Host ASP.NET Core no Linux com NginxHost ASP.NET Core on Linux with Nginx

Por Sourabh ShirhattiBy Sourabh Shirhatti

Este guia explica como configurar um ambiente ASP.NET Core pronto para produção em um servidor Ubuntu 16.04.This guide explains setting up a production-ready ASP.NET Core environment on an Ubuntu 16.04 server. Essas instruções provavelmente funcionarão com versões mais recentes do Ubuntu, mas as instruções não foram testadas com versões mais recentes.These instructions likely work with newer versions of Ubuntu, but the instructions haven't been tested with newer versions.

Para saber mais sobre outras distribuições do Linux compatíveis com o ASP.NET Core, veja Pré-requisitos para o .NET Core no Linux.For information on other Linux distributions supported by ASP.NET Core, see Prerequisites for .NET Core on Linux.

Observação

Para Ubuntu 14.04, o supervisord é recomendado como uma solução para monitorar o processo do Kestrel.For Ubuntu 14.04, supervisord is recommended as a solution for monitoring the Kestrel process. O systemd não está disponível no Ubuntu 14.04.systemd isn't available on Ubuntu 14.04. Para obter instruções Ubuntu 14.04, veja a versão anterior deste tópico.For Ubuntu 14.04 instructions, see the previous version of this topic.

Este guia:This guide:

  • Coloca um aplicativo ASP.NET Core existente em um servidor proxy reverso.Places an existing ASP.NET Core app behind a reverse proxy server.
  • Configura o servidor proxy reverso para encaminhar solicitações ao servidor Web do Kestrel.Sets up the reverse proxy server to forward requests to the Kestrel web server.
  • Assegura que o aplicativo Web seja executado na inicialização como um daemon.Ensures the web app runs on startup as a daemon.
  • Configura uma ferramenta de gerenciamento de processo para ajudar a reiniciar o aplicativo Web.Configures a process management tool to help restart the web app.

Pré-requisitosPrerequisites

  1. Acesso a um servidor Ubuntu 16.04 com uma conta de usuário padrão com privilégio sudo.Access to an Ubuntu 16.04 server with a standard user account with sudo privilege.
  2. Instale o tempo de execução do .NET Core no servidor.Install the .NET Core runtime on the server.
    1. Acesse a página Todos os Downloads do .NET Core.Visit the .NET Core All Downloads page.
    2. Selecione o tempo de execução não de versão prévia mais recente da lista em Tempo de Execução.Select the latest non-preview runtime from the list under Runtime.
    3. Selecione e siga as instruções para Ubuntu que correspondem à versão Ubuntu do servidor.Select and follow the instructions for Ubuntu that match the Ubuntu version of the server.
  3. Um aplicativo ASP.NET Core existente.An existing ASP.NET Core app.

Publicar e copiar o aplicativoPublish and copy over the app

Configurar o aplicativo para um implantação dependente de estrutura.Configure the app for a framework-dependent deployment.

Se o aplicativo for executado localmente e não estiver configurado para fazer conexões seguras (HTTPS), adote uma das seguintes abordagens:If the app is run locally and isn't configured to make secure connections (HTTPS), adopt either of the following approaches:

  • Configure o aplicativo para lidar com conexões seguras locais.Configure the app to handle secure local connections. Para obter mais informações, veja a seção Configuração de HTTPS.For more information, see the HTTPS configuration section.
  • Remova https://localhost:5001 (se houver) da propriedade applicationUrl no arquivo Properties/launchSettings.json.Remove https://localhost:5001 (if present) from the applicationUrl property in the Properties/launchSettings.json file.

Execute dotnet publish do ambiente de desenvolvimento para empacotar um aplicativo em um diretório (por exemplo, bin/Release/<target_framework_moniker>/publish) que pode ser executado no servidor:Run dotnet publish from the development environment to package an app into a directory (for example, bin/Release/<target_framework_moniker>/publish) that can run on the server:

dotnet publish --configuration Release

O aplicativo também poderá ser publicado como uma implantação autossuficiente se você preferir não manter o tempo de execução do .NET Core no servidor.The app can also be published as a self-contained deployment if you prefer not to maintain the .NET Core runtime on the server.

Copie o aplicativo ASP.NET Core para o servidor usando uma ferramenta que se integre ao fluxo de trabalho da organização (por exemplo, SCP, SFTP).Copy the ASP.NET Core app to the server using a tool that integrates into the organization's workflow (for example, SCP, SFTP). É comum para localizar os aplicativos Web no diretório var (por exemplo, var/www/helloapp).It's common to locate web apps under the var directory (for example, var/www/helloapp).

Observação

Em um cenário de implantação de produção, um fluxo de trabalho de integração contínua faz o trabalho de publicar o aplicativo e copiar os ativos para o servidor.Under a production deployment scenario, a continuous integration workflow does the work of publishing the app and copying the assets to the server.

Teste o aplicativo:Test the app:

  1. Na linha de comando, execute o aplicativo: dotnet <app_assembly>.dll.From the command line, run the app: dotnet <app_assembly>.dll.
  2. Em um navegador, vá para http://<serveraddress>:<port> para verificar se o aplicativo funciona no Linux localmente.In a browser, navigate to http://<serveraddress>:<port> to verify the app works on Linux locally.

Configurar um servidor proxy reversoConfigure a reverse proxy server

Um proxy reverso é uma configuração comum para atender a aplicativos Web dinâmicos.A reverse proxy is a common setup for serving dynamic web apps. Um proxy reverso encerra a solicitação HTTP e a encaminha para o aplicativo ASP.NET Core.A reverse proxy terminates the HTTP request and forwards it to the ASP.NET Core app.

Usar um servidor proxy reversoUse a reverse proxy server

O Kestrel é excelente para servir conteúdo dinâmico do ASP.NET Core.Kestrel is great for serving dynamic content from ASP.NET Core. No entanto, as funcionalidades de servidor Web não têm tantos recursos quanto servidores como IIS, Apache ou Nginx.However, the web serving capabilities aren't as feature rich as servers such as IIS, Apache, or Nginx. Um servidor proxy reverso pode descarregar trabalho como servir conteúdo estático, armazenar solicitações em cache, compactar solicitações e terminar HTTPS do servidor HTTP.A reverse proxy server can offload work such as serving static content, caching requests, compressing requests, and HTTPS termination from the HTTP server. Um servidor proxy reverso pode residir em um computador dedicado ou pode ser implantado junto com um servidor HTTP.A reverse proxy server may reside on a dedicated machine or may be deployed alongside an HTTP server.

Para os fins deste guia, uma única instância de Nginx é usada.For the purposes of this guide, a single instance of Nginx is used. Ela é executada no mesmo servidor, junto com o servidor HTTP.It runs on the same server, alongside the HTTP server. Com base nos requisitos, uma configuração diferente pode ser escolhida.Based on requirements, a different setup may be chosen.

Uma vez que as solicitações são encaminhadas pelo proxy reverso, use o Middleware de Cabeçalhos Encaminhados do pacote Microsoft.AspNetCore.HttpOverrides.Because requests are forwarded by reverse proxy, use the Forwarded Headers Middleware from the Microsoft.AspNetCore.HttpOverrides package. O middleware atualiza o Request.Scheme usando o cabeçalho X-Forwarded-Proto, de forma que URIs de redirecionamento e outras políticas de segurança funcionam corretamente.The middleware updates the Request.Scheme, using the X-Forwarded-Proto header, so that redirect URIs and other security policies work correctly.

Qualquer componente que dependa do esquema, como autenticação, geração de link, redirecionamentos e localização geográfica, deverá ser colocado depois de invocar o Middleware de Cabeçalhos Encaminhados.Any component that depends on the scheme, such as authentication, link generation, redirects, and geolocation, must be placed after invoking the Forwarded Headers Middleware. Como regra geral, o Middleware de Cabeçalhos Encaminhados deve ser executado antes de outro middleware, exceto middleware de tratamento de erro e de diagnóstico.As a general rule, Forwarded Headers Middleware should run before other middleware except diagnostics and error handling middleware. Essa ordenação garantirá que o middleware conte com informações de cabeçalhos encaminhadas que podem consumir os valores de cabeçalho para processamento.This ordering ensures that the middleware relying on forwarded headers information can consume the header values for processing.

Invoque o método UseForwardedHeaders em Startup.Configure antes de chamar UseAuthentication ou outro middleware de esquema de autenticação semelhante.Invoke the UseForwardedHeaders method in Startup.Configure before calling UseAuthentication or similar authentication scheme middleware. Configure o middleware para encaminhar os cabeçalhos X-Forwarded-For e X-Forwarded-Proto:Configure the middleware to forward the X-Forwarded-For and X-Forwarded-Proto headers:

app.UseForwardedHeaders(new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
});

app.UseAuthentication();

Se nenhum ForwardedHeadersOptions for especificado para o middleware, os cabeçalhos padrão para encaminhar serão None.If no ForwardedHeadersOptions are specified to the middleware, the default headers to forward are None.

Os proxies em execução em endereços de loopback (127.0.0.0/8, [::1]), incluindo o endereço de host local padrão (127.0.0.1), são confiáveis por padrão.Proxies running on loopback addresses (127.0.0.0/8, [::1]), including the standard localhost address (127.0.0.1), are trusted by default. Se outros proxies ou redes confiáveis em que a organização trata solicitações entre a Internet e o servidor Web, adicione-os à lista de KnownProxies ou KnownNetworks com ForwardedHeadersOptions.If other trusted proxies or networks within the organization handle requests between the Internet and the web server, add them to the list of KnownProxies or KnownNetworks with ForwardedHeadersOptions. O exemplo a seguir adiciona um servidor proxy confiável no endereço IP 10.0.0.100 ao Middleware de cabeçalhos encaminhados KnownProxies em Startup.ConfigureServices:The following example adds a trusted proxy server at IP address 10.0.0.100 to the Forwarded Headers Middleware KnownProxies in Startup.ConfigureServices:

services.Configure<ForwardedHeadersOptions>(options =>
{
    options.KnownProxies.Add(IPAddress.Parse("10.0.0.100"));
});

Para obter mais informações, consulte Configure o ASP.NET Core para trabalhar com servidores proxy e balanceadores de carga.For more information, see Configure o ASP.NET Core para trabalhar com servidores proxy e balanceadores de carga.

Instalar o NginxInstall Nginx

Use apt-get para instalar o Nginx.Use apt-get to install Nginx. O instalador cria um script de inicialização systemd que executa o Nginx como daemon na inicialização do sistema.The installer creates a systemd init script that runs Nginx as daemon on system startup. Siga as instruções de instalação do Ubuntu no Nginx: pacotes Debian/Ubuntu oficiais.Follow the installation instructions for Ubuntu at Nginx: Official Debian/Ubuntu packages.

Observação

Se módulos Nginx opcionais forem exigidos, poderá haver necessidade de criar o Nginx da origem.If optional Nginx modules are required, building Nginx from source might be required.

Já que Nginx foi instalado pela primeira vez, inicie-o explicitamente executando:Since Nginx was installed for the first time, explicitly start it by running:

sudo service nginx start

Verifique se um navegador exibe a página de aterrissagem padrão do Nginx.Verify a browser displays the default landing page for Nginx. A página de aterrissagem é acessível em http://<server_IP_address>/index.nginx-debian.html.The landing page is reachable at http://<server_IP_address>/index.nginx-debian.html.

Configurar o NginxConfigure Nginx

Para configurar o Nginx como um proxy inverso para encaminhar solicitações para o nosso aplicativo ASP.NET Core, modifique /etc/nginx/sites-available/default.To configure Nginx as a reverse proxy to forward requests to your ASP.NET Core app, modify /etc/nginx/sites-available/default. Abra-o em um editor de texto arquivo e substitua o conteúdo pelo mostrado a seguir:Open it in a text editor, and replace the contents with the following:

server {
    listen        80;
    server_name   example.com *.example.com;
    location / {
        proxy_pass         http://localhost:5000;
        proxy_http_version 1.1;
        proxy_set_header   Upgrade $http_upgrade;
        proxy_set_header   Connection keep-alive;
        proxy_set_header   Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }
}

Quando nenhum server_name corresponde, o Nginx usa o servidor padrão.When no server_name matches, Nginx uses the default server. Se nenhum servidor padrão é definido, o primeiro servidor no arquivo de configuração é o servidor padrão.If no default server is defined, the first server in the configuration file is the default server. Como prática recomendada, adicione um servidor padrão específico que retorna um código de status 444 no arquivo de configuração.As a best practice, add a specific default server which returns a status code of 444 in your configuration file. Um exemplo de configuração de servidor padrão é:A default server configuration example is:

server {
    listen   80 default_server;
    # listen [::]:80 default_server deferred;
    return   444;
}

Com o servidor padrão e o arquivo de configuração anterior, o Nginx aceita tráfego público na porta 80 com um cabeçalho de host example.com ou *.example.com.With the preceding configuration file and default server, Nginx accepts public traffic on port 80 with host header example.com or *.example.com. Solicitações que não correspondam a esses hosts não serão encaminhadas para o Kestrel.Requests not matching these hosts won't get forwarded to Kestrel. O Nginx encaminha as solicitações correspondentes para o Kestrel em http://localhost:5000.Nginx forwards the matching requests to Kestrel at http://localhost:5000. Veja Como o nginx processa uma solicitação para obter mais informações.See How nginx processes a request for more information. Para alterar o IP/porta do Kestrel, veja Kestrel: configuração do ponto de extremidade.To change Kestrel's IP/port, see Kestrel: Endpoint configuration.

Aviso

Falha ao especificar uma diretiva server_name expõe seu aplicativo para vulnerabilidades de segurança.Failure to specify a proper server_name directive exposes your app to security vulnerabilities. Associações de curinga de subdomínio (por exemplo, *.example.com) não oferecerão esse risco de segurança se você controlar o domínio pai completo (em vez de *.com, o qual é vulnerável).Subdomain wildcard binding (for example, *.example.com) doesn't pose this security risk if you control the entire parent domain (as opposed to *.com, which is vulnerable). Veja rfc7230 section-5.4 para obter mais informações.See rfc7230 section-5.4 for more information.

Quando a configuração Nginx é estabelecida, execute sudo nginx -t para verificar a sintaxe dos arquivos de configuração.Once the Nginx configuration is established, run sudo nginx -t to verify the syntax of the configuration files. Se o teste do arquivo de configuração for bem-sucedido, você poderá forçar o Nginx a acompanhar as alterações executando sudo nginx -s reload.If the configuration file test is successful, force Nginx to pick up the changes by running sudo nginx -s reload.

Para executar o aplicativo diretamente no servidor:To directly run the app on the server:

  1. Navegue até o diretório do aplicativo.Navigate to the app's directory.
  2. Execute o aplicativo: dotnet <app_assembly.dll>, em que app_assembly.dll é o nome do arquivo do assembly do aplicativo.Run the app: dotnet <app_assembly.dll>, where app_assembly.dll is the assembly file name of the app.

Se o aplicativo for executado no servidor, mas não responder pela Internet, verifique o firewall do servidor e confirme que a porta 80 está aberta.If the app runs on the server but fails to respond over the Internet, check the server's firewall and confirm that port 80 is open. Se você estiver usando uma VM do Azure Ubuntu, adicione uma regra NSG (Grupo de Segurança de Rede) que permite tráfego de entrada na porta 80.If using an Azure Ubuntu VM, add a Network Security Group (NSG) rule that enables inbound port 80 traffic. Não é necessário habilitar uma regra de saída da porta 80, uma vez que o tráfego de saída é concedido automaticamente quando a regra de entrada é habilitada.There's no need to enable an outbound port 80 rule, as the outbound traffic is automatically granted when the inbound rule is enabled.

Quando terminar de testar o aplicativo, encerre o aplicativo com Ctrl+C no prompt de comando.When done testing the app, shut the app down with Ctrl+C at the command prompt.

Monitorar o aplicativoMonitor the app

O servidor agora está configurado para encaminhar solicitações feitas a http://<serveraddress>:80 ao aplicativo ASP.NET Core em execução no Kestrel em http://127.0.0.1:5000.The server is setup to forward requests made to http://<serveraddress>:80 on to the ASP.NET Core app running on Kestrel at http://127.0.0.1:5000. No entanto, o Nginx não está configurado para gerenciar o processo do Kestrel.However, Nginx isn't set up to manage the Kestrel process. É possível usar o systemd para criar um arquivo de serviço para iniciar e monitorar o aplicativo Web subjacente.systemd can be used to create a service file to start and monitor the underlying web app. systemd é um sistema de inicialização que fornece muitos recursos poderosos para iniciar, parar e gerenciar processos.systemd is an init system that provides many powerful features for starting, stopping, and managing processes.

Criar o arquivo de serviçoCreate the service file

Crie o arquivo de definição de serviço:Create the service definition file:

sudo nano /etc/systemd/system/kestrel-helloapp.service

A seguir, um exemplo de arquivo de serviço para o aplicativo:The following is an example service file for the app:

[Unit]
Description=Example .NET Web API App running on Ubuntu

[Service]
WorkingDirectory=/var/www/helloapp
ExecStart=/usr/bin/dotnet /var/www/helloapp/helloapp.dll
Restart=always
# Restart service after 10 seconds if the dotnet service crashes:
RestartSec=10
KillSignal=SIGINT
SyslogIdentifier=dotnet-example
User=www-data
Environment=ASPNETCORE_ENVIRONMENT=Production
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

Se o usuário www-data não é usado pela configuração, o usuário definido aqui deve ser criado primeiro e a propriedade adequada dos arquivos deve ser concedida a ele.If the user www-data isn't used by the configuration, the user defined here must be created first and given proper ownership for files.

Use TimeoutStopSec para configurar a duração do tempo de espera para o aplicativo desligar depois de receber o sinal de interrupção inicial.Use TimeoutStopSec to configure the duration of time to wait for the app to shut down after it receives the initial interrupt signal. Se o aplicativo não desligar nesse período, o SIGKILL será emitido para encerrá-lo.If the app doesn't shut down in this period, SIGKILL is issued to terminate the app. Forneça o valor como segundos sem unidade (por exemplo, 150), um valor de duração (por exemplo, 2min 30s) ou infinity para desabilitar o tempo limite.Provide the value as unitless seconds (for example, 150), a time span value (for example, 2min 30s), or infinity to disable the timeout. TimeoutStopSec é revertido para o valor padrão de DefaultTimeoutStopSec no arquivo de configuração do gerenciador (systemd-system.conf, system.conf.d, systemd-user.conf e user.conf.d).TimeoutStopSec defaults to the value of DefaultTimeoutStopSec in the manager configuration file (systemd-system.conf, system.conf.d, systemd-user.conf, user.conf.d). O tempo limite padrão para a maioria das distribuições é de 90 segundos.The default timeout for most distributions is 90 seconds.

# The default value is 90 seconds for most distributions.
TimeoutStopSec=90

O Linux tem um sistema de arquivos que diferencia maiúsculas de minúsculas.Linux has a case-sensitive file system. Definir ASPNETCORE_ENVIRONMENT para "Production" resulta em uma pesquisa pelo arquivo de configuração appsettings.Production.json, e não appsettings.production.json.Setting ASPNETCORE_ENVIRONMENT to "Production" results in searching for the configuration file appsettings.Production.json, not appsettings.production.json.

Alguns valores (por exemplo, cadeias de conexão de SQL) devem ser escapadas para que os provedores de configuração leiam as variáveis de ambiente.Some values (for example, SQL connection strings) must be escaped for the configuration providers to read the environment variables. Use o seguinte comando para gerar um valor corretamente com caracteres de escape para uso no arquivo de configuração:Use the following command to generate a properly escaped value for use in the configuration file:

systemd-escape "<value-to-escape>"

Separadores do tipo dois-pontos (:) não são compatíveis com nomes de variáveis de ambiente.Colon (:) separators aren't supported in environment variable names. Use um sublinhado duplo (__) no lugar de dois-pontos.Use a double underscore (__) in place of a colon. O provedor de configuração de Variáveis de Ambiente converte caracteres de sublinhado duplo em dois-pontos quando as variáveis de ambiente são lidas na configuração.The Environment Variables configuration provider converts double-underscores into colons when environment variables are read into configuration. No exemplo a seguir, a chave de cadeia de conexão ConnectionStrings:DefaultConnection está definida no arquivo de definição de serviço como ConnectionStrings__DefaultConnection:In the following example, the connection string key ConnectionStrings:DefaultConnection is set into the service definition file as ConnectionStrings__DefaultConnection:

Environment=ConnectionStrings__DefaultConnection={Connection String}

Salve o arquivo e habilite o serviço.Save the file and enable the service.

sudo systemctl enable kestrel-helloapp.service

Inicie o serviço e verifique se ele está em execução.Start the service and verify that it's running.

sudo systemctl start kestrel-helloapp.service
sudo systemctl status kestrel-helloapp.service

● kestrel-helloapp.service - Example .NET Web API App running on Ubuntu
    Loaded: loaded (/etc/systemd/system/kestrel-helloapp.service; enabled)
    Active: active (running) since Thu 2016-10-18 04:09:35 NZDT; 35s ago
Main PID: 9021 (dotnet)
    CGroup: /system.slice/kestrel-helloapp.service
            └─9021 /usr/local/bin/dotnet /var/www/helloapp/helloapp.dll

Com o proxy reverso configurado e o Kestrel gerenciado por meio de systemd, o aplicativo Web está totalmente configurado e pode ser acessado em um navegador no computador local em http://localhost.With the reverse proxy configured and Kestrel managed through systemd, the web app is fully configured and can be accessed from a browser on the local machine at http://localhost. Ele também é acessível por meio de um computador remoto, bloqueando qualquer firewall que o possa estar bloqueando.It's also accessible from a remote machine, barring any firewall that might be blocking. Inspecionando os cabeçalhos de resposta, o cabeçalho Server mostra o aplicativo ASP.NET Core sendo servido pelo Kestrel.Inspecting the response headers, the Server header shows the ASP.NET Core app being served by Kestrel.

HTTP/1.1 200 OK
Date: Tue, 11 Oct 2016 16:22:23 GMT
Server: Kestrel
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Transfer-Encoding: chunked

Exibir logsView logs

Já que o aplicativo Web usando Kestrel é gerenciado usando systemd, todos os eventos e os processos são registrados em um diário centralizado.Since the web app using Kestrel is managed using systemd, all events and processes are logged to a centralized journal. No entanto, esse diário contém todas as entradas para todos os serviços e processos gerenciados pelo systemd.However, this journal includes all entries for all services and processes managed by systemd. Para exibir os itens específicos de kestrel-helloapp.service, use o seguinte comando:To view the kestrel-helloapp.service-specific items, use the following command:

sudo journalctl -fu kestrel-helloapp.service

Para obter mais filtragem, opções de hora como --since today, --until 1 hour ago ou uma combinação delas, pode reduzir a quantidade de entradas retornadas.For further filtering, time options such as --since today, --until 1 hour ago or a combination of these can reduce the amount of entries returned.

sudo journalctl -fu kestrel-helloapp.service --since "2016-10-18" --until "2016-10-18 04:00"

Proteção de dadosData protection

A pilha de proteção de dados do ASP.NET Core é usada por vários middlewares do ASP.NET Core, incluindo o middleware de autenticação (por exemplo, o middleware de cookie) e as proteções de CSRF (solicitação intersite forjada).The ASP.NET Core Data Protection stack is used by several ASP.NET Core middlewares, including authentication middleware (for example, cookie middleware) and cross-site request forgery (CSRF) protections. Mesmo se as APIs de Proteção de Dados não forem chamadas pelo código do usuário, a proteção de dados deverá ser configurada para criar um repositório de chaves criptográfico persistente.Even if Data Protection APIs aren't called by user code, data protection should be configured to create a persistent cryptographic key store. Se a proteção de dados não estiver configurada, as chaves serão mantidas na memória e descartadas quando o aplicativo for reiniciado.If data protection isn't configured, the keys are held in memory and discarded when the app restarts.

Se o token de autenticação for armazenado na memória quando o aplicativo for reiniciado:If the key ring is stored in memory when the app restarts:

  • Todos os tokens de autenticação baseados em cookies serão invalidados.All cookie-based authentication tokens are invalidated.
  • Os usuários precisam entrar novamente na próxima solicitação deles.Users are required to sign in again on their next request.
  • Todos os dados protegidos com o token de autenticação não poderão mais ser descriptografados.Any data protected with the key ring can no longer be decrypted. Isso pode incluir os tokens CSRF e cookies TempData do MVC do ASP.NET Core.This may include CSRF tokens and ASP.NET Core MVC TempData cookies.

Para configurar a proteção de dados de modo que ela mantenha e criptografe o token de autenticação, consulte:To configure data protection to persist and encrypt the key ring, see:

Campos de cabeçalho da solicitação muito grandesLong request header fields

Se o aplicativo exigir campos de cabeçalho de solicitação mais longos que o permitido pelas configurações padrão do servidor proxy (normalmente de 4K ou 8K dependendo da plataforma), as seguintes diretivas precisarão de ajustes.If the app requires request header fields longer than permitted by the proxy server's default settings (typically 4K or 8K depending on the platform), the following directives require adjustment. Os valores que serão aplicados são dependentes de cenário.The values to apply are scenario-dependent. Para obter mais informações, confira a documentação do servidor.For more information, see your server's documentation.

Aviso

Não aumente os valores padrão de buffers de proxy a menos que necessário.Don't increase the default values of proxy buffers unless necessary. Aumentar esses valores aumenta o risco de estouro de buffer (estouro) e ataques de DoS (negação de serviço) por usuários mal-intencionados.Increasing these values increases the risk of buffer overrun (overflow) and Denial of Service (DoS) attacks by malicious users.

Proteger o aplicativoSecure the app

Habilitar AppArmorEnable AppArmor

O LSM (Módulos de Segurança do Linux) é uma estrutura que é parte do kernel do Linux desde o Linux 2.6.Linux Security Modules (LSM) is a framework that's part of the Linux kernel since Linux 2.6. O LSM dá suporte a diferentes implementações de módulos de segurança.LSM supports different implementations of security modules. O AppArmor é um LSM que implementa um sistema de controle de acesso obrigatório que permite restringir o programa a um conjunto limitado de recursos.AppArmor is a LSM that implements a Mandatory Access Control system which allows confining the program to a limited set of resources. Verifique se o AppArmor está habilitado e configurado corretamente.Ensure AppArmor is enabled and properly configured.

Configurar o firewallConfigure the firewall

Feche todas as portas externas que não estão em uso.Close off all external ports that are not in use. Firewall descomplicado (ufw) fornece um front-end para iptables fornecendo uma interface de linha de comando para configurar o firewall.Uncomplicated firewall (ufw) provides a front end for iptables by providing a command line interface for configuring the firewall.

Aviso

Um firewall impedirá o acesso a todo o sistema se não ele estiver configurado corretamente.A firewall will prevent access to the whole system if not configured correctly. Se houver falha ao especificar a porta SSH correta, você será bloqueado do sistema se estiver usando o SSH para se conectar a ele.Failure to specify the correct SSH port will effectively lock you out of the system if you are using SSH to connect to it. A porta padrão é a 22.The default port is 22. Para obter mais informações, consulte a introdução ao ufw e o manual.For more information, see the introduction to ufw and the manual.

Instale o ufw e configure-o para permitir o tráfego em todas as portas necessárias.Install ufw and configure it to allow traffic on any ports needed.

sudo apt-get install ufw

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

sudo ufw enable

Proteger o NginxSecure Nginx

Alterar o nome da resposta do NginxChange the Nginx response name

Edite src/http/ngx_http_header_filter_module.c:Edit src/http/ngx_http_header_filter_module.c:

static char ngx_http_server_string[] = "Server: Web Server" CRLF;
static char ngx_http_server_full_string[] = "Server: Web Server" CRLF;

Configurar opçõesConfigure options

Configure o servidor com os módulos adicionais necessários.Configure the server with additional required modules. Considere usar um firewall de aplicativo Web como ModSecurity para fortalecer o aplicativo.Consider using a web app firewall, such as ModSecurity, to harden the app.

Configuração de HTTPSHTTPS configuration

Configurar o aplicativo para conexões seguras (HTTPS) locaisConfigure the app for secure (HTTPS) local connections

O comando dotnet run usa o arquivo Properties/launchSettings.json do aplicativo, que configura o aplicativo para escutar nas URLs fornecidas pela propriedade applicationUrl (por exemplo, https://localhost:5001; http://localhost:5000).The dotnet run command uses the app's Properties/launchSettings.json file, which configures the app to listen on the URLs provided by the applicationUrl property (for example, https://localhost:5001;http://localhost:5000).

Configure o aplicativo para usar um certificado no desenvolvimento para o comando dotnet run ou no ambiente de desenvolvimento (F5 ou Ctrl + F5 no Visual Studio Code) usando uma das seguintes abordagens:Configure the app to use a certificate in development for the dotnet run command or development environment (F5 or Ctrl+F5 in Visual Studio Code) using one of the following approaches:

Configurar o proxy reverso para conexões de cliente seguras (HTTPS)Configure the reverse proxy for secure (HTTPS) client connections

  • Configure o servidor para escutar tráfego HTTPS na porta 443 especificando um certificado válido emitido por uma AC (autoridade de certificação) confiável.Configure the server to listen to HTTPS traffic on port 443 by specifying a valid certificate issued by a trusted Certificate Authority (CA).

  • Aprimore a segurança, empregando algumas das práticas descritas no arquivo /etc/nginx/nginx.conf a seguir.Harden the security by employing some of the practices depicted in the following /etc/nginx/nginx.conf file. Exemplos incluem a escolha de uma criptografia mais forte e o redirecionamento de todo o tráfego por meio de HTTP para HTTPS.Examples include choosing a stronger cipher and redirecting all traffic over HTTP to HTTPS.

  • A adição de um cabeçalho HTTP Strict-Transport-Security (HSTS) garante que todas as próximas solicitações feitas pelo cliente sejam por HTTPS.Adding an HTTP Strict-Transport-Security (HSTS) header ensures all subsequent requests made by the client are over HTTPS.

  • Não adicione o cabeçalho HSTS ou escolha um max-age apropriado, se quiser desabilitar o HTTPS futuramente.Don't add the HSTS header or chose an appropriate max-age if HTTPS will be disabled in the future.

Adicione o arquivo de configuração /etc/nginx/proxy.conf:Add the /etc/nginx/proxy.conf configuration file:

proxy_redirect          off;
proxy_set_header        Host $host;
proxy_set_header        X-Real-IP $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header        X-Forwarded-Proto $scheme;
client_max_body_size    10m;
client_body_buffer_size 128k;
proxy_connect_timeout   90;
proxy_send_timeout      90;
proxy_read_timeout      90;
proxy_buffers           32 4k;

Edite o arquivo de configuração /etc/nginx/nginx.conf.Edit the /etc/nginx/nginx.conf configuration file. O exemplo contém ambas as seções http e server em um arquivo de configuração.The example contains both http and server sections in one configuration file.

http {
    include        /etc/nginx/proxy.conf;
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    server_tokens  off;

    sendfile on;
    keepalive_timeout   29; # Adjust to the lowest possible value that makes sense for your use case.
    client_body_timeout 10; client_header_timeout 10; send_timeout 10;

    upstream hellomvc{
        server localhost:5000;
    }

    server {
        listen     *:80;
        add_header Strict-Transport-Security max-age=15768000;
        return     301 https://$host$request_uri;
    }

    server {
        listen                    *:443 ssl;
        server_name               example.com;
        ssl_certificate           /etc/ssl/certs/testCert.crt;
        ssl_certificate_key       /etc/ssl/certs/testCert.key;
        ssl_protocols             TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers               "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
        ssl_ecdh_curve            secp384r1;
        ssl_session_cache         shared:SSL:10m;
        ssl_session_tickets       off;
        ssl_stapling              on; #ensure your cert is capable
        ssl_stapling_verify       on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic
        location / {
            proxy_pass http://hellomvc;
            limit_req  zone=one burst=10 nodelay;
        }
    }
}

Proteger o Nginx de clickjackingSecure Nginx from clickjacking

Clickjacking, também conhecido como um ataque por inferência na interface do usuário, é um ataque mal-intencionado em que o visitante do site é levado a clicar em um link ou botão em uma página diferente daquela que está visitando atualmente.Clickjacking, also known as a UI redress attack, is a malicious attack where a website visitor is tricked into clicking a link or button on a different page than they're currently visiting. Use X-FRAME-OPTIONS para proteger o site.Use X-FRAME-OPTIONS to secure the site.

Para atenuar ataques de clickjacking:To mitigate clickjacking attacks:

  1. Edite o arquivo nginx.conf:Edit the nginx.conf file:

    sudo nano /etc/nginx/nginx.conf
    

    Adicione a linha add_header X-Frame-Options "SAMEORIGIN";.Add the line add_header X-Frame-Options "SAMEORIGIN";.

  2. Salve o arquivo.Save the file.

  3. Reinicie o Nginx.Restart Nginx.

Detecção de tipo MIMEMIME-type sniffing

Esse cabeçalho evita que a maioria dos navegadores faça detecção MIME de uma resposta distante do tipo de conteúdo declarado, visto que o cabeçalho instrui o navegador para não substituir o tipo de conteúdo de resposta.This header prevents most browsers from MIME-sniffing a response away from the declared content type, as the header instructs the browser not to override the response content type. Com a opção nosniff, se o servidor informa que o conteúdo é "text/html", o navegador renderiza-a como "text/html".With the nosniff option, if the server says the content is "text/html", the browser renders it as "text/html".

Edite o arquivo nginx.conf:Edit the nginx.conf file:

sudo nano /etc/nginx/nginx.conf

Adicione a linha add_header X-Content-Type-Options "nosniff"; e salve o arquivo, depois reinicie o Nginx.Add the line add_header X-Content-Type-Options "nosniff"; and save the file, then restart Nginx.

Recursos adicionaisAdditional resources