Nginx 访问控制（原理+实验）

TA548464

于 2024-01-24 10:52:28 发布

阅读量1.2k

点赞数 25

分类专栏： Nginx 文章标签： nginx 网络运维服务器 linux centos

本文链接：https://blog.csdn.net/m0_62396418/article/details/135816196

版权

Nginx 专栏收录该内容

18 篇文章 0 订阅

订阅专栏

Nginx 访问控制

1. Nginx 访问控制模块
2. 基于 IP 的访问控制
3. 基于用户的信任登录

什么是访问控制？

访问控制是一种安全机制，旨在限制系统或网络资源的访问权限，确保只有经过授权的用户或系统可以访问这些资源。对访问控制的理解可能包括以下几个关键方面：

身份验证（Authentication）： 访问控制的第一步是确认用户或系统的身份。这通常涉及到使用用户名、密码、密钥或其他身份验证手段来验证用户的身份。合法的身份验证是访问控制的基础。
授权（Authorization）： 一旦用户身份得到验证，接下来的步骤是确定用户被授予的权限范围。这包括确定用户可以访问的资源、可以执行的操作以及其他相关权限。授权确保用户只能访问其被明确允许的资源和功能。
访问级别（Access Levels）： 访问控制通常涉及定义不同的访问级别，如读取、写入、执行等。每个用户或系统被授予的访问级别取决于其角色和权限配置。精细的访问级别有助于确保安全性和数据完整性。
访问策略（Access Policies）： 访问策略是一组规则和规范，用于定义系统中的访问控制规则。这可能包括规定谁可以访问什么资源、在什么条件下可以访问等。访问策略是实施访问控制的具体指南。
审计和监控（Auditing and Monitoring）： 访问控制不仅仅是在用户尝试访问资源时的阻止和允许，还包括对访问活动的审计和监控。记录和分析访问日志有助于检测潜在的安全威胁或违规行为。
单点登录（Single Sign-On，SSO）： SSO是一种访问控制方法，允许用户通过一次身份验证获得对多个系统的访问权限，而不需要在每个系统中单独登录。这提高了用户体验并简化了访问管理。

1. Nginx 访问控制模块

Nginx 是一款高性能的 Web 服务器，支持多种操作系统。通过 HTTP 模块、TCP 模块、UDP 模块等多种模块的支持，Nginx 提供了很多灵活的访问控制配置选项。
Nginx提供了2种最常用的访问控制方法
（1）基于IP的访问控制：http_access_module
可以使用 Nginx 的 allow 和 deny 指令，来控制对来自特定 IP 地址的客户端的访问权限。

例：
location /admin {
    allow 192.168.1.100;
    deny all;
}

（2）基于用户的信任登录：http_auth_basic_module
可以使用 Nginx 的 auth_basic 和 auth_basic_user_file 指令，来启用基于 HTTP 认证的访问控制。

例：
location /admin {
    auth_basic "Restricted Area";
    auth_basic_user_file /path/to/password/file;
}

2. 基于 IP 的访问控制

2.1. 配置语法

#allow允许IP
Syntax：allow address | all;
default：默认无
Context：http，server，location

#deny拒绝IP
Syntax：deny address | all;
default：默认无
Context：http，server，location
=======================================================================
allow    允许    ip或者网段
deny    拒绝     ip或者网段

2.2. allow 允许配置实验

编辑/etc/nginx/conf.d/access_mod.conf内容如下：

[root@localhost ~]# hostname -I
192.168.221.138 

[root@localhost ~]# vim /etc/nginx/conf.d/allow.conf
server {
        listen 80;
        server_name localhost;  #注意域名不要有冲突
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                deny 192.168.221.136;    #不允许136访问
                allow all;
                }
}

[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

//136访问测试：
[root@localhost ~]# hostname -I
192.168.221.136 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 403 Forbidden  //403访问被拒绝
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:24:08 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

//130访问测试：
[root@localhost ~]# hostname -I
192.168.221.130 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 200 OK         //200访问ok
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:24:28 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Tue, 11 Apr 2023 17:22:34 GMT
Connection: keep-alive
ETag: "6435975a-267"
Accept-Ranges: bytes

需要注意:
1.按顺序匹配，已经被匹配的ip或者网段，后面不再被匹配。
2.如果先允许所有ip访问，在定义拒绝访问。那么拒绝访问不生效。
3.默认为allow all

被拒绝的IP为192.168.221.136，配置拒绝的虚拟机IP为192.168.221.138，这里禁止136访问，允许其他所有IP访问。
主机136访问http://192.168.221.138，显示403 Forbidden。
当然也可以反向配置，同时也可以使用IP网段的配置方式，如allow 192.168.17.0/24; deny all;，表示满足此网段的IP都可以访问。

2.3. deny 拒绝配置实验

如果你想拒绝某个指定URL地址的所有请求，只需要在location块中配置deny all指令：

[root@localhost conf.d]# hostname -I
192.168.221.138 

[root@localhost conf.d]# vim /etc/nginx/conf.d/deny.conf
server {
        listen 80;
        server_name localhost;
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                allow 192.168.221.136;    #只允许136可以访问
                deny all;    #拒绝所有
                }
}

[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

//136访问测试
[root@localhost ~]# hostname -I
192.168.221.136 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 200 OK
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:38:18 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Tue, 11 Apr 2023 17:22:34 GMT
Connection: keep-alive
ETag: "6435975a-267"
Accept-Ranges: bytes

//130访问测试
[root@localhost ~]# hostname -I
192.168.221.130 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 403 Forbidden
Server: nginx/1.24.0
Date: Mon, 31 Jul 2023 00:51:10 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

//windows宿主机curl测试
C:\Users\TZH>curl -I http://192.168.221.138
HTTP/1.1 403 Forbidden
Server: nginx/1.24.0
Date: Mon, 31 Jul 2023 00:51:49 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

3. 基于用户的信任登录

基于用户的信任登录模块：http_auth_basic_module
有时候我们会有这么一种需求，就是你的网站的某些页面不希望对所有人公开访问，我们希望的是某些特定的客户端可以访问。
那么我们可以在访问时要求进行身份认证，就如给你自己的家门加一把锁，以拒绝那些不速之客。

3.1. 配置语法

Syntax：auth_basic string | off;
default：auth_basic off;
Context：http，server，location
auth_basic string; 设置基本验证的描述信息

Syntax：auth_basic_user_file file;
default：默认无
Context：http，server，location
file：设置存储用户名密码信息的文件。
密码文件格式 username:password

例：

server {
  location /private {
    auth_basic "Private area";
    auth_basic_user_file /etc/nginx/passwords;
  }
}

这就要求用户访问 /private 路径时输入密码才能访问。
用户密码文件也可以放在其他位置，只要 auth_basic_user_file 指令指向正确的文件即可。

3.2. 配置示例

[root@localhost conf.d]# hostname -I
192.168.221.138 

[root@localhost ~]# vim /etc/nginx/conf.d/auth_mod.conf 
server {
    listen 80;
    server_name localhost;
    location ~ /admin {
        root /var/www/html;
        index index.html index.hml;
        auth_basic "Auth access test!";
        auth_basic_user_file /etc/nginx/auth_conf;
        }
}

[root@localhost conf.d]# mkdir /var/www/html/admin    //创建目录
[root@localhost conf.d]# echo "auth..."  > /var/www/html/index.html/admin    //创建文件

[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

//做好本地windows的host文件解析
192.168.221.138 www.Jltauth.com

auth_basic不为 off 时，开启登录验证功能，auth_basic_user_file 加载账号密码文件。
浏览器访问测试

3.3. 创建登录的口令文件

[root@localhost ~]# yum install -y httpd-tools 
//htpasswd 是开源 http 服务器 apache httpd 的一个命令工具，用于生成 http 基本认证的密码文件

[root@localhost conf.d]# htpasswd -cm /etc/nginx/auth_conf jack
New password: 
Re-type new password: 
Adding password for user jack
//jack：用户
//-c: 创建一个新的密码文件，如果密码文件已存在，则会直接覆盖。
//-m: 在已有的密码文件中添加用户，不会覆盖已有用户。
//该命令中，会创建密码文件 auth_conf，并写入用户 jack 的密码记录

[root@localhost conf.d]# htpasswd -m /etc/nginx/auth_conf tom
New password: 
Re-type new password: 
Adding password for user tom
//该命令中，会在已有的密码文件 auth_conf 中追加用户 tom 的密码记录

[root@localhost nginx]# cat /etc/nginx/auth_conf
jack:$apr1$YmpHMEkH$OtjswnIL5F.E7HUGKBi6U/
tom:$apr1$S8Q.Csg.$JQ6hQSExltiB9x/vlQURb0