location ~ /\.git {
      deny all;
    }

或者

 location ~ /\.  { return 403; }

只够根目录,子目录下如果还有.git还是可以被扫出来的。

用下面的:

location ~ .*\.git {
    deny all;
}