Nginx 部分 (七)模块安装 &相关安全策略配置

已于 2023-11-19 23:16:52 修改
阅读量180 收藏
点赞数
分类专栏: nginx 文章标签: nginx 运维
于 2023-11-13 20:14:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coffeeandice/article/details/134157700
版权

文章目录

一、前言

这里主要涉及模块安装及部分安全标签的设置,会伴随遇到的问题持续更新

二、模块内容

1、map 模块

源码安装:
这里主要是兼容做变量映射
适应范围: http、server、location

  通常压缩目录下执行即可
 ① `./configure --add-module=src/http/modules/ngx_http_map_module``make & make install`

作用相关

用途描述
变量转换你可以使用map模块将一个变量的值映射到另一个变量,从而更改请求或响应中的变量值
HTTP状态码重定向根据条件,你可以使用map模块来配置HTTP请求的状态码,实现URL重定向或自定义错误页面。
流量分发你可以使用map模块来决定请求应该由哪个后端服务器或上游代理处理,根据条件选择后端服务器
URL重写map模块可以用于根据输入的URL来创建新的URL,用于请求的路由或URL重写
反向代理规则可以使用map模块来定义反向代理规则,根据输入条件将请求代理到不同的上游服务器

2、lua 模块

如果建议还是放到脚本库去跑,用着用着,你会爱上它~
要合理利用工具搜刮合理的知识才是最好的。

2.1、nginx指定lua 指令

指令名称作用域备注
————/访问阶段执行 Lua 代码
access_by_lua_blockloaction允许在访问阶段执行 Lua 代码
access_by_lua_fileloaction允许在访问阶段执行 Lua 代码
————/处理内容阶段执行 Lua 代码
content_by_lua_blocklocation块内执行lua脚本
content_by_lua_filelocation指定一个 Lua 脚本文件执行
————/响应头阶段执行 Lua 代码
header_filter_by_lua_blocklocation在响应头过滤阶段执行 Lua 代码
header_filter_by_lua_filelocation在响应头过滤阶段执行 Lua 代码
————/处理消息返回体阶段执行 Lua 代码
body_filter_by_lua_blocklocation在响应体过滤阶段执行 Lua 代码
body_filter_by_lua_filelocation在响应体过滤阶段执行 Lua 代码

2.2、lua通用指令

指令名称备注
————获取内容
ngx.req.get_headers()获取特定的请求头参数
ngx.req.get_uri_args()获取请求的 URI 参数
ngx.var.VARIABLE获取 Nginx 配置变量的值
ngx.time()当前的 Unix 时间戳
————设置内容
ngx.exit(status)设置返回值,ngx.HTTP_OK、ngx.HTTP_NOT_FOUND、ngx.HTTP_FORBIDDEN
ngx.header.HEADER设置响应头信息
ngx.print(content)将内容输出到响应体
ngx.say(content)将内容输出到响应体,末尾添加换行符
ngx.location.capture(“/”)后端服务发起额外的请求并获取其响应内容,可细查
ngx.exec(“/”)内部执行一个新请求,可细查
————设置全局内容
ngx.shared.dict可以全局变量中设置内容,共享操作

源码安装:

# 下载 Lua 模块到特定目录,例如/opt/nginx
git clone https://github.com/openresty/lua-nginx-module.git

# 在nginx压缩目录下配置编译 Nginx,添加 Lua 模块
./configure --add-module=/opt/nginx/lua-nginx-module
make
sudo make install

命令安装:

#执行过程中,建议先暂停nginx
#1、 安装Lua解析器
# Ubuntu 或 Debian
sudo apt-get install luajit

# CentOS 或 Fedora
sudo yum install luajit

#2、安装相关模块集成依赖
# 这个过程中记得保存原本的config

sudo apt-get install -y curl gnupg2 ca-certificates lsb-release
echo "deb http://openresty.org/package/ubuntu $(lsb_release -sc) main" \
  | sudo tee /etc/apt/sources.list.d/openresty.list
curl -fsSL https://openresty.org/package/pubkey.gpg | sudo apt-key add -
sudo apt-get update
sudo apt-get install openresty

#3、启动依赖必须
sudo systemctl start openresty.service
#4、编写脚本验证是否安装
        location /lua {
            default_type 'text/plain';
            content_by_lua_block {
                ngx.say("Hello, Lua!");
            }
        }

# 这时候记得去操作openresty下的nginx,而不是直接nginx

三、安全策略相关

1、csrf

1.1、referer 防护(仅可应对扫描)

一般来说都需要根据情况超过1个域名,根据情况处理。
这个部分首先是可以伪造的 ,通常只是用来过referer 扫描

① map 模块处理
http {
	# 定义一个map映射配合多个domain 或ip
    map $http_referer $is_valid_referer {
        default         0;  # 默认情况下,禁止请求
        "~^https://(www\.)?domain1\.com"  1;
        "~^https://(www\.)?domain2\.com"  1;
        "~^https://(www\.)?domain3\.com"  1;
        # 添加其他受信任的域名
    }

    server {
        listen 80;
        server_name domain1 domain2 domain3;

        location / {
            if ($is_valid_referer = 0) {
                return 403;  # 拒绝无效 Referer 头的请求
            }
            # 处理请求
        }
    }
}
② lua 模块处理

Tips: 这里实际资源目录是/resources ,也可以根据需要,在相对部署位置放置

http {
    server {
         location / {
            access_by_lua_block {
                local referer = ngx.var.http_referer

                        -- 检查 Referer 是否存在且符合预期的来源
                if referer and string.match(referer, "^https?://yourdomain.com") then
                         -- 在这里执行受保护资源的逻辑
                	ngx.exec("/resources")
                 else
                 ngx.status = ngx.HTTP_FORBIDDEN
                 ngx.say("Invalid Referer detected")
                 ngx.exit(ngx.HTTP_FORBIDDEN)
                 end
            }
        }
		location /resources {
			//
		}
    }
}

2、cors配置

跨站请求配置

属性名require描述内容
Access-Control-Allow-Originyes允许的域名,只能填通配符或者单域名
Access-Control-Allow-Methodsyes允许跨域请求的 http 方法
Access-Control-Allow-Headersyes返回支持的 http 请求头
Access-Control-Allow-Credentialsfalse标志着当前请求是否包含 cookies 信息,布尔值。只有一个可选值:true
Access-Control-Max-Agefalse以秒为单位的缓存时间,用于缓存预检请求
# 基础配置,可以根据需要,对应删除一些内容
            add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Methods 'GET, POST, PUT, DELETE, OPTIONS';
            add_header Access-Control-Allow-Credentials 'true';
            add_header Access-Control-Allow-Headers 'Accept, Authorization,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
            #这里是针对options的预检处理缓存,多少时间内免预检
            if ($request_method = 'OPTIONS') {
               add_header 'Access-Control-Allow-Origin' *;
               add_header 'Access-Control-Max-Age' 1728000;
               add_header 'Access-Control-Allow-Credentials' 'true';
               add_header 'Access-Control-Allow-Methods' 'GET, POST, DELETE, PUT, OPTIONS';
               add_header 'Access-Control-Allow-Headers' 'Accept, Authorization,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
               add_header 'Content-Type' 'text/plain charset=UTF-8';
               add_header 'Content-Length' 0;
               return 204;
           }
CoffeeAndIce
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx之为已安装nginx动态添加模块的方法
01-10
nginx模块是需要重新编译nginx,而不是像apache一样配置文件引用.so 1. 下载第三方扩展模块ngx_http_google_filter_module # cd /data/software/ # git clone ...
nginx require(): open_basedir restriction in effect.
三人行必有我师
04-17 2361
require(): open_basedir restriction in effect. File(............) is not within the allowed path(s): (/......./public/:/tmp/:/proc/) 错误https://lnmp.org/install.html 在使用lnmp一键安装后布置项目报如上错误修改cd /usr/loca...
Ngnix+lua require脚本失败 access_by_lua(nginx.conf:xxx):2: module xxx not found:
Xiaoweidumpb
03-09 439
2023/03/09 04:20:24 [error] 22499#22499: *37 lua entry thread aborted: runtime error: access_by_lua(nginx.conf:169):2: module '/usr/local/openresty/lua/nginx-jwt.lua' not found: no field package.preload['/usr/local/openresty/lua/nginx-jwt.lua']
nginx基础入门
落枫秋歌
06-13 448
本文所述nginx配置及测试在window环境下进行; 下载 移步官网 常用的几个命令行参数 启动nginx可以直接使用nginx或者nginx -c file.conf -c file.conf: 使用单独指定的配置文件file.conf而不是默认的配置文件nginx/conf/nginx.conf; -v: 查看nginx的版本信息; -V: 查看nginx的版本信息、编译版本及配置参数 ...
Nginx/OpenResty详解,Nginx Lua编程,Lua开发基础
公众号:该用户快成仙了
08-24 897
Lua开发基础 Lua是一个可扩展的轻量级脚本语言,Lua的设计目是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。Lua的代码简洁优美,几乎在所有操作系统和平台上都可以编译和运行。 Lua脚本需要通过Lua解释器来解释执行,除了Lua官方的默认解释器外,目前使用广泛的Lua解释器叫作LuaJIT。 LuaJIT是采用C语言编写的Lua脚本解释器。LuaJIT被设计成全兼容标准Lua 5.1,因此LuaJIT代码的语法和标准Lua的语法没多大区别。LuaJIT和Lua的一个区别是,LuaJ
nginx动态新增模块
yxt625520的博客
10-25 226
nginx动态新增模块
Nginx为已安装nginx动态添加模块
01-20
nginx模块是需要重新编译nginx,而不是像apache一样配置文件引用.so 1. 下载第三方扩展模块ngx_http_google_filter_module # cd /data/software/ # git clone ...
Nginx安装lua-nginx-module模块的方法步骤
09-19
ngx_lua_module 是一个nginx http模块,这篇文章主要介绍了Nginx安装lua-nginx-module模块的方法步骤,非常具有实用价值,需要的朋友可以参考下
详解Nginx服务器中map模块配置与使用
09-30
主要介绍了Nginx服务器中map模块配置与使用,文中同时给出了ngx_http_map_module模块的map命令用于制作服务器限速白名单的示例,需要的朋友可以参考下
详解nginx使用ssl模块配置HTTPS支持
01-10
默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译时指定–with-http_ssl_module参数,安装模块依赖于OpenSSL库和一些引用文件,通常这些文件并不在同一个软件包中。通常这个文件名类似libssl-dev。 生成...
Nginx 部分 (六)快速摸鱼配置
CoffeeAndIce的博客
12-07 3103
文章目录零、前置内容:一、普通linux环境0、本文的环境预设1、通用的基础反向代理(1)基本转发(2)基础SSL证书(3)基本即用(懒中懒)二、Docker 环境三、其他拓展1、关于SSL证书①检查OpenSSL(自生成CA证书问题)②csr、crt、key的问题(1)生成csr方式:(2)签名csr2、nginx中常用内置参数3、自定义access/error日志格式①日志格式:main(default)②自定义格式③使用内置参数格式的日志4、开启压缩(压缩大文件内容)5、开启缓存策略通用配置:缓存时间
Nginx 部分 (一) 简单概念与安装配置
CoffeeAndIce的博客
02-08 368
简述 首先,一个新的内容点所关心的是应用场景以及为什么要应用,这是学习的一个点。Nginx恐怕是一个频繁从耳边经过的一个词汇了,有什么作用?涉及的反向代理意思又是什么?①Nginx 最初是作为一个 Web 服务器创建的,用于解决C10k的问题(现在已经不是C10k的问题了),现在主要用于分发请求②反向代理:传统的正向代理是,客户端明确请求地址,然后通过中间代理来访问并获取某个地址的资源。...
Nginx 部分 (五)负载均衡与资源动静分离
CoffeeAndIce的博客
11-28 325
直到自己翻查笔记的时候才发现,原来遗漏了这部分,还自信满满地仔细翻阅,结果硬是没有~~~~ 本章内容主要如标题,了解配置服务器均衡与前后分离产品的动静态资源处理问题。 目录 负载均衡 1、按照先来后到的顺序(默认) 2、对不起,分配的人公报私仇的方式(权重) 3、排号按照规律分配(ip_hash) 4、谁做的快谁来好吗?(fair,第三方,需要upstream-fai...
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 420
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Docker consul的容器服务更新与发现
YUEAwb的博客
04-29 868
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 406
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
基于vmware虚拟机中yum源的配置
最新发布
m0_64365851的博客
05-03 144
配置中是在yum中配置本地源,如想配置网络源,可直接在网上查找配置文件再在/etc/yum.repos.d/创建配置文件,将信息粘贴即可。4.在 /etc/yum.repos.d/下编写以.repo结尾的文件并配置信息。1.首先需确保虚拟机中已经连接了光盘映像(如图在虚拟机右下方从左往右第二个)为方便每一次开机之后自动挂载,我们将其写在/etc/fstab文件中。2.在虚拟机中找到光盘映像文件(默认在/dev的sr0)3.将光盘文件挂载(挂载后才可读取)
用Docker单独安装xiaoya-alist
wbsu2004的博客
04-29 2855
小雅是资源聚合站,通过自己的阿里云盘中转缓存资源,可以实现大量的资源在线播放。
nginx 集群配置
08-23
1. 安装 nginx 服务器,并在每个节点上复制相同的配置文件。 2. 指定每个节点的 IP 地址和端口号。例如,假设你有两个节点,一个 IP 地址为 192.168.0.1,另一个 IP 地址为 192.168.0.2,每个节点监听的端口号为 80...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值