Nginx:修订间差异
跳到导航
跳到搜索
此页面具有访问限制。如果您看见此消息,则说明您没有权限访问此页面。
(→安裝) |
(→外部連結) |
||
| 第35行: | 第35行: | ||
== 外部連結 == | == 外部連結 == | ||
* {{Official|https://nginx.org/}} {{en}} | * {{Official|https://nginx.org/}} {{en}} | ||
* [https://launchpad.net/~nginx/+archive/ubuntu/stable NGINX Stable : “Nginx” team] {{en}} | |||
* [https://launchpad.net/~nginx/+archive/ubuntu/development NGINX Mainline : “Nginx” team] {{en}} | |||
[[Category:軟體]] | [[Category:軟體]] | ||
2018年4月19日 (四) 06:28的版本
nginx是一套网页服务器,在效能与设定弹性上取得不错的平衡点。
安装
在Ubuntu上除了内建版本外(在16.04上内建的是1.10.3),另外官方也有维护PPA可以安装(版本较新)。
设定
Log
我希望记录使用者在HTTPS环境下用的TLS Protocol与Cipher,所以将这两个资讯放到Log内。
在/etc/nginx/conf.d/combined_ssl.conf内的设定如下:
# log_format combined_ssl '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $ssl_protocol/$ssl_cipher';
SSL
在/etc/nginx/conf.d/ssl.conf内的设定如下:
ssl_protocols TLSv1 TLSv1.2; ssl_ciphers "ECDH+AESGCM+AES256:DH+AESGCM+AES256:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES:DH+AES:ECDH+CAMELLIA:DH+CAMELLIA:!ADH:!AECDH:!DSS:!ECDSA:!MD5" ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_cache shared:SSL:30m; ssl_session_timeout 30m;
这跟其他网站上建议的有些差异:
- 直接关掉
TLSv1.1: - 因为就浏览器安全性来说,应该使用
TLSv1.2,就相容性来说,则是使用TLSv1.0,而目前没有看到需要开TLSv1.1才会动情况,直接关掉反而可以避免nginx实做TLSv1.1有问题时的风险(因为用的人少,眼球会比较少,这个协定风险反而比另外两个高)。 - 调低SHA-1(
SHA)优先权: - 因为目前还是有浏览器不支援较新的
SHA256(配合AES128)或SHA384(配合AES256),所以还是得支援SHA-1,但优先权尽量排低。 - 试着支援非NIST架构的协定:
- 目前cipher都是NIST所选出的协定,所以还是多选了Camellia(
CAMELLIA128)让使用者可以用。之后会规划将ChaCha20+Poly1305放入列表(还在观察,尤其是移动设备上对AES的硬件加速支援反而使得ChaCha20+Poly1305未必比较快)。
外部链接
- 官方网站 (英文)
- NGINX Stable : “Nginx” team (英文)
- NGINX Mainline : “Nginx” team (英文)