melhorias de segurança na configuraçào do nginx

altendorfme · altendorfme · commit 5683fe987eef · 2024-12-05T14:27:14.000-03:00
diff --git a/default.conf b/default.conf
@@ -7,11 +7,36 @@ server {
 
     server_name _;
 
+    # Oculta a versão do NGINX para reduzir informações expostas
+    server_tokens off;
+
+    # Cabeçalhos de Segurança
+    # Habilita HSTS (HTTP Strict Transport Security) para forçar conexões HTTPS
     add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
+    
+    # Previne ataques de clickjacking, permitindo que o site seja exibido apenas em seu próprio domínio
     add_header X-Frame-Options "SAMEORIGIN" always;
+    
+    # Ativa proteção contra ataques de Cross-Site Scripting (XSS)
     add_header X-XSS-Protection "1; mode=block" always;
+    
+    # Impede que navegadores tentem adivinhar (sniff) o tipo MIME dos arquivos
     add_header X-Content-Type-Options "nosniff" always;
+    
+    # Controla como os cabeçalhos de referência são enviados
+    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
+    
+    # Política de Segurança de Conteúdo (CSP) para mitigar riscos de injeção de scripts
+    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self';" always;
+
+    # Limita o tamanho de uploads para prevenir ataques de negação de serviço
+    client_max_body_size 10M;
+    client_body_buffer_size 128k;
 
+    # Desativa listagem de diretórios para evitar exposição de estrutura
+    autoindex off;
+
+    # Bloqueia acesso a diretórios sensíveis
     location ~ ^/(logs|cache|inc|data|cli)/ {
         return 301 /;
     }
@@ -27,16 +52,24 @@ server {
     location ~ \.php$ {
         include snippets/fastcgi-php.conf;
         fastcgi_pass 127.0.0.1:9000;
+        
+        # Oculta cabeçalho que revela a versão do PHP
+        fastcgi_hide_header X-Powered-By;
     }
 
-    location ~ /\.ht {
+    # Bloqueia acesso a arquivos e diretórios ocultos
+    location ~ /\. {
         deny all;
+        return 404;
     }
 
-    location = /.env {
+    # Bloqueia acesso a arquivos de configuração e banco de dados
+    location ~ \.(sql|conf|ini)$ {
         deny all;
         return 404;
     }
 
+    # Minimiza logs para reduzir exposição de informações
     access_log /dev/null;
+    error_log /dev/stderr warn;
 }
