Настройка Nginx шаблонов в VestaCP

Сегодня разберем как можно изменить шаблоны VestaCP у Web сервера Nginx для получения рейтинга A+.

Лучше всего отредактировать /usr/local/vesta/data/templates/web/nginx/default.stpl
(тем более, что Vesta CP перезапишет сделанные вручную в конфиге изменения, если что-то будете редактировать из панели)

nano /usr/local/vesta/data/templates/web/nginx/default.stpl

Поддержка SSl и HTTP2

Добавляем следующие два фрагмента:

После %ip%:%proxy_ssl_port% в той же строке:

ssl http2

Также открываем на редактирование файл основной конфигурации nginx:

sudo nano /etc/nginx/nginx.conf

Находим секцию #SSL PCI Compliance и редактируем в соответствии с моим листингом:

add_header Strict-Transport-Security "max-age=31536000;";
add_header X-Frame-Options "DENY";
ssl_stapling on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_dhparam /home/admin/conf/web/dhparam.pem;
ssl_session_tickets off;

Также нужно сгенерировать dhparams.pem и положить в нужную папку:

openssl dhparam -out /home/admin/conf/web/dhparams.pem 4096

Вывод

Пример файла default.stpl

server {
listen %ip%:%proxy_ssl_port% ssl http2;
server_name %domain_idn% %alias_idn%;
ssl_certificate %ssl_pem%;
ssl_certificate_key %ssl_key%;
error_log /var/log/%web_system%/domains/%domain%.error.log error;
location / { proxy_pass https://%ip%:%web_ssl_port%; location ~* ^.+\.(%proxy_extentions%)$ { root %sdocroot%; access_log /var/log/%web_system%/domains/%domain%.log combined; access_log /var/log/%web_system%/domains/%domain%.bytes bytes; expires max; try_files $uri @fallback; } } location /error/ { alias %home%/%user%/web/%domain%/document_errors/; } location @fallback { proxy_pass https://%ip%:%web_ssl_port%; } location ~ /\.ht {return 404;} location ~ /\.svn/ {return 404;} location ~ /\.git/ {return 404;} location ~ /\.hg/ {return 404;} location ~ /\.bzr/ {return 404;} include %home%/%user%/conf/web/snginx.%domain%.conf*;

Пример файла nginx.conf

Привожу кусок файла nginx.conf непосредственно секцию SSL

Включим параметр HSTS, OCSP, dhparam, а также поддержу TLSv.1-v.1.3 и алгоритмы шифрования

....
# SSL PCI Compliance add_header Strict-Transport-Security "max-age=31536000;"; add_header X-Frame-Options "DENY"; ssl_stapling on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_dhparam /home/admin/conf/web/dhparam.pem; ssl_session_tickets off;
....

После внесения данных изменений на сайте ssllab проверка будет показывать рейтинг A+ для ваших сайтов.

Если есть вопросы, то пишем в комментариях и не забываем проголосовать за статью.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Настройка Nginx шаблонов в VestaCP
5 (100%) 4 votes

1
Оставить комментарий

avatar
1 Цепочка комментария
0 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
1 Авторы комментариев
вадим Авторы недавних комментариев
  Подписаться  
новее старее большинство голосов
Уведомление о
вадим
Гость
вадим

Спасибо за ваш труд. Много интересного нашёл на вашем сайте.

Меню

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Рейтинг@Mail.ru