“`html

راهنمای جامع پیکربندی و بهینه‌سازی Nginx برای عملکرد و امنیت بالا

Nginx (اِنجین‌اِکس) به عنوان یک وب سرور متن‌باز، پروکسی معکوس، متعادل‌کننده بار و کش HTTP، نقش حیاتی در زیرساخت بسیاری از وب‌سایت‌ها و برنامه‌های کاربردی وب ایفا می‌کند. انعطاف‌پذیری، کارایی و قابلیت اطمینان بالای Nginx آن را به انتخابی محبوب در میان توسعه‌دهندگان و مدیران سیستم تبدیل کرده است. این راهنما به بررسی عمیق پیکربندی و بهینه‌سازی Nginx می‌پردازد تا اطمینان حاصل شود که از حداکثر پتانسیل آن برای عملکرد و امنیت بالا بهره‌مند می‌شوید.

فصل اول: نصب و پیکربندی اولیه Nginx

قبل از شروع بهینه‌سازی، ابتدا باید Nginx را نصب و پیکربندی کنید. این فصل به شما کمک می‌کند تا Nginx را به درستی نصب کرده و تنظیمات اولیه را انجام دهید.

نصب Nginx

بسته به سیستم عامل خود، روش‌های مختلفی برای نصب Nginx وجود دارد:

• Debian/Ubuntu: از دستور زیر استفاده کنید:

sudo apt update
 sudo apt install nginx

• CentOS/RHEL: ابتدا مخزن EPEL را فعال کنید:

sudo yum install epel-release
 sudo yum install nginx

• macOS: با استفاده از Homebrew:

brew update
 brew install nginx

پس از نصب، سرویس Nginx را با دستور زیر شروع کنید:

sudo systemctl start nginx

و آن را برای شروع خودکار در هنگام بوت سیستم فعال کنید:

sudo systemctl enable nginx

ساختار فایل‌های پیکربندی Nginx

درک ساختار فایل‌های پیکربندی Nginx برای اعمال تغییرات و بهینه‌سازی‌ها ضروری است. فایل اصلی پیکربندی nginx.conf در مسیر /etc/nginx/ قرار دارد. این فایل شامل بخش‌های زیر است:

• http: تنظیمات کلی مربوط به وب سرور، مانند نوع MIME، لاگ‌ها و زمان‌بندی‌ها.
• server: بلوک‌های سرور مجازی که هر کدام نماینده یک وب‌سایت یا برنامه کاربردی هستند. هر بلوک شامل تنظیمات مربوط به دامنه، پورت، روت و سایر ویژگی‌ها است.
• location: تعیین کننده نحوه پردازش درخواست‌ها برای مسیرهای خاص در یک بلوک سرور.

پیکربندی یک بلوک سرور ساده

برای پیکربندی یک وب‌سایت ساده، یک فایل جدید در مسیر /etc/nginx/conf.d/ ایجاد کنید (مثلاً example.com.conf) و تنظیمات زیر را در آن قرار دهید:

server {
  listen 80;
  server_name example.com www.example.com;

  root /var/www/example.com;
  index index.html index.htm;

  location / {
   try_files $uri $uri/ =404;
  }
 }

در این مثال:

• listen 80: Nginx را برای گوش دادن به پورت 80 (پورت استاندارد HTTP) تنظیم می‌کند.
• server_name: نام دامنه وب‌سایت را مشخص می‌کند.
• root: مسیر دایرکتوری ریشه وب‌سایت را تعیین می‌کند.
• index: نام فایل‌های index را مشخص می‌کند که در صورت عدم وجود فایل مشخص شده در URL، به صورت پیش‌فرض ارائه می‌شوند.
• location /: تمام درخواست‌ها را به دایرکتوری ریشه هدایت می‌کند و در صورت عدم وجود فایل یا دایرکتوری، خطای 404 را برمی‌گرداند.

پس از اعمال تغییرات، فایل پیکربندی را با دستور زیر تست کنید:

sudo nginx -t

و در صورت عدم وجود خطا، Nginx را مجدداً بارگیری کنید:

sudo systemctl reload nginx

فصل دوم: بهینه‌سازی عملکرد Nginx

بهینه‌سازی عملکرد Nginx می‌تواند تاثیر چشمگیری بر سرعت بارگذاری وب‌سایت و کاهش مصرف منابع سرور داشته باشد. این فصل به بررسی تکنیک‌های مختلف بهینه‌سازی عملکرد می‌پردازد.

فعال‌سازی Gzip Compression

Gzip Compression با فشرده‌سازی فایل‌ها قبل از ارسال به مرورگر، حجم داده‌ها را کاهش می‌دهد و سرعت بارگذاری را افزایش می‌دهد. برای فعال‌سازی Gzip، تنظیمات زیر را در بلوک http فایل nginx.conf قرار دهید:

gzip on;
 gzip_disable "msie6";

 gzip_vary on;
 gzip_proxied any;
 gzip_comp_level 6;
 gzip_buffers 16 8k;
 gzip_http_version 1.1;
 gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss image/svg+xml;

توضیحات:

• gzip on: فعال‌سازی Gzip Compression.
• gzip_disable "msie6": غیرفعال‌سازی Gzip برای مرورگرهای IE6 (به دلیل مشکلات سازگاری).
• gzip_vary on: افزودن هدر Vary: Accept-Encoding برای اطلاع‌رسانی به پروکسی‌ها.
• gzip_proxied any: فعال‌سازی Gzip برای درخواست‌های پروکسی شده.
• gzip_comp_level 6: سطح فشرده‌سازی (1-9، 6 مقدار پیشنهادی).
• gzip_buffers 16 8k: تعداد و اندازه بافرهای مورد استفاده برای فشرده‌سازی.
• gzip_http_version 1.1: حداقل نسخه HTTP مورد نیاز برای Gzip.
• gzip_types: انواع MIME فایل‌هایی که باید فشرده شوند.

فعال‌سازی Browser Caching

Browser Caching با ذخیره فایل‌های استاتیک (مانند تصاویر، CSS و JavaScript) در مرورگر کاربر، از دانلود مجدد آن‌ها در بازدیدهای بعدی جلوگیری می‌کند. برای فعال‌سازی Browser Caching، تنظیمات زیر را در بلوک location مربوط به فایل‌های استاتیک قرار دهید:

location ~* \.(jpg|jpeg|png|gif|svg|css|js|ico)$ {
  expires 30d;
  add_header Cache-Control "public, max-age=2592000";
 }

در این مثال:

• location ~* \.(jpg|jpeg|png|gif|svg|css|js|ico)$: این بلوک تمام فایل‌هایی با پسوندهای ذکر شده را هدف قرار می‌دهد.
• expires 30d: به مرورگر اعلام می‌کند که این فایل‌ها را به مدت 30 روز ذخیره کند.
• add_header Cache-Control "public, max-age=2592000": هدر Cache-Control را با مقدار public, max-age=2592000 اضافه می‌کند که معادل 30 روز است.

تنظیم Keep-Alive Connections

Keep-Alive Connections با ایجاد ارتباطات پایدار بین Nginx و مرورگر، از ایجاد و بستن مکرر ارتباطات جلوگیری می‌کند و بار سرور را کاهش می‌دهد. برای تنظیم Keep-Alive، تنظیمات زیر را در بلوک http فایل nginx.conf قرار دهید:

keepalive_timeout 65;
 keepalive_requests 100;

توضیحات:

• keepalive_timeout 65: زمان انتظار برای Keep-Alive Connection (به ثانیه).
• keepalive_requests 100: حداکثر تعداد درخواست‌هایی که می‌توان از طریق یک Keep-Alive Connection ارسال کرد.

بهینه‌سازی Buffer Size

تنظیم اندازه بافرها می‌تواند تاثیر بسزایی بر عملکرد Nginx داشته باشد. بافرهای بزرگتر می‌توانند باعث افزایش تاخیر شوند، در حالی که بافرهای کوچکتر می‌توانند منجر به استفاده بیشتر از CPU شوند. تنظیمات زیر را در بلوک http فایل nginx.conf قرار دهید:

client_max_body_size 10M;
 client_body_buffer_size 128k;

 proxy_buffer_size 128k;
 proxy_buffers 4 256k;
 proxy_busy_buffers_size 256k;

توضیحات:

• client_max_body_size 10M: حداکثر اندازه بدنه درخواست کلاینت (در این مثال 10 مگابایت).
• client_body_buffer_size 128k: اندازه بافر برای خواندن بدنه درخواست کلاینت.
• proxy_buffer_size 128k: اندازه بافر برای خواندن هدرهای پاسخ از سرور بالادستی.
• proxy_buffers 4 256k: تعداد و اندازه بافرهای مورد استفاده برای خواندن بدنه پاسخ از سرور بالادستی.
• proxy_busy_buffers_size 256k: حداکثر مقدار بافرهایی که می‌توانند در یک زمان “مشغول” باشند.

فعال‌سازی HTTP/2

HTTP/2 یک پروتکل جدیدتر است که نسبت به HTTP/1.1 بهبودهای قابل توجهی در عملکرد ارائه می‌دهد، از جمله Multiplexing، Header Compression و Server Push. برای فعال‌سازی HTTP/2، تنظیمات زیر را در بلوک server فایل nginx.conf قرار دهید:

listen 443 ssl http2;

توجه: HTTP/2 نیاز به اتصال SSL دارد. اطمینان حاصل کنید که SSL/TLS را به درستی پیکربندی کرده‌اید.

فصل سوم: تامین امنیت Nginx

امنیت Nginx از اهمیت بالایی برخوردار است، زیرا هر گونه آسیب‌پذیری می‌تواند منجر به حملات و نفوذ به وب‌سایت یا سرور شود. این فصل به بررسی تکنیک‌های مختلف تامین امنیت Nginx می‌پردازد.

به‌روزرسانی Nginx

به‌روزرسانی Nginx به آخرین نسخه، یکی از مهم‌ترین اقدامات برای حفظ امنیت است. نسخه‌های جدیدتر معمولاً شامل وصله‌های امنیتی هستند که آسیب‌پذیری‌های شناخته شده را برطرف می‌کنند. برای به‌روزرسانی Nginx، از دستورات زیر استفاده کنید:

• Debian/Ubuntu:

sudo apt update
 sudo apt upgrade nginx

• CentOS/RHEL:

sudo yum update nginx

• macOS:

brew upgrade nginx

غیرفعال‌سازی نسخه‌های Nginx

به‌طور پیش‌فرض، Nginx شماره نسخه خود را در هدرهای پاسخ HTTP افشا می‌کند. این اطلاعات می‌تواند توسط مهاجمان برای شناسایی آسیب‌پذیری‌های خاص استفاده شود. برای غیرفعال‌سازی این رفتار، تنظیمات زیر را در بلوک http فایل nginx.conf قرار دهید:

server_tokens off;

محدود کردن دسترسی به فایل‌های حساس

جلوگیری از دسترسی مستقیم به فایل‌های حساس (مانند فایل‌های پیکربندی، فایل‌های لاگ و فایل‌های پشتیبان) از اهمیت بالایی برخوردار است. برای این منظور، از بلوک‌های location با تنظیمات مناسب استفاده کنید. به عنوان مثال، برای جلوگیری از دسترسی به فایل‌های .htpasswd، تنظیمات زیر را در فایل nginx.conf قرار دهید:

location ~ /\.ht {
  deny all;
 }

جلوگیری از حملات DDoS

حملات DDoS (Distributed Denial of Service) می‌توانند با ارسال حجم عظیمی از ترافیک به سرور، آن را از دسترس خارج کنند. Nginx می‌تواند برای کاهش اثرات این حملات مورد استفاده قرار گیرد. از جمله تکنیک‌های مورد استفاده می‌توان به موارد زیر اشاره کرد:

• Rate Limiting: محدود کردن تعداد درخواست‌ها از یک IP خاص در یک بازه زمانی مشخص. برای این منظور، از ماژول ngx_http_limit_req_module استفاده کنید.
• Connection Limiting: محدود کردن تعداد ارتباطات همزمان از یک IP خاص. برای این منظور، از ماژول ngx_http_limit_conn_module استفاده کنید.

مثال Rate Limiting:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;

 server {
  ...
  location / {
   limit_req zone=mylimit burst=5 nodelay;
   ...
  }
 }

در این مثال:

• limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s: یک زون به نام mylimit با اندازه 10 مگابایت ایجاد می‌کند که تعداد درخواست‌ها از هر IP را با نرخ 1 درخواست در ثانیه محدود می‌کند.
• limit_req zone=mylimit burst=5 nodelay: در بلوک location، این زون را اعمال می‌کند و به هر IP اجازه می‌دهد تا 5 درخواست را به صورت همزمان ارسال کند (burst)، و از تاخیر در پردازش درخواست‌ها جلوگیری می‌کند (nodelay).

پیکربندی SSL/TLS قوی

پیکربندی صحیح SSL/TLS برای امنیت ارتباطات بین Nginx و مرورگر بسیار مهم است. از جمله اقدامات مهم در این زمینه می‌توان به موارد زیر اشاره کرد:

• استفاده از آخرین نسخه TLS: از TLS 1.2 یا TLS 1.3 استفاده کنید.
• انتخاب Cipher Suites قوی: از Cipher Suitesی استفاده کنید که از الگوریتم‌های رمزنگاری قوی استفاده می‌کنند و در برابر حملات شناخته شده مقاوم هستند.
• فعال‌سازی HSTS: HSTS (HTTP Strict Transport Security) مرورگر را مجبور می‌کند تا همیشه از طریق HTTPS به وب‌سایت شما متصل شود و از حملات Man-in-the-Middle جلوگیری می‌کند.
• دریافت گواهینامه SSL از یک CA معتبر: از یک CA (Certificate Authority) معتبر گواهینامه SSL تهیه کنید.

مثال پیکربندی SSL/TLS:

ssl_certificate /etc/nginx/ssl/example.com.crt;
 ssl_certificate_key /etc/nginx/ssl/example.com.key;

 ssl_protocols TLSv1.2 TLSv1.3;
 ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384';
 ssl_prefer_server_ciphers on;

 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

فصل چهارم: متعادل‌سازی بار (Load Balancing) با Nginx

متعادل‌سازی بار با توزیع ترافیک بین چندین سرور، از بار زیاد روی یک سرور جلوگیری می‌کند و باعث افزایش قابلیت اطمینان و مقیاس‌پذیری وب‌سایت یا برنامه کاربردی می‌شود. Nginx به عنوان یک متعادل‌کننده بار قدرتمند، می‌تواند ترافیک را به روش‌های مختلفی توزیع کند.

روش‌های متعادل‌سازی بار

Nginx از روش‌های مختلفی برای متعادل‌سازی بار پشتیبانی می‌کند، از جمله:

• Round Robin: ترافیک را به صورت چرخشی بین سرورها توزیع می‌کند.
• Least Connections: ترافیک را به سروری که کمترین تعداد ارتباطات فعال را دارد، توزیع می‌کند.
• IP Hash: ترافیک را بر اساس IP آدرس کلاینت به یک سرور خاص توزیع می‌کند (session affinity).
• Hash: ترافیک را بر اساس یک کلید دلخواه (مانند URL) به یک سرور خاص توزیع می‌کند.
• Random: ترافیک را به صورت تصادفی بین سرورها توزیع می‌کند.

پیکربندی متعادل‌سازی بار Round Robin

برای پیکربندی متعادل‌سازی بار Round Robin، ابتدا یک بلوک upstream ایجاد کنید که شامل لیست سرورهای بالادستی باشد. سپس، در بلوک server، ترافیک را به این بلوک upstream هدایت کنید.

upstream backend {

  server backend1.example.com;

  server backend2.example.com;

  server backend3.example.com;

 }

 server {

  listen 80;

  server_name example.com;
  location / {

   proxy_pass http://backend;

   proxy_set_header Host $host;

   proxy_set_header X-Real-IP $remote_addr;

   proxy_set_header X-Forwarded-For $proxy_add_x