Nginx 访问限制和访问控制

最新推荐文章于 2024-05-23 16:58:55 发布
最新推荐文章于 2024-05-23 16:58:55 发布
阅读量1.1k 收藏
点赞数
分类专栏: 访问限制和访问控制 文章标签: nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyx1834265118/article/details/108729832
版权

一.访问限制
1.ngx_http_limit_req_module
目的:限制访问主题(用户,进程,服务等)对访问客体(文件,系统等)的访问权限,从而使计算机系统在合法范围内使用
启动请求频率限制
1)测试未限制情况下的访问

yum install -y httpd-tools
ab -n 100 -c 10 http://a.com/

2) 启动限制

vim /etc/nginx/nginx.conf
定义
 limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;  
限制请求  二进制地址  限制策略的名称   占用10M空间  允许每秒1次请求
引用
 limit_req zone=req_zone;  
引用 限制策略的名称

配置

	http {
    limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;     定义

    server {
        location / {
            root /usr/share/nginx/html;
            index index.html index.htm;
            limit_req zone=req_zone;  		引用
            #limit_req zone=req_zone burst=5;
            #limit_req zone=req_zone burst=5 nodelay; 
        }
    }
}
		引用限制
引用限制,但是令牌桶有5个。有延迟。速度慢
引用限制,但是令牌桶有5个。无延迟。速度快
		burst=5 表示最大延迟请求数量不大于5。 如果太过多的请求被限制延迟是不需要的 ,这时需要使用nodelay参数,服务器会立刻返回503状态码。

3)重启服务,并测试
yum install -y httpd-tools
ab -n 100 -c 10 http://127.0.0.1/

This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Benchmarking localhost (be patient).....done


Server Software:          nginx/1.18.1
Server Hostname:        127.0.0.1
Server Port:                80

Document Path:          /
Document Length:       671 bytes

Concurrency Level:      10
Time taken for tests:    0.006 seconds
Complete requests:      100                 
Failed requests:            99                      失败的请求
   (Connect: 0, Receive: 0, Length: 99, Exceptions: 0)
Write errors:                0
Non-2xx responses:      99                      有问题的相应。
Total transferred:         73273 bytes
HTML transferred:       53834 bytes
Requests per second:  16131.63 [#/sec] (mean)
Time per request:       0.620 [ms] (mean)
Time per request:       0.062 [ms] (mean, across all concurrent requests)
Transfer rate:             11543.10 [Kbytes/sec] received

4)观察错误日志
tail -f /var/log/nginx/error.log
2020/09/18 01:05:08 [error] 23287#23287: *720 limiting requests, excess: 5.109 by zone “req_zone”,
client: 27.216.240.201, server: localhost, request: “GET / HTTP/1.0”, host: “127.0.0.1”
2.ngx_http_limit_conn_module
目的:通过IP地址,限制链接(TCP)。但是实验环境无法测试
启动连接频率限制

启动连接频率限制
	vim /etc/nginx/nginx.conf
	http {
	limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
}
server {
	location / {
	    ...
		limit_conn conn_zone 1;
	}
}  
		limit_conn_zone:全局定义限制对象(IP),存储区限制空间(10M)字节 
		limit_conn:该指令指定每个给定键值的最大同时连接数,当超过这个数字时返回503(Service )错误。如(同一IP同一时间只允许有2个连接):
		客户端的IP地址作为键。注意,这里使用的是 binary_remote_addr 变量,而不是 remote_addr 变量。
remote_addr变量的长度为7字节到15字节,而存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。
binary_remote_addr变量的长度是固定的4字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。
1M共享空间可以保存3.2万个32位的状态,1.6万个64位的状态。
如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503 (Service Temporarily Unavailable) 错误。
		 limit_conn_zone $binary_remote_addr zone=conn_zone:10m模块开启对单个ip、单个会话同时存在的连接数的限制。这里定义一个记录区conn_zone,conn_zone的总容量是10m,该记录区针对于变量 $binary_remote_add生效,这里是针对单个IP生效。该模块只是一个定义,配置在http配置段,需要配合limit_conn指令使用才生效, limit_conn conn_zone 1表示该location段使用conn_zone定义的 limit_conn_zone ,对单个IP限制同时存在一个连接。
	单个IP,同时只允许有一个tcp连接

测试 ab -n 100 -c 10 http://服务器IP地址/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Benchmarking localhost (be patient)…done

Server Software: nginx/1.18.1
Server Hostname: 127.0.0.1
Server Port: 80

Document Path: /
Document Length: 671 bytes 文档长度

Concurrency Level: 10 当前并发数
Time taken for tests: 0.006 seconds 消耗总时间
Complete requests: 100 完成请求数
Failed requests: 0 失败请求数
Write errors: 0
Total transferred: 90400 bytes 总的传输大小
HTML transferred: 67100 bytes http传输大小
Requests per second: 15873.02 [#/sec] (mean) 每秒钟处理多少个请求。
二.访问控制
1.基于主机(ip)

	module
		ngx_http_access_module
	Directives
		     allow
			允许某些主机
		     deny
			拒绝某些主机
	Syntax:
		Syntax: 	allow address | CIDR | unix: | all;
		Context: http, server, location, limit_except
	启用控制
		1 限制主机访问
			vim /etc/nginx/conf.d/default.conf
				server {
  allow 10.8.162.89;
  allow 10.8.162.81;
  deny all;
}
		2 测试
			服务器无法访问

2.基于用户(username&password)
module
ngx_http_auth_basic_module

Syntax:
	方法一
		Syntax: 	auth_basic string | off;
		Context: http, server, location, limit_except
	方法二
		Syntax: 	auth_basic_user_file file;
		Context: http, server, location, limit_except

启用控制
	1. 建立认证文件
		yum install -y httpd-tools
			生成秘钥的工具是由apache提供
		htpasswd -cm /etc/nginx/conf.d/passwd user10
			会话密码
		htpasswd -m /etc/nginx/conf.d/passwd user20
			会话密码
		cat /etc/nginx/conf.d/passwd
			观察口令文件是否生成。已生成
			user10:$apr1$UE/tLtDM$nVm686kAMYb/ArqQDUi8U/
user20:$apr1$bmn0E/gK$enkXKb2V5uFvUy9wdIHlP.
	2. 启动认证
		vim /etc/nginx/conf.d/default.conf
		    server {
			找到server{字段,在下一行插入认证字段。
		            auth_basic "nginx access test!";
            auth_basic_user_file /etc/nginx/conf.d/passwd;
			提示消息
引用认证文件
		...
}
	3.重启并验证

在这里插入图片描述

花海之巅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx站点目录及文件URL访问控制
ILen的博客
11-27 654
一、根据扩展名限制程序和文件访问 利用Nginx配置禁止访问上传资源目录下的PHP、Shell、Perl、Python程序文件,这样用户即是上传了木马文件也没有办法执行,从而加强了网站安全。 <1>、配置Nginx,禁止解析指定目录下的指定程序 worker_processes 1; events { worker_connections 1024; } http {...
基于Nginx实现访问控制、连接限制
09-29
使用`systemctl`可以管理和控制Nginx服务,如`systemctl restart nginx`重启服务,`systemctl reload nginx`平滑重载配置。 综上,Nginx通过灵活的配置,可以实现细致的访问控制和连接限制,有效地保护服务器免受...
nginx 请求限制
anbingzhong1132的博客
05-24 168
1.nginx 请求限制 1.连接频率限制 - limit_conn_module 2.请求频率限制 - limit_req_module 连接限制的语法 请求限制的语法 limit_conn_zone(连接限制) $binary_remote_addr zone=conn_zone:1m; limit_req_zone(请求限制...
Nginx限制IP访问详解
最新发布
你知道莽村的莽怎么来的吗!
05-23 822
通过使用Nginx的allow和deny指令,可以轻松地控制哪些IP地址或子网段能够访问网站资源。这对于保护敏感信息、限制恶意访问等场景非常有用。希望本文能帮助你更好地理解和配置Nginx的IP访问控制功能。
nginx限制文件访问速率
weixin_30360497的博客
03-15 99
需求: 一个文件下载功能需要限制文件同时访问的并发数和当个连接的访问速率; 配置: 在http context内增加: limit_conn_zone $binary_remote_addr zone=limitbyaddr:10m; limit_conn_status 429; 在location内增加: limit_conn limitbyaddr 40; lim...
nginx限制ip访问次数
lyf0327的博客
04-07 5728
lit_req_zone的功能是通过 令牌桶原理来限制 用户的连接频率,(这个模块允许你去限制单个地址 指定会话或特殊需要的请求数 ) http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; #触发条件,限制每个地址每秒只能请求10次 server { ... location ~ \.php$ {
Nginx服务器中设置禁止访问文件或目录的方法
weixin_34032621的博客
04-07 503
2019独角兽企业重金招聘Python工程师标准>>> ...
浅谈Nginx请求限制访问控制的实现
09-30
主要介绍了浅谈Nginx请求限制访问控制的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx访问控制
01-20
“流量限制”配置两个主要的指令,limit_req_zone和limit_req,如下所示: 代理服务器配置(192.168.13.129): [root@server ~]# vim /etc/nginx/conf.d/default.conf 清空并添加以下代码 limit_req_zone $binary_...
nginx访问控制的实现示例
09-29
以上就是Nginx访问控制的一些常见实现方式,通过灵活配置,可以有效地保护服务器资源,提高网络安全,并提供个性化的访问策略。请注意,配置时要根据实际需求和安全策略进行调整,并定期检查和更新这些设置,以应对...
Nginx访问控制与参数调优的方法
09-29
一、Nginx访问控制 1. IP限制: 可以使用`allow`和`deny`指令来控制哪些IP地址可以访问Nginx服务。例如,允许192.168.1.0/24网段的IP访问: ``` allow 192.168.1.0/24; deny all; ``` 2. 用户认证: Nginx...
绕过Nginx Host限制
weixin_53284312的博客
02-12 2362
host 绕过限制
nginx 禁止请求中的特定host访问服务
不靠谱助手的博客
04-04 619
nginx 禁止请求中的特定host访问服务
【2022】Nginx使用相应模块做出访问限制
皮皮的博客
07-20 720
使用http/ngx_http_core_module、ngx_http_limit_conn_module、ngx_http_limit_req_module模块对nginx访问做出限制
Nginx 访问限制控制
weixin_70228478的博客
01-03 364
限制:ngx_http_limit_req_module限制:ngx_http_limit_req_module一、测试未限制情况下的访问
php mysql mysqli php7性能测试
junqing124的专栏
06-06 830
测试命令为:ab -c 10 -n 300 http://192.168.6.170/order/1.php 结果是: php5.4 mysql: [root@localhost www]# ab -c 10 -n 300 http://192.168.6.170/order/1.php   This is ApacheBench, Version 2.3
nginx_host绕过
m0_63069714的博客
02-10 1739
创建ca文件存放证书密钥文件生成私钥以及证书的请求文件最终生成crt证书文件。
Nginx 配置解决host头攻击漏洞
热门推荐
如果说你每一步都细心的话,其实你的效率是很快的
10-30 1万+
Nginx25】Nginx学习:连接限制和请求限制
硬核项目经理
09-11 527
Nginx学习:连接限制和请求限制之前我们就已经学习过了一些和流量限制相关的配置指令,它们是 HTTP 核心配置中的内容,不记得的小伙伴可以回去看一下Nginx学习:HTTP核心模块(七)请求体与请求限流https://mp.weixin.qq.com/s/YniglCFW9ZffhI_Zd9j8Yg。当时就说过,那一套限制是针对流量的限制,主要就是为了带宽不被占满,或者是实现类似下载限速的能...
nginx访问控制和身份验证
08-29
对于Nginx访问控制和身份验证,你可以使用以下几种方法来实现: 1. 基本认证(Basic Authentication):Nginx可以使用HTTP基本认证来限制对资源的访问。通过在Nginx配置中指定用户名和密码,只有提供正确凭证的用户才能访问受保护的资源。例如: ```nginx location / { auth_basic "Restricted"; auth_basic_user_file /path/to/htpasswd; } ``` 在上面的示例中,`/path/to/htpasswd` 是存储用户名和密码的文件路径。 2. IP地址访问控制Nginx可以根据客户端IP地址来限制访问。通过配置Nginx的`allow`和`deny`指令,你可以允许或拒绝特定IP地址或IP地址范围的访问。例如: ```nginx location / { allow 192.168.0.0/24; deny all; } ``` 上面的示例中,只有IP地址位于`192.168.0.0/24`网段的客户端才能访问受保护的资源。 3. 第三方模块:Nginx有许多第三方模块可用于实现高级的访问控制和身份验证功能,如ModSecurity、Lua等。这些模块可以提供更强大和灵活的访问控制能力,你可以根据自己的需求选择适合的模块进行配置和使用。 以上是一些常见的方法,你可以根据具体需求选择适合的方式来实现Nginx访问控制和身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值