Configuración de Headers de Seguridad en Nginx con DirectAdmin

Configuración de Headers de Seguridad en Nginx con DirectAdmin

Introducción

Esta guía documenta cómo configurar headers de seguridad en servidores con DirectAdmin, tanto a nivel global como para dominios específicos que requieran exclusiones.

Última actualización: 25/12/2024 GMT+1

Índice

• Configuración Global
• Personalización por Dominio
• Puntos de Inserción en DirectAdmin
• Ejemplos Prácticos
• Troubleshooting
• Variables Disponibles en Templates

Configuración Global

La configuración global se aplica a todos los dominios del servidor mediante el archivo:

/usr/local/directadmin/data/templates/custom/cust_nginx.CUSTOM.post

Crear el directorio custom (si no existe)

mkdir -p /usr/local/directadmin/data/templates/custom

Ejemplo de configuración global

# Security Headers - Global
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; font-src 'self' data: https:; connect-src 'self' https:; frame-src 'self' https://www.youtube.com https://www.google.com; frame-ancestors 'self'; base-uri 'self'; form-action 'self';" always;

# Custom error pages for nginx-only domains
error_page 400 /error/400.html;
error_page 401 /error/401.html;
error_page 403 /error/403.html;
error_page 404 /error/404.html;
error_page 405 /error/405.html;
error_page 406 /error/406.html;
error_page 413 /error/413.html;
error_page 422 /error/422.html;
error_page 429 /error/429.html;
error_page 431 /error/431.html;
error_page 500 /error/500.html;
error_page 502 /error/502.html;
error_page 503 /error/503.html;
error_page 504 /error/504.html;

location ^~ /error/ {
    alias |DOCROOT|/error/;
    internal;
    # Repetir headers en este location block
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; font-src 'self' data: https:; connect-src 'self' https:; frame-src 'self' https://www.youtube.com https://www.google.com; frame-ancestors 'self'; base-uri 'self'; form-action 'self';" always;
}

Aplicar cambios

Después de crear o modificar el archivo, reconstruir las configuraciones de nginx:

cd /usr/local/directadmin/custombuild
./build rewrite_confs

Personalización por Dominio

Para dominios que requieren configuraciones diferentes (CSP más permisivo, exclusiones de headers, etc.), DirectAdmin permite crear archivos de personalización por dominio.

Ubicación de archivos

/usr/local/directadmin/data/users/<USUARIO>/domains/<DOMINIO>.cust_nginx
/usr/local/directadmin/data/users/<USUARIO>/domains/<DOMINIO>.cust_nginx.2
/usr/local/directadmin/data/users/<USUARIO>/domains/<DOMINIO>.cust_nginx.3
/usr/local/directadmin/data/users/<USUARIO>/domains/<DOMINIO>.cust_nginx.4

Archivo de configuración personalizada en home del usuario

Para configuraciones más complejas, se puede crear un archivo .conf en el directorio del usuario e incluirlo:

/home/<USUARIO>/nginx/<nombre>.conf

Puntos de Inserción en DirectAdmin

DirectAdmin utiliza tokens en la plantilla nginx_server.conf para insertar configuraciones personalizadas:

Token	Archivo por Dominio	Ubicación en nginx
CUSTOM1	.cust_nginx	Antes del bloque server {}
CUSTOM	(interno)	Inicio del bloque server {}
CUSTOM2	.cust_nginx.2	Dentro de location / {}
CUSTOM3	.cust_nginx.3	Después de locations, antes de webapps
CUSTOM4	.cust_nginx.4	Final del bloque server {}

Archivo .cust_nginx (CUSTOM1)

Se usa principalmente para:

• Cambiar el DOCROOT (aplicaciones Laravel, etc.)
• Configuraciones que van antes del bloque server

Ejemplo - Cambiar DOCROOT para Laravel:

|?DOCROOT=`HOME`/domains/`DOMAIN`/mi-app/public|

Archivo .cust_nginx.3 (CUSTOM3)

Se usa para:

• Configuraciones de cache
• Location blocks adicionales
• Headers específicos para tipos de archivo

Ejemplo - Cache de assets:

location ~* \.(js|css|png|jpg|jpeg|gif|svg|ico)$ {
    expires 30d;
    add_header Cache-Control "public, no-transform";
}
location ~* \.(jpg|jpeg|gif|png|svg)$ {
    expires 365d;
}
location ~* \.(pdf|css|html|js|swf)$ {
    expires 2d;
}

Archivo .cust_nginx.4 (CUSTOM4)

Se usa para:

• Incluir archivos de configuración externos
• Location blocks complejos
• Reglas de rewrite específicas

Ejemplo - Incluir configuración WHMCS:

include /home/intranet/nginx/whmcs.conf;

Ejemplos Prácticos

Ejemplo 1: Dominio con CSP relajado

Para un dominio que necesita permitir scripts de terceros (ej: pasarelas de pago, widgets):

Archivo: /usr/local/directadmin/data/users/usuario/domains/tienda.com.cust_nginx.4

# Sobrescribir CSP global con uno más permisivo
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https: blob:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https: blob:; font-src 'self' data: https:; connect-src 'self' https: wss:; frame-src 'self' https:; frame-ancestors 'self'; base-uri 'self'; form-action 'self' https:;" always;

Ejemplo 2: Dominio que permite iframes externos

Para un dominio que necesita ser embebido en otros sitios:

Archivo: /usr/local/directadmin/data/users/usuario/domains/widget.com.cust_nginx.4

# Permitir que el sitio sea embebido
add_header X-Frame-Options "" always;
add_header Content-Security-Policy "default-src 'self'; frame-ancestors https://sitio-padre.com https://otro-sitio.com;" always;

Ejemplo 3: Aplicación Laravel con DOCROOT personalizado

Archivo: /usr/local/directadmin/data/users/develop/domains/larafactu.com.cust_nginx

|?DOCROOT=`HOME`/domains/`DOMAIN`/larafactu/public|

Ejemplo 4: BookStack Wiki

Archivo: /usr/local/directadmin/data/users/castris/domains/wiki.castris.com.cust_nginx

|?DOCROOT=`HOME`/domains/`DOMAIN`/BookStack/public|

Ejemplo 5: Configuración compleja con archivo externo

Crear archivo de configuración en home del usuario:

Archivo: /home/intranet/nginx/whmcs.conf

# WHMCS CONFIG
location ~ /announcements/?(.*)$ {
    rewrite ^/(.*)$ /index.php?rp=/announcements/$1;
}

location ~ /download/?(.*)$ {
    rewrite ^/(.*)$ /index.php?rp=/download$1;
}

location ~ /knowledgebase/?(.*)$ {
    rewrite ^/(.*)$ /index.php?rp=/knowledgebase/$1;
}

# ... más reglas de rewrite ...

# Security Advisory
location ^~ /vendor/ {
    deny all;
    return 403;
}

Archivo: /usr/local/directadmin/data/users/intranet/domains/intranet.castris.com.cust_nginx.4

include /home/intranet/nginx/whmcs.conf;

Ejemplo 6: Deshabilitar todos los headers de seguridad (NO RECOMENDADO)

Solo para debugging o situaciones muy específicas:

Archivo: /usr/local/directadmin/data/users/usuario/domains/debug.com.cust_nginx.4

# TEMPORAL - Solo para debugging
add_header X-Content-Type-Options "" always;
add_header X-Frame-Options "" always;
add_header X-XSS-Protection "" always;
add_header Referrer-Policy "" always;
add_header Permissions-Policy "" always;
add_header Strict-Transport-Security "" always;
add_header Content-Security-Policy "" always;

Troubleshooting

Verificar sintaxis de nginx

nginx -t

Ver configuración generada para un dominio

cat /etc/nginx/conf.d/usuario.dominio.com.conf

Reconstruir todas las configuraciones

cd /usr/local/directadmin/custombuild
./build rewrite_confs

Recargar nginx sin reiniciar

systemctl reload nginx

Verificar headers de un sitio

curl -I https://dominio.com

Logs de errores

tail -f /var/log/nginx/domains/dominio.com.error.log

Notas importantes

1. Orden de precedencia: Los headers definidos en location blocks más específicos sobrescriben los globales.

2. Keyword always: Usar siempre always al final del add_header para que se aplique en todas las respuestas (incluyendo errores).

3. Reconstruir después de cambios: Siempre ejecutar ./build rewrite_confs después de modificar archivos .cust_nginx*.

4. Permisos: Los archivos deben tener permisos correctos para que DirectAdmin pueda leerlos.

5. Variables de DirectAdmin: Se pueden usar variables como |DOCROOT|, |DOMAIN|, |HOME| en las configuraciones.

Variables Disponibles en Templates

Variable	Descripción
|DOMAIN|	Nombre del dominio
|HOME|	Directorio home del usuario
|DOCROOT|	Document root del dominio
|IP|	IP del servidor
|PORT_80|	Puerto HTTP
|PORT_443|	Puerto HTTPS

Referencias

• DirectAdmin Custom Nginx Templates
• Mozilla Observatory - Para verificar headers de seguridad
• Security Headers - Análisis de headers

Aviso

Esta documentación se entrega tal y como está, basada en configuración del servidor dar.tabratino.com.