joao.goncalves
/
templates-zabbix-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
templates-zabbix-itguys/templates_gold/nginx_agent/nginx_best_practices.md

317 lines
10 KiB
Markdown
Raw Blame History

# Guia Definitivo de Configuração e Boas Práticas NGINX
**Autor:** Gemini (AI Specialist)
**Data:** 04 de Janeiro de 2026
**Contexto:** Padrões de segurança, performance e manutenção para infraestrutura web.
---
## 1. Princípios Fundamentais
Antes de qualquer configuração, estas são as regras de ouro que devem ser aplicadas a **todos** os arquivos `.conf`.
### 1.1 Organização e Formatação
* **Sem Snippets:** Evite `include snippets/ssl-params.conf;`. Todas as diretivas devem ser declaradas explicitamente no arquivo do site (`/etc/nginx/sites-available/exemplo.conf`). Isso facilita a auditoria e evita que uma alteração global quebre sites específicos.
* **Cabeçalho Obrigatório:** Todo arquivo deve começar com comentários explicando o propósito, autor e data da última alteração.
* **Indentação:** Use 4 espaços (ou consistência total com tabs). Nunca misture.
* **Comentários:** Use comentários para separar blocos lógicos (`# Segurança`, `# Cache`, `# Upstream`).
### 1.2 Logs e Auditoria
* **Isolamento:** Cada site/app deve ter seus próprios logs. Nunca use o `access.log` global.
* **Caminho:** `/var/log/nginx/dominio_access.log` e `/var/log/nginx/dominio_error.log`.
* **Retenção:** Configure o `logrotate` (sistema operacional) para manter 30 dias de histórico e compactar o dia anterior automaticamente (`delaycompress`).
* **Fail2Ban:** As regras do Fail2Ban devem apontar para esses logs exclusivos.
### 1.3 Segurança (SSL/TLS e Headers)
* **Protocolos:** Suporte a TLSv1.2 e TLSv1.3.
* **Compatibilidade Apple:** Garantir ciphers que funcionem bem com dispositivos Apple antigos e novos, sem comprometer a segurança.
* **HSTS:** Sempre habilitar `Strict-Transport-Security` em produção.
* **Ocultação:** `server_tokens off;` para não revelar a versão do NGINX.
---
## 2. Configuração Base (Modelo SSL e Headers)
*Copie e adapte este bloco para dentro de cada `server { ... }` listado nos exemplos abaixo.*
```nginx
# =========================================
# CONFIGURAÇÃO SSL/TLS (Diretiva Direta)
# =========================================
ssl_certificate /caminho/para/certificado/fullchain.pem;
ssl_certificate_key /caminho/para/certificado/privkey.pem;
# Otimização baseada no guia Mozilla/SSLLabs
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
# Performance SSL
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # Aprox 40k sessões
ssl_session_tickets off;
# OCSP Stapling (Melhora performance e privacidade)
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 valid=300s;
resolver_timeout 5s;
# =========================================
# HEADERS DE SEGURANÇA (Hardening)
# =========================================
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy no-referrer-when-downgrade always;
# Content-Security-Policy (CSP) deve ser ajustada por aplicação
```
---
## 3. Exemplos de Configuração por Categoria
### 3.1 Site Estático HTML
Foco: Cache agressivo para assets, compressão Gzip/Brotli.
```nginx
server {
listen 443 ssl http2;
server_name www.meusiteestatico.com;
root /var/www/meusiteestatico;
index index.html;
# Logs Exclusivos
access_log /var/log/nginx/meusiteestatico_access.log;
error_log /var/log/nginx/meusiteestatico_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Compressão
gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
location / {
try_files $uri $uri/ =404;
}
# Cache de Arquivos Estáticos (Longa duração)
location ~* \.(jpg|jpeg|png|gif|ico|css|js|svg|woff|woff2|ttf|eot)$ {
expires 365d;
add_header Cache-Control "public, no-transform";
}
}
```
### 3.2 WordPress / CMS
Foco: Processamento PHP (FastCGI), segurança contra acesso direto a arquivos sensíveis.
```nginx
server {
listen 443 ssl http2;
server_name blog.meusite.com;
root /var/www/wordpress;
index index.php index.html;
# Logs Exclusivos
access_log /var/log/nginx/wordpress_access.log;
error_log /var/log/nginx/wordpress_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Segurança WP: Bloquear acesso a arquivos ocultos e uploads de scripts
location ~ /\. { deny all; }
location ~* /(?:uploads|files)/.*\.php$ { deny all; }
location / {
try_files $uri $uri/ /index.php?$args;
}
# Processamento PHP
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Ajustar versão do PHP
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_intercept_errors on;
}
}
```
### 3.3 Microsoft Exchange Server (Reverse Proxy)
Foco: Headers específicos da MS, timeout alto, suporte a grandes uploads.
```nginx
server {
listen 443 ssl http2;
server_name mail.empresa.com;
# Logs Exclusivos
access_log /var/log/nginx/exchange_access.log;
error_log /var/log/nginx/exchange_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Ajustes Exchange
client_max_body_size 2G;
proxy_read_timeout 3600;
proxy_http_version 1.1;
proxy_request_buffering off; # Importante para RPC over HTTP
location / {
proxy_pass https://ip_do_servidor_exchange;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Headers Específicos Exchange
proxy_set_header Front-End-Https On;
}
# Redirecionamento raiz para OWA
location = / {
return 301 https://mail.empresa.com/owa;
}
}
```
### 3.4 Plex Media Server
Foco: Websockets, streaming contínuo, evitar buffering do proxy.
```nginx
server {
listen 443 ssl http2;
server_name plex.meudominio.com;
# Logs Exclusivos
access_log /var/log/nginx/plex_access.log;
error_log /var/log/nginx/plex_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
# Otimização para Streaming
client_max_body_size 100M;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# Desabilitar buffering para streaming em tempo real
proxy_buffering off;
location / {
proxy_pass http://127.0.0.1:32400; # Porta padrão Plex
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Headers Plex
proxy_set_header X-Plex-Client-Identifier $http_x_plex_client_identifier;
proxy_set_header X-Plex-Device $http_x_plex_device;
proxy_set_header X-Plex-Device-Name $http_x_plex_device_name;
proxy_set_header X-Plex-Platform $http_x_plex_platform;
}
}
```
### 3.5 Zammad (Helpdesk)
Foco: Websockets (obrigatório para atualizações em tempo real) e Upstream.
```nginx
upstream zammad-railsserver {
server 127.0.0.1:3000;
}
upstream zammad-websocket {
server 127.0.0.1:6042;
}
server {
listen 443 ssl http2;
server_name suporte.empresa.com;
# Logs Exclusivos
access_log /var/log/nginx/zammad_access.log;
error_log /var/log/nginx/zammad_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
root /opt/zammad/public;
client_max_body_size 50M;
location /ws {
proxy_pass http://zammad-websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
location / {
proxy_pass http://zammad-railsserver;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
```
### 3.6 Zabbix
Foco: PHP Frontend, geralmente roda em subdiretório ou raiz.
```nginx
server {
listen 443 ssl http2;
server_name monitoramento.empresa.com;
root /usr/share/zabbix; # Caminho padrão comum no Linux
index index.php;
# Logs Exclusivos
access_log /var/log/nginx/zabbix_access.log;
error_log /var/log/nginx/zabbix_error.log;
# [INSERIR AQUI O BLOCO SSL E HEADERS DA SEÇÃO 2]
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/run/php/php8.2-fpm.sock; # Verificar versão PHP
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_buffer_size 128k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
}
# Previne acesso a arquivos sensíveis do Zabbix
location ~ ^/(conf|app|include|local)/ {
deny all;
return 404;
}
}
```
## 4. Validação e Testes Finais
Não considere o trabalho concluído apenas ao salvar o arquivo. Siga este ritual:
1. **Validação de Sintaxe:**
```bash
nginx -t
```
2. **Recarregar Serviço (Sem Downtime):**
```bash
systemctl reload nginx
```
3. **Checklist de Testes Externos:** Utilize as ferramentas abaixo para validar sua configuração:
* **SSL Labs:** Avaliar TLS/SSL e compatibilidade (Busque nota A+).
* **CryptCheck:** Segunda opinião focada em ciphers modernos.
* **Hardenize:** Diagnóstico de infraestrutura (DNSSEC, HSTS).
* **HSTS Preload:** Verifica se o domínio pode ser pré-carregado nos navegadores.
* **ImmuniWeb SSL:** Avaliação de compliance (PCI DSS, HIPAA).
* **SecurityHeaders:** Verifica CSP, X-Frame-Options, etc.
* **Mozilla Observatory:** Nota global de boas práticas web.
* **GTmetrix:** Performance e Waterfall.
Reference in New Issue View Git Blame Copy Permalink