No universo da seguran\u00e7a para servidores, o NGINX desponta como uma poderosa ferramenta, oferecendo n\u00e3o apenas funcionalidades essenciais de um servidor web, mas tamb\u00e9m recursos avan\u00e7ados, como proxy reverso e balanceamento de carga.<\/p>\n\n\n\n
Neste artigo, exploramos os fundamentos do NGINX, seu papel em empresas renomadas e suas caracter\u00edsticas distintas.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
O termo NGINX, pronunciado “engine-ex,” \u00e9 um servidor web open-source, tamb\u00e9m utilizado como proxy reverso e balanceador de carga.<\/p>\n\n\n\n
Algumas empresas que utilizam o NGINX:<\/p>\n\n\n\n
\u2022 Atlassian<\/p>\n\n\n\n
\u2022 T-Mobile<\/p>\n\n\n\n
\u2022 GitLab<\/p>\n\n\n\n
\u2022 DuckDuckGo<\/p>\n\n\n\n
\u2022 Microsoft<\/p>\n\n\n\n
\u2022 IBM<\/p>\n\n\n\n
\u2022 Google<\/p>\n\n\n\n
\u2022 Adobe<\/p>\n\n\n\n
\u2022 Salesforce<\/p>\n\n\n\n
\u2022 LinkedIn<\/p>\n\n\n\n
\u2022 Cisco<\/p>\n\n\n\n
\u2022 Facebook<\/p>\n\n\n\n
\u2022 Twitter<\/p>\n\n\n\n
\u2022 Apple<\/p>\n\n\n\n
\u2022 Intel<\/p>\n\n\n\n
O NGINX foi projetado para possibilitar uma utiliza\u00e7\u00e3o de pouca mem\u00f3ria e uma elevada simultaneidade. Em vez de criar novos processos para cada requisi\u00e7\u00e3o web, o NGINX usa uma abordagem ass\u00edncrona e orientada para eventos, na qual as requisi\u00e7\u00f5es s\u00e3o gerenciadas em um \u00fanico segmento.<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
\u2022 Proxy reverso com armazenamento em cache<\/p>\n\n\n\n
\u2022 IPv6<\/p>\n\n\n\n
\u2022 Balanceamento de carga<\/p>\n\n\n\n
\u2022 Suporte para o FastCGI com cache<\/p>\n\n\n\n
\u2022 WebSockets<\/p>\n\n\n\n
\u2022 Manipula\u00e7\u00e3o de arquivos est\u00e1ticos, arquivos de \u00edndice e indexa\u00e7\u00e3o autom\u00e1tica<\/p>\n\n\n\n
\u2022 TLS\/SSL com SNI<\/p>\n\n\n\n
<\/p>\n\n\n\n
<\/p>\n\n\n\n
Na maioria dos sites, pode simplesmente verificar o cabe\u00e7alho HTTP server para ver se ele diz NGINX. Voc\u00ea pode ver os cabe\u00e7alhos HTTP ao abrir o separador \u201cRede\u201d no Chrome DevTools. Contudo, o cabe\u00e7alho HTTP nem sempre revela o servidor web subjacente. Por exemplo, se seu site WordPress estiver por tr\u00e1s de um servi\u00e7o de proxy, como o Cloudflare, o cabe\u00e7alho HTTP server dir\u00e1 Cloudflare.<\/p>\n\n\n\n
Agora, sabendo os princ\u00edpios b\u00e1sicos, vamos esclarecer\u2026<\/p>\n\n\n\n
<\/p>\n\n\n\n
Um proxy reverso \u00e9 um servidor que fica na frente dos servidores web e encaminha as requisi\u00e7\u00f5es do cliente (por exemplo, navegador web) para esses servidores web. Os proxy reversos normalmente s\u00e3o implementados para ajudar a aumentar a seguran\u00e7a, o desempenho e a confiabilidade.<\/p>\n\n\n\n
<\/p>\n\n\n\n
O balanceamento de carga \u00e9 o m\u00e9todo de distribuir o tr\u00e1fego de rede igualmente em um grupo de recursos que oferecem suporte a uma aplica\u00e7\u00e3o. As aplica\u00e7\u00f5es modernas devem processar milh\u00f5es de usu\u00e1rios simultaneamente e retornar o texto, v\u00eddeos, imagens e outros dados corretos para cada usu\u00e1rio de maneira r\u00e1pida e confi\u00e1vel. Para lidar com volumes t\u00e3o altos de tr\u00e1fego, a maioria das aplica\u00e7\u00f5es tem muitos servidores de recursos com dados duplicados entre eles. Um balanceador de carga \u00e9 um dispositivo que fica entre o usu\u00e1rio e o grupo de servidores e atua como um facilitador invis\u00edvel, garantindo que todos os servidores de recursos sejam usados igualmente.<\/p>\n\n\n\n
O balanceamento de carga direciona e controla o tr\u00e1fego da Internet entre os servidores de aplica\u00e7\u00f5es e seus visitantes ou clientes. Como resultado, ele melhora a disponibilidade, e escalabilidade, a seguran\u00e7a e a performance de uma aplica\u00e7\u00e3o.<\/p>\n\n\n\n
Agora, vamos esclarecer sobre o ponto importante que visa a seguran\u00e7a para servidores:<\/strong><\/p>\n\n\n\n \u00c9 importante considerar que o servidor NGINX \u00e9 mais eficiente, consumindo menos recursos do que o Apache, e se tornou recentemente o servidor web mais popular no mundo.<\/p>\n\n\n\n <\/p>\n\n\n\n O uso de HTTPS para navega\u00e7\u00e3o em websites se tornou uma pr\u00e1tica padr\u00e3o, essencial inclusive para sites pessoais e blogs (como o que voc\u00ea est\u00e1 lendo agora). O Google j\u00e1 leva em considera\u00e7\u00e3o o uso de certificados de seguran\u00e7a para o ranqueamento no sistema de busca, como um dos par\u00e2metros do conceito de Page Experience.<\/p>\n\n\n\n Voc\u00ea pode instalar um certificado de seguran\u00e7a no seu servidor NGINX gratuitamente usando o Certbot. Alguns servi\u00e7os de hospedagem tamb\u00e9m oferecem instala\u00e7\u00f5es gratuitas ou pagas em seus planos.<\/p>\n\n\n\n Uma vez instalado, voc\u00ea pode redirecionar todo o tr\u00e1fego para a vers\u00e3o segura do seu site com HTTPS usando o c\u00f3digo abaixo no bloco server do arquivo de configura\u00e7\u00e3o dentro da pasta sites-enabled.<\/p>\n\n\n\n Exemplo:<\/strong><\/p>\n\n\n\n # Force HTTPS<\/p>\n\n\n\n #<\/p>\n\n\n\n server {<\/p>\n\n\n\n listen 80;<\/p>\n\n\n\n listen [::]:80;<\/p>\n\n\n\n access_log off;<\/p>\n\n\n\n error_log off;<\/p>\n\n\n\n server_name example.com www.example.com;<\/p>\n\n\n\n return 301 https:\/\/example.com$request_uri;<\/p>\n\n\n\n }<\/p>\n\n\n\n No c\u00f3digo acima, todos os acessos via porta 80 (http) no dom\u00ednio example.com e com o subdom\u00ednio www.example.com ser\u00e3o redirecionados para o endere\u00e7o https:\/\/example.com. Note o $request_uri, que repassa o caminho de arquivos que possa vir depois do dom\u00ednio na barra de endere\u00e7os.<\/p>\n\n\n\n Tamb\u00e9m \u00e9 recomend\u00e1vel bloquear o acesso via porta 80 no endere\u00e7o IP do seu servidor. No caso, o servidor retorna um erro 444 (connection closed without response).<\/p>\n\n\n\n # Block access using server IP<\/p>\n\n\n\n #<\/p>\n\n\n\n server {<\/p>\n\n\n\n listen 80 default_server;<\/p>\n\n\n\n server_name _;<\/p>\n\n\n\n return 444;<\/p>\n\n\n\n }<\/p>\n\n\n\n Para bloquear o acesso direto via IP inclusive via HTTPS, for\u00e7ando o usu\u00e1rio a acessar pelo dom\u00ednio do seu site, voc\u00ea pode adaptar o bloco de configura\u00e7\u00f5es do site com SSL em seu servidor usando o seguinte c\u00f3digo:<\/p>\n\n\n\n server {<\/p>\n\n\n\n …<\/p>\n\n\n\n server_name example.com www.example.com;<\/p>\n\n\n\n if ($host !~ ^(example.com|www.example.com)$){<\/p>\n\n\n\n return 400;<\/p>\n\n\n\n }<\/p>\n\n\n\n …<\/p>\n\n\n\n }<\/p>\n\n\n\n Neste exemplo, se o usu\u00e1rio acessa o servidor por algo diferente de example.com ou www.example.com, o NGINX retorna para o usu\u00e1rio um erro 400 (Bad Request). Note que o erro 444 n\u00e3o pode ser retornado por conta do handshake na conex\u00e3o SSL.<\/p>\n\n\n\n <\/p>\n\n\n\n Outra dica de seguran\u00e7a no NGINX \u00e9 proteger o acesso a pastas e arquivos confidenciais ou administrativos com senha, para evitar acessos n\u00e3o autorizados.<\/p>\n\n\n\n Primeiro \u00e9 necess\u00e1rio criarmos um arquivo de senha com as credenciais de acesso. Para criar uma senha criptografada, use o comando openssl password no terminal. Insira e confirme a senha desejada. O comando retornar\u00e1 a vers\u00e3o criptografada da sua senha:<\/p>\n\n\n\n # Criar uma senha criptografada<\/p>\n\n\n\n openssl password<\/p>\n\n\n\n # Exemplo de retorno ap\u00f3s a entrada da senha desejada<\/p>\n\n\n\n \/PUfiF9t9VXnI<\/p>\n\n\n\n Copie o valor retornado. Agora vamos criar o arquivo com os dados de autentica\u00e7\u00e3o. Neste exemplo, nomearemos o arquivo como autenticacao e salvaremos dentro da pasta \/etc\/nginx\/.<\/p>\n\n\n\n # Criar o arquivo \/etc\/nginx\/autenticacao no editor de texto<\/p>\n\n\n\n sudo nano \/etc\/nginx\/autenticacao<\/p>\n\n\n\n No editor de texto, voc\u00ea especificar\u00e1 o nome de usu\u00e1rio, seguido por dois pontos, e a senha criptografada que criou nos passos anteriores. Por exemplo, john_doe:\/PUfiF9t9VXnI. Salve e feche o arquivo.<\/p>\n\n\n\n Agora vamos modificar o arquivo de configura\u00e7\u00e3o do NGINX. Abra o arquivo de configura\u00e7\u00e3o correspondente ao site desejado na pasta \/etc\/nginx\/sites-available\/. Neste exemplo, faremos a configura\u00e7\u00e3o na pasta \/restrito\/.<\/p>\n\n\n\n server {<\/p>\n\n\n\n …<\/p>\n\n\n\n location \/ {<\/p>\n\n\n\n try_files $uri $uri\/ =404;<\/p>\n\n\n\n }<\/p>\n\n\n\n location ^~ \/restrito\/ {<\/p>\n\n\n\n auth_basic “Admin Login”;<\/p>\n\n\n\n auth_basic_user_file \/etc\/nginx\/autenticacao;<\/p>\n\n\n\n }<\/p>\n\n\n\n …<\/p>\n\n\n\n }<\/p>\n\n\n\n Salve o arquivo no editor de texto e reinicie o servidor NGINX com o comando sudo systemctl reload nginx. Quando algum usu\u00e1rio acessar o endere\u00e7o example.com\/restrito, ele ver\u00e1 um prompt do navegador exigindo nome de usu\u00e1rio e senha definido no arquivo autenticacao para acess\u00e1-lo.<\/p>\n\n\n\n <\/p>\n\n\n\n Por fim, uma configura\u00e7\u00e3o importante que evita, entre outros, a inje\u00e7\u00e3o de c\u00f3digo malicioso e clickjacking. Pode ser configurado tanto no arquivo correspondente ao site na pasta sites-available quanto no arquivo de configura\u00e7\u00e3o geral do NGINX, com o comando add_header.<\/p>\n\n\n\n A configura\u00e7\u00e3o dos cabe\u00e7alhos depende do n\u00edvel de seguran\u00e7a que voc\u00ea precisa oferecer no seu site, mas segue abaixo um exemplo.<\/p>\n\n\n\n add_header X-Frame-Options SAMEORIGIN;<\/p>\n\n\n\n add_header X-Content-Type-Options nosniff;<\/p>\n\n\n\n add_header X-XSS-Protection “1; mode=block”;<\/p>\n\n\n\n add_header Content-Security-Policy “default-src ‘self’; script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’ https:\/\/ssl.google-analytics.com; img-src ‘self’ https:\/\/ssl.google-analytics.com; style-src ‘self’ ‘unsafe-inline’ https:\/\/fonts.googleapis.com; font-src ‘self’ https:\/\/themes.googleusercontent.com; object-src ‘none'”;<\/p>\n\n\n\n <\/p>\n\n\n\n Em conclus\u00e3o, a implementa\u00e7\u00e3o efetiva de pr\u00e1ticas de seguran\u00e7a no NGINX \u00e9 crucial para salvaguardar servidores contra amea\u00e7as digitais. Desde a configura\u00e7\u00e3o do HTTPS at\u00e9 a prote\u00e7\u00e3o de pastas com senha e a ado\u00e7\u00e3o de cabe\u00e7alhos de seguran\u00e7a, cada passo contribui para um ambiente mais robusto e resistente. Ao aproveitar ao m\u00e1ximo as capacidades do NGINX, os administradores de servidores podem garantir n\u00e3o apenas desempenho excepcional, mas tamb\u00e9m uma defesa s\u00f3lida contra potenciais vulnerabilidades. Ao celebrarmos o primeiro ano do NGINX, reconhecemos n\u00e3o apenas sua popularidade, mas sua import\u00e2ncia na constru\u00e7\u00e3o de um ecossistema online mais seguro e confi\u00e1vel.<\/p>\n","protected":false},"excerpt":{"rendered":" No universo da seguran\u00e7a para servidores, o NGINX desponta como uma poderosa ferramenta, oferecendo n\u00e3o apenas funcionalidades essenciais de um servidor web, mas tamb\u00e9m recursos avan\u00e7ados, como proxy reverso e balanceamento de carga. Neste artigo, exploramos os fundamentos do NGINX, seu papel em empresas renomadas e suas caracter\u00edsticas distintas. O que significa NGINX? O termo […]<\/p>\n","protected":false},"author":11,"featured_media":2296,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[426,423,427,298,425,424],"yoast_head":"\nTrabalhando com HTTPS no NGINX<\/h2>\n\n\n\n
Protegendo pastas com senha no NGINX<\/h2>\n\n\n\n
Cabe\u00e7alhos de seguran\u00e7a no NGINX<\/h2>\n\n\n\n
Conclus\u00e3o<\/h2>\n\n\n\n