nginx相关配置

1. nginx 漏洞修复处理：

	1）server 增加如下配置：
		ssl_protocols TLSv1.2;  （TLS Version 1.0 Protocol Detection 漏洞修复）
		ssl_dhparam {$path}/dhparams.pem;   （Secure Sockets Layer，SSL 公共密钥小于1024的安全隐患， 当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时，存在可以恢复纯文本信息的风险）
		
		
		
	2）dhparams.pem 文件生成命令：		
		openssl dhparam -out dhparam.pem 2048
		
	3）ssl 生成证书命令：（TLS/SSL 证书密钥大小过小 漏洞修复）
		# 生成一个RSA私钥,1024是加密强度，系统现在为1024有中危漏洞，需改为：2048
		$ openssl genrsa -out private.key 2048
		  
		# 生成一个证书请求
		$ openssl req -new -key private.key -out cert_req.csr
		 
		# 自己签发证书，如果要权威CA签发的话，要把cert_req.csr发给CA
		$ openssl x509 -req -days 365 -in cert_req.csr -signkey private.key -out server_cert.crt
		
		
		
# 优先采取服务器算法
ssl_prefer_server_ciphers on;
# 使用 DH 文件
ssl_dhparam       ssl/dhparam.pem;
# 协议版本
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
# 定义算法
ssl_ciphers      'AES128+EECDH:AES128+EDH:!aNULL';
复制代码
安全的响应头# 启用 HSTS 。允许 https 网站要求浏览器总是通过 https 来访问
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
# 减少点击劫持
add_header X-Frame-Options DENY;
# 禁止服务器自动解析资源类型
add_header X-Content-Type-Options nosniff;
# 防XSS攻擊
add_header X-Xss-Protection 1;
复制代码
服务器优化# 配置共享会话缓存大小
ssl_session_cache   shared:SSL:10m;
# 配置会话超时时间
ssl_session_timeout 10m;
复制代码
http2 配置
http2 配置很简单，只要后面增加 http2。
下面 [::]: 表示 ipv6 的配置，不需要可以不加那一行listen  80;
listen  [::]:80;
listen  443 ssl http2;
listen  [::]:443 ssl http2;