NGINX_十八 nginx 访问控制

已于 2024-06-22 09:07:38 修改
阅读量388 收藏 10
点赞数 12
分类专栏: linux持续学习中 文章标签: nginx 网络 运维
于 2024-06-21 11:03:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bozuris/article/details/139826229
版权

十八 nginx 访问控制

1 nginx 访问控制模块

(1)基于IP的访问控制:http_access_module
(2)基于用户的信任登录:http_auth_basic_module

2 基于IP的访问控制

2.1 配置语法

Syntax:allow address | CIDR | unix: | all;
default:默认无
Context:http,server,location,limit_except

Syntax:deny address | CIDR | unix: | all;
default:默认无
Context:http,server,location,limit_except

2.2 配置测试

修改/etc/nginx/conf.d/access_mod.conf内容如下:

server {
        listen 80;
        server_name localhost;
        location ~ ^/admin {
                root /home/www/html;
                index index.html index.hml;
                deny 192.168.1.8;
                allow all;
                #deny 192.168.1.8;
                }
}
#需要注意:
如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。
先写范围小的

虚拟机宿主机IP为192.168.1.8,虚拟机IP为192.168.1.11,故这里禁止宿主机访问,允许其他所有IP访问。
宿主机访问http://192.168.1.11/admin,显示403 Forbidden
当然也可以反向配置,同时也可以使用IP网段的配置方式,如allow 192.168.1.0/24;,表示满足此网段的IP都可以访问。

2.3 指定location拒绝所有请求

如果你想拒绝某个指定URL地址的所有请求,而不是仅仅对其限速,只需要在location块中配置deny all指令:

server {
        listen 80;
        server_name localhost;
        location /foo.html {
                root /home/www/html;
                deny all;
                }
}

2.4 局限性

remote_addr只能记录上一层与服务器直接建立连接的IP地址,若中间有代理,则记录的是代理的IP地址。
http_x_forwarded_for可以记录每一层级的IP。

1561994965370

2.5 解决方法

(1)采用别的HTTP头信息控制访问,如HTTP_X_FORWARD_FOR(无法避免被改写)
(2)结合geo模块
(3)通过HTTP自定义变量传递

3 基于用户的信任登录

3.1 配置语法

Syntax:auth_basic string | off;
default:auth_basic off;
Context:http,server,location,limit_except

Syntax:auth_basic_user_file file;
default:默认无
Context:http,server,location,limit_except
file:存储用户名密码信息的文件。

3.2 配置示例

改名access_mod.confauth_mod.conf,内容如下:

server {
	listen 80;
	server_name localhost;
	location ~ ^/admin {
		root /home/www/html;
		index index.html index.hml;
		auth_basic "Auth access test!";
		auth_basic_user_file /etc/nginx/auth.conf;
		}
}

auth_basic不为off,开启登录验证功能,auth_basic_user_file加载账号密码文件。

3.3 建立口令文件

[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件
[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10
[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20
[root@192 ~]# cat /etc/nginx/auth_conf 
user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40
user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0

3.4 访问测试

1561996355328

3.5 局限性

(1)用户信息依赖文件方式
(2)操作管理机械,效率低下

3.6 解决方法

(1)Nginx结合LUA实现高效验证
(2)Nginx和LDAP打通,利用nginx-auth-ldap模块
(3)Nginx只做中间代理,具体认证交给应用。

bozuris
关注
  • 12
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx proxy_pass反向代理配置访问不到 一直404
隔壁老瓦的专栏
07-19 7083
开发配置nginx反向代理,发现一直不通;curlhttp报404问题curlhttp访问通。
nginx安装nginx_upstream_check_module模块实现业务平滑转移
icanflying的博客
01-11 1万+
前言 主动地健康检查,nignx定时主动地去ping后端的服务列表,当发现某服务出现异常时,把该服务从健康列表中移除,当发现某服务恢复时,又能够将该服务加回健康列表中。nginx自带的upstream轮询可以实现业务接口切换,nginx有一个开源的实现nginx_upstream_check_module模块能更加平滑的进行业务切换 nginx自带健康检查的缺陷: Nginx只有当有访问时后,才发起对后端节点探测。 如果本次请求中,节点正好出现故障,Nginx依然将请求转交给故障的节点,...
nginx安装第三方模块nginx_upstream_check_module
热门推荐
03-29 1万+
nginx安装第三访模块nginx_upstream_check_module一:nginx后端健康检查二:nginx被动检查三:nginx主动检查3.1 安装nginx_upstream_check_module3.2 模块配置四:docker中安装 一:nginx后端健康检查 nginx自带健康检查的缺陷: Nginx只有当有访问时后,才发起对后端节点探测。 如果本次请求中,节点正好出现故障...
nginx文件上传模块 nginx_upload_module
weixin_47980221的博客
03-15 9726
1、编译安装nginx wget https://github.com/fdintino/nginx-upload-module/archive/refs/heads/master.zip PS:原先使用的nginx-upload-module-2.2编译的时候报错:ngx_http_upload_module.c:14:17: fatal error: md5.h: No such ...
nginx remote_address控制访问地址
云深海阔专栏
11-06 7460
nginx对应server段配置内容如下: server { listen 80; server_name admin.shanhua.test localhost; error_page 404 /404.html; location /404.html { allow all; root html; } locat...
nginx server_name 含义
Malik的博客
03-21 5979
nginx server_name 含义
07_Nginx_auth_request模块
田一一
03-16 7685
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。 a
Nginx proxy_pass详解
言尭的博客
12-16 1万+
Nginx 是最常用的反向代理工具之一,一个指令proxy_pass搞定反向代理,对于接口代理、负载均衡很是实用,但proxy_pass指令后面的参数很有讲究,通常一个/都可能引发一个血案。 通常nginx配置proxy_pass指令时,如果proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分代理上。 url 只是 host,不带/ 例如: http://host- √ https://host- √ http://host...
Nginx 配置 proxy_pass 详解
MR.骑士道
03-09 6643
Nginx 配置 proxy_pass 详解
源码安装Nginx_超详细
wyc_0109的博客
07-01 3789
nginx源码安装 2022年1.20.2最新版本 超详细!
nginx.config_nginx_
10-01
- 可以通过配置限制访问,防止DDoS攻击: ```nginx limit_conn zone_name max_conns; limit_rate rate; deny all; ``` `limit_conn`限制连接数,`limit_rate`限制速率,`deny`阻止所有请求。 以上仅是Nginx...
nginx_cache_purge.zip
04-28
总的来说,Nginx Cache Purge是Nginx缓存管理的有力工具,通过它,我们可以更灵活、更高效地控制Web服务的缓存,提供优质的用户体验。在日常运维中,理解并熟练运用Nginx Cache Purge,不仅能够提升网站性能,还能...
fastDFS+Nginx_fastdfs_fastdfs、nginx_fastdfs/nginx_
09-29
- 通过Nginx访问上传的文件,验证文件能否正确通过Nginx返回 4. **优化与扩展** - 负载均衡:可以通过配置多个Storage Server实现负载均衡,提高系统可用性 - 数据冗余:设置多个数据卷进行文件复制,确保数据...
nginx自己_nginx_
10-04
Nginx默认记录访问日志,可以在`http`或`server`块中自定义日志格式: ```nginx access_log /var/log/nginx/access.log custom; log_format custom '$remote_addr - $remote_user [$time_local] "$request" ' '$...
nginx_1.7.11.3_Gryphon.zip
07-28
8. **安全考虑**:作为直播服务器,Nginx 需要配置防火墙规则、SSL/TLS 加密以及访问控制,以确保内容安全并防止未经授权的访问。 9. **监控和日志**:为了确保服务的稳定性和性能,需要监控 Nginx 的运行状态,...
CyberVadis评估!
zhong_bang的博客
07-17 579
这包括让供应商直接参与评估,与内部安全分析师团队一起验证结果,并向公司发布标准化的网络安全评级,他们可以与他人分享,以及详细的改进计划以提高他们的分数,以及与客户和供应商合作实施更好实践的能力。1、针对被评估公司的网络环境、信息安全管理体系,以及风险控制和识别措施即使是以极为严苛的欧洲和北美标准来衡量,也是相当安全可靠的。我们的内部安全分析师审查您的调查问卷和所有共享文档,与外部来源交叉检查他们的结果,为您的公司打分。经过高级分析师的验证后,可以访问您的绩效以查看您独特的记分卡、优势和可行的改进计划。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 408
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
【Socket 编程】基于UDP协议建立多人聊天室
最新发布
稻草人敲代码的博客
07-19 393
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
curl访问nginx_status报错404
04-11
这个问题可能属于技术问题,我可以试着帮您解决。首先,您需要确保在nginx.conf文件中开启了ngx_http_stub_status_module模块,并在server配置中添加了如下代码: location /nginx_status { stub_status on; access_log off; allow 127.0.0.1; deny all; } 然后使用curl访问http://127.0.0.1/nginx_status,如果仍然出现404错误,可能是nginx的配置或者安装出现了问题,您可以检查一下nginx的错误日志或者重新安装nginx。希望这个回答能够帮到您。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值