别再只盯着SQL注入了!聊聊我在eduSRC挖掘中踩过的那些‘信息收集’的坑
2026/6/9 11:10:46
Docker部署DzzOffice公网安全访问指南:Nginx反向代理与HTTPS全流程配置
在数字化办公日益普及的今天,越来越多的团队选择自建协同办公平台来满足文档管理、在线编辑等需求。DzzOffice作为一款开源的协同办公系统,结合OnlyOffice提供的实时文档编辑功能,能够为中小团队提供媲美商业软件的办公体验。然而,当我们将这些服务从内网环境迁移到公网时,安全性和访问便利性就成为了必须解决的核心问题。
本文将手把手指导您完成从Docker容器部署到安全公网暴露的全过程,重点解决以下关键问题:如何通过Nginx反向代理统一服务端口?如何免费获取并配置SSL证书实现HTTPS加密?如何通过防火墙规则最小化攻击面?这些配置不仅适用于DzzOffice+OnlyOffice组合,其方法论也可迁移到其他基于Docker的Web应用部署场景。
1. 基础环境准备与安全考量
在开始配置之前,我们需要确保基础环境已经就绪并符合安全最佳实践。假设您已经按照常规方法在Docker中部署了DzzOffice(端口9090)和OnlyOffice(端口9000),现在需要将这些服务安全地暴露到公网。
最小化网络暴露原则应贯穿整个部署过程。这意味着:
- 关闭所有不必要的容器端口映射
- 禁止直接通过IP+端口访问服务
- 为每个服务配置独立的子域名
- 实施严格的防火墙规则
检查当前Docker容器的端口暴露情况:
docker ps --format "table {{.Names}}\t{{.Ports}}"理想输出应显示只有必要的端口被映射:
NAMES PORTS dzzoffice 0.0.0.0:9090->80/tcp docserver 0.0.0.0:9000->80/tcp如果发现其他不必要的端口映射,应通过docker stop和docker rm删除容器后,重新创建仅开放必要端口的容器实例。
2. Nginx反向代理配置详解
反向代理是公网暴露服务的安全基石,它能够隐藏内部端口、实现负载均衡,并为后续HTTPS配置提供统一入口。我们将为DzzOffice和OnlyOffice分别配置独立的代理规则。
2.1 安装与基础配置
首先确保服务器已安装最新版Nginx:
sudo apt update && sudo apt install nginx -y创建专用的配置文件目录结构:
sudo mkdir -p /etc/nginx/{sites-available,sites-enabled} sudo rm /etc/nginx/sites-enabled/default编辑主配置文件/etc/nginx/nginx.conf,在http块中添加:
include /etc/nginx/sites-enabled/*.conf; server_names_hash_bucket_size 64;2.2 DzzOffice代理配置
创建/etc/nginx/sites-available/dzzoffice.conf文件,内容如下:
server { listen 80; server_name office.yourdomain.com; location / { proxy_pass http://localhost:9090; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 重要安全头 add_header X-Content-Type-Options "nosniff"; add_header X-Frame-Options "SAMEORIGIN"; add_header Content-Security-Policy "default-src 'self'"; } # 静态文件缓存设置 location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ { expires 30d; add_header Cache-Control "public, no-transform"; } }2.3 OnlyOffice代理配置
创建/etc/nginx/sites-available/onlyoffice.conf文件,特别注意WebSocket支持:
map $http_upgrade $connection_upgrade { default upgrade; '' close; } server { listen 80; server_name docs.yourdomain.com; location / { proxy_pass http://localhost:9000; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; # 文档编辑需要较大超时时间 proxy_read_timeout 3600; proxy_send_timeout 3600; } }启用配置并测试:
sudo ln -s /etc/nginx/sites-available/dzzoffice.conf /etc/nginx/sites-enabled/ sudo ln -s /etc/nginx/sites-available/onlyoffice.conf /etc/nginx/sites-enabled/ sudo nginx -t && sudo systemctl reload nginx此时,您应该能通过http://office.yourdomain.com和http://docs.yourdomain.com访问服务,但连接仍是未加密的HTTP协议。
3. HTTPS加密与SSL证书配置
Let's Encrypt提供的免费SSL证书已经成为行业标准,我们使用Certbot工具自动化证书获取和续期流程。
3.1 安装Certbot
sudo apt install certbot python3-certbot-nginx -y3.2 获取并安装证书
为两个子域名同时申请证书:
sudo certbot --nginx -d office.yourdomain.com -d docs.yourdomain.comCertbot会自动修改Nginx配置,添加SSL相关指令并设置301重定向。检查生成的配置文件,您会看到类似这样的SSL配置片段:
listen 443 ssl http2; ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem; include /etc/letsencrypt/options-ssl-nginx.conf; ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;3.3 安全强化配置
在Nginx的SSL配置中添加以下安全增强参数:
ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305'; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_stapling on; ssl_stapling_verify on;3.4 自动续期设置
Let's Encrypt证书有效期为90天,设置自动续期:
sudo crontab -e添加以下行:
0 12 * * * /usr/bin/certbot renew --quiet && systemctl reload nginx4. 系统级安全加固措施
仅配置HTTPS并不足以保证系统安全,还需要实施多层次的防护措施。
4.1 防火墙配置
使用UFW防火墙限制入站流量:
sudo ufw allow 80/tcp comment 'HTTP for cert renewal' sudo ufw allow 443/tcp comment 'HTTPS' sudo ufw enable验证规则:
sudo ufw status numbered4.2 Docker网络安全
为相关容器创建专用网络:
docker network create office-net重新运行容器时加入--network office-net参数,并修改容器间通信使用内部DNS名称。
4.3 定期备份策略
设置每日自动备份数据库和应用数据:
mkdir -p /backups/dzzoffice cat > /usr/local/bin/backup_dzzoffice.sh <<EOF #!/bin/bash docker exec mysql sh -c 'exec mysqldump --all-databases -uroot -p"$MYSQL_ROOT_PASSWORD"' | gzip > /backups/dzzoffice/mysql_$(date +%Y%m%d).sql.gz tar czf /backups/dzzoffice/data_$(date +%Y%m%d).tar.gz /opt/dzzdata /opt/sqldata find /backups/dzzoffice -type f -mtime +30 -delete EOF chmod +x /usr/local/bin/backup_dzzoffice.sh添加到cron每日执行:
0 3 * * * /usr/local/bin/backup_dzzoffice.sh5. 故障排查与性能优化
即使按照最佳实践配置,实际运行中仍可能遇到各种问题。以下是常见问题的解决方案:
混合内容警告:确保DzzOffice配置中使用HTTPS地址:
- OnlyOffice API地址:
https://docs.yourdomain.com - DzzOffice服务器地址:
https://office.yourdomain.com
WebSocket连接问题:检查OnlyOffice代理配置中的Upgrade头是否正确设置,并确保防火墙未阻止WebSocket连接。
性能优化建议:
- 为Nginx启用Brotli压缩:
brotli on; brotli_comp_level 6; brotli_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;- 调整Docker资源限制:
docker update --memory 2G --memory-swap 4G dzzoffice docker update --cpus 2 docserver- 启用Nginx缓存:
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=office_cache:10m inactive=60m use_temp_path=off; server { # ... location ~* \.(php|jsp|cgi)$ { proxy_cache off; } location / { proxy_cache office_cache; proxy_cache_valid 200 302 10m; proxy_cache_valid 404 1m; # ...原有proxy配置 } }