proxy_set_header X-Plex-Device $http_x_plex_device;
proxy_set_header X-Plex-Device-Name $http_x_plex_device_name;
proxy_set_header X-Plex-Platform $http_x_plex_platform;
}
}
3.5 Zammad (Helpdesk)
Foco: Websockets (obrigatório para atualizações em tempo real) e Upstream.
upstream zammad-railsserver {
server 127.0.0.1:3000;
}
upstream zammad-websocket {
server 127.0.0.1:6042;
}
server {
listen 443 ssl http2;
server_name suporte.empresa.com;
# Logs Exclusivos
access_log /var/log/nginx/zammad_access.log;
error_log /var/log/nginx/zammad_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
root /opt/zammad/public;
client_max_body_size 50M;
location /ws {
proxy_pass http://zammad-websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
location / {
proxy_pass http://zammad-railsserver;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
3.6 Zabbix
Foco: PHP Frontend, geralmente roda em subdiretório ou raiz.
server {
listen 443 ssl http2;
server_name monitoramento.empresa.com;
root /usr/share/zabbix; # Caminho padrão comum no Linux
index index.php;
# Logs Exclusivos
access_log /var/log/nginx/zabbix_access.log;
error_log /var/log/nginx/zabbix_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Verificar versão PHP
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
}
# Previne acesso a arquivos sensíveis do Zabbix
location ~ ^/(conf|app|include|local)/ {
deny all;
return 404;
}
}
4. Validação e Testes Finais
Não considere o trabalho concluído apenas ao salvar o arquivo. Siga este ritual:
- Validação de Sintaxe:
nginx -t - Recarregar Serviço (Sem Downtime):
systemctl reload nginx - Checklist de Testes Externos: Utilize as ferramentas abaixo para validar sua configuração:
- SSL Labs: Avaliar TLS/SSL e compatibilidade (Busque nota A+).
- CryptCheck: Segunda opinião focada em ciphers modernos.
- Hardenize: Diagnóstico de infraestrutura (DNSSEC, HSTS).
- HSTS Preload: Verifica se o domínio pode ser pré-carregado nos navegadores.
- ImmuniWeb SSL: Avaliação de compliance (PCI DSS, HIPAA).
- SecurityHeaders: Verifica CSP, X-Frame-Options, etc.
- Mozilla Observatory: Nota global de boas práticas web.
- GTmetrix: Performance e Waterfall.