POST / Deploy2026-07-03
把 Nginx 当成个人服务器的前门
AUTHOR: 张建鹏
把 Nginx 当成个人服务器的前门
个人服务器上最容易失控的是入口。一个服务今天为了测试监听 0.0.0.0,明天忘了收回来,后天就变成暴露面。
把 Nginx 当成前门,核心是让后端服务尽量躲在本机或内网端口后面,只把必要路径交给公网。
当前入口的优点
图床服务就是一个比较好的例子:FastAPI 只监听 127.0.0.1:8001,公网请求必须先经过 Nginx。Nginx 负责上传体积限制、真实 IP、Forwarded 头和静态 uploads 映射,后端只专注上传校验和返回 URL。
需要继续收敛的地方
扫描结果里仍然有一些服务监听 0.0.0.0,例如 4081、4387、4388、5273。这不一定是错误,但它意味着访问控制不再只由 Nginx 决定。
比较稳妥的做法是:
- 能只给本机访问的服务,优先监听
127.0.0.1。 - 公网域名入口统一放在 Nginx server block。
- 上传类接口限制体积、类型和鉴权。
- 管理后台避免挂在默认站点根路径。
- 每个 server block 都保留 ACME challenge 目录,方便后续上 HTTPS。
博客先挂路径,再迁域名
这次博客先挂在 /blog/,是因为它能立刻上线,也不会影响 SFTPGo 的根路径代理。
location = /blog {
return 301 /blog/;
}
location ^~ /blog/ {
proxy_pass http://127.0.0.1:3000/;
}
等 DNS 和 HTTPS 准备好之后,再把它迁到独立域名会更清爽。
Terminal_Comments / 终端评论系统
Signals_Received
CONNECTING_D1_INSTANCE...