nginx: 민감 파일(.env/.git/백업) 차단

실수로 웹루트에 올라온 시크릿/백업이 유출되지 않도록 기본 차단 룰을 추가

분야: DevOps/인프라 nginxsecuritysecrets

운영에서 “있어서는 안 되는 파일”이 웹에서 열리는 순간 사고가 됩니다. nginx에서 기본 차단 룰을 넣어 사람 실수를 방어합니다.

스니펫 예시

# dotfiles 차단 (단, Let's Encrypt 갱신용 .well-known은 예외)
location ~ /\.(?!well-known) {
  return 404;
}

# 흔한 시크릿/백업 확장자 차단
location ~* \.(?:env|ini|log|sql|bak|old|swp|tmp|pem|key)$ {
  return 404;
}

같이 보면 좋은 문서

같은 분야의 템플릿

Dockerfile: Node 프로덕션 기본 패턴
멀티스테이지 빌드로 이미지 크기를 줄이는 기본 예시
journalctl: systemd 서비스 장애 디버깅
status/journalctl로 장애 원인을 빠르게 좁히는 실무 명령어 모음
nginx: ACME(Let’s Encrypt) webroot 챌린지 설정
/.well-known/acme-challenge/ 경로만 안전하게 열어 certbot/ACME HTTP-01을 통과시키는 패턴
nginx: 서브패스(/admin)에서 SPA 서빙 (alias + fallback)
/admin 아래에 React/Vue SPA를 배포할 때 새로고침 404를 막는 alias/try_files 패턴
nginx: bot/스크래퍼 차단 (map 기반)
User-Agent 패턴을 map으로 분류하고, 필요한 엔드포인트만 보수적으로 차단하는 방법
nginx: /healthz JSON 엔드포인트 빠르게 만들기
업스트림 없이 nginx만으로 상태 확인용 엔드포인트를 제공하는 패턴(로드밸런서/모니터링용)