nginx访问控制

最新推荐文章于 2023-12-15 15:06:26 发布
最新推荐文章于 2023-12-15 15:06:26 发布
阅读量498 收藏
点赞数
分类专栏: linux 文章标签: 高级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanyyinyu/article/details/102607800
版权

全局控制

  • 语句1:
server {
    listen       80 default_server;
    server_name blog.tany.com;

allow 127.0.0.1;	#白名单模式;
deny all;
  • 测试结果1:
[root@draft conf.d]# curl -x127.0.0.1:80 blog.tany.com/admin/1.txt -I
HTTP/1.1 200 OK
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 07:13:24 GMT
Content-Type: text/plain
Content-Length: 6
Last-Modified: Wed, 16 Oct 2019 13:38:49 GMT
Connection: keep-alive
ETag: "5da71d69-6"
Accept-Ranges: bytes

[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 07:14:00 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
  • 语句2
server {
    listen       80 default_server;
    server_name blog.tany.com;
deny 127.0.0.1;	#黑名单模式;
  • 测试结果2
[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com -I
HTTP/1.1 200 OK
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 07:18:24 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/7.3.0
Link: <http://blog.tany.com/index.php?rest_route=/>; rel="https://api.w.org/"

[root@draft conf.d]# curl -x127.0.0.1:80 blog.tany.com -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 07:18:38 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

限制某个目录

  • 语句1
location /admin/ {      #限制对含有/admin/URL或者说限制/admin/目录的访问,如blog.tany.com/admin/123.html;
        allow 127.0.0.1;       
        allow 192.168.87.133;  
        deny all;       
        }
  • 测试1
[root@draft conf.d]# curl -x127.0.0.1:80 blog.tany.com/admin/1.txt -I
HTTP/1.1 200 OK
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 07:23:38 GMT
Content-Type: text/plain
Content-Length: 6
Last-Modified: Wed, 16 Oct 2019 13:38:49 GMT
Connection: keep-alive
ETag: "5da71d69-6"
Accept-Ranges: bytes

[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com/admin/1.txt
admin
[root@draft conf.d]# curl -x192.168.87.137:80 blog.tany.com/admin/1.txt -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.0
Date: Wed, 16 Oct 2019 16:00:55 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

限制某个目录下的某些文件的读取

  1. 网站的目录有一些是可以让用户自己上传文件的,例如在发帖子、写文章、写评论的时候,所以这些目录会给用户写的权限,这些目录相对会处在较为危险的位置;这些目录一般有固定的名字,如upload, imange, attachment, cahe等;
  2. 服务器返回数据的过程:静态文件是保存在网站的目录里的,当用户请求到,没有特别限制时,服务器直接返回数据;结合浏览器有缓存功能,推测服务器是把请求数据发给用户,用户在自己机器上通过浏览器打开;
  3. 服务器返回数据的过程2:用户打开一个php页面,web服务器是把数据发送给php-fpm,由php服务器接手;制作phpinfo页面,只是简单的一个语句,用户打开这个页面,可以看到相当多的信息,这些信息是通过php服务器根据这个语句,把信息读取出来,再返回给用户的;结论是 用户打开服务器上的php文件,服务器会根据语句做操作;如果语句是有破坏性能的,就会破坏服务器,所以要警惕非法放置在服务器上的php文件;
  4. 如果把phpinfo页面,改成.html,返回为空,浏览器识别出语言,但是不懂这个语句,不会根据语句操作,这个文件并没有交给php服务器,所以服务器是以后缀名识别是否提交给php服务器;
  5. 综上所述,我们要限制用户在可上传目录里打开php等编程语言的文件,理解为链接里出现可上传目录时不能有php等文件,通过location的匹配功能实现;
  6. 事实上,用户上传时,是不可以上传后缀为php的文件,如wordpress默认有这个功能;
  7. 虚拟主机语句如下
location ~ .*(upload|image|attachment|cache)/.*\.(php|pl|py|jsp|asp|sh|cgi)$    #非必要,防止可以上传文件的目录上传了脚本;
        {       #.*为贪婪匹配,转义字符\将.变成点不会指代任意一个字母;
        deny all; #符合的格式,都是403;
        }
  1. 测试结果:
[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com/attachment/klklsjkf/kkjdf.php -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 08:01:30 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com/attachment-/klklsjkf/kkjdf.php -I
HTTP/1.1 404 Not Found
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 08:01:45 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/7.3.0

限制user_agent

  • user_agent就是指浏览网站的媒介吧,包括浏览器,curl命令,机器人等,要做的就是防止一些机器人,机器人的访问也会浪费流量和资源,需要查看日志,摸索才知道怎么设置更好;
  • 虚拟主机设置语句
	if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')	#识别发送信息的浏览器,屏敝掉一些浪费流量的机器人;
	{
	return 403;	#返回代码可以自已选择;
	}

[root@draft conf.d]# curl -A 'Tomato' -x127.0.0.1:80 blog.tany.com -I	#-A可让curl模拟agent;
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Tue, 15 Oct 2019 14:36:11 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

限制URI

  • 甘些路径不给访问,语句如下
	if ($request_uri ~ (abc|123))	#限制指定的URL,带有abc或123的URL都返回404;
	{
    return 404;	#返回代码可以自已选择;
	}
  • 测试结果
[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com/abc/jj -I
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 15:10:38 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

[root@draft conf.d]# curl -x192.168.87.133:80 blog.tany.com/ab/jj -I
HTTP/1.1 404 Not Found
Server: nginx/1.16.1
Date: Thu, 17 Oct 2019 15:10:43 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
tanyyinyu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx添加mp4流媒体支持
01-10
这两天做视频的东西发现nginx没有mp4的视频流模块,今天我就自己添加了一下,因为之前是编译好的,所以我就直接添加了! 下载 代码如下:  #下载解压  wget wget http://h264.code-shop.com/download/nginx_mod_h264_streaming-2.2.7.tar.gz  tar zxf nginx_mod*.tar.gz 配置添加 代码如下: #查看编译参数 /usr/local/nginx/sbin/nginx -V #进入nginx(tengine)源码目录 cd tengine* ./configure –add-module=.
win版本带nginx-rtmp模块
09-30
# 使用方法 双击nginx.exe # 简要说明 conf/nginx.conf 为配置文件实例 RTMP监听 1935 端口,启用live 和hls 两个application HTTP监听 8080 端口, * :8080/stat 查看stream状态 * :8080/index.html 为一个直播播放与直播发布测试器 * :8080/vod.html 为一个支持RTMP和HLS点播的测试器 # 注意 不支持exec # 直播测试工具 内置了一个方便测试的pc端推流于播放的工具 ![img](https://github.com/NodeMedia/NodeMediaDevClient/raw/master/QQ20160310-0.png) 源码在此:https://github.com/NodeMedia/NodeMediaDevClient # 另一个选择,支持HTTP-FLV 基于Node.js实现,高性能,原生跨平台,支持RTMP/HTTP-FLV/GOPcache https://github.com/illuspas/Node-Media-Server
Nginx内置模块简介
寄蜉蝣於天地,渺滄海之一粟。
10-05 1万+
这里建议大家一定要多看官方文档!!!官方文档里的内容才是最全的:包括说明、指令、作用域等等。官方文档 http://nginx.org/en/docs文文档 http://tengine.taobao.org/nginx_docs/cn/docs/
nginx下部署带MP4视频的django项目遇到的坑
wuliwawa的博客
04-16 1278
在部署需要播放视频的django项目到nginx上遇到的问题 可以先参考https://blog.51cto.com/2687949/2108206添加nginx第三方支持MP4模块 或者直接使用nginx自带的MP4模块http://nginx.org/en/docs/http/ngx_http_mp4_module.html 要支持在页面播放MP4,必须要添加MP4模块 先看一下...
Nginx官方文档(二十六)【ngx_http_mp4_module|ngx_http_perl_module】
极客神殿
09-22 2471
ngx_http_mp4_module 指令 mp4 mp4_buffer_size mp4_max_buffer_size mp4_limit_rate mp4_limit_rate_after ngx_http_mp4_module 模块MP4 文件提供伪流服务端支持。这些文件的扩展名通常为 .mp4、.m4v 或 .m4a。 伪流与兼容的 Flash 播放器可以很好地配合工作。播放器在查询字符串参数指定的开始时间向服务器发送 HTTP 请求(简单地以 start 命名并以秒为单位),服
nginx(CVE-2022-41741和41742) 漏洞修复
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-15 1万+
近期Nginx安全发布几个高危漏洞:CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)、CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High),上述是:MP4 流媒体模块(ngx_http_mp4_module)的漏洞影响到 NGINX Plus、NGINX 开源版以及 NGINX 企阅版。强烈建议您将您的软件升级到最新版本。2、禁用ngx_http_mp4_module。
一、Nginx 配置
骑士梦的博客
07-05 5626
一、Nginx 配置 二、Nginx 其他配置 三、Nginx 扩展
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 6659
文章来自一份绿盟安全评估的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
nginx流媒体安装包(nginx_mod_h264_streaming,yamdi)
01-16
包含yamdi-1.9.tar.gz nginx_mod_h264_streaming-2.2.7.tar.gz nginx-1.8.1
ngx_http_hls_module:Nginx HLS 模块,兼容直播和点播服务
07-02
ngx_http_hls_module Nginx HLS 模块,兼容直播和点播服务.
nginx访问控制的实现示例
09-29
以上就是Nginx访问控制的一些常见实现方式,通过灵活配置,可以有效地保护服务器资源,提高网络安全,并提供个性化的访问策略。请注意,配置时要根据实际需求和安全策略进行调整,并定期检查和更新这些设置,以应对...
Nginx访问控制与参数调优的方法
09-29
一、Nginx访问控制 1. IP限制: 可以使用`allow`和`deny`指令来控制哪些IP地址可以访问Nginx服务。例如,允许192.168.1.0/24网段的IP访问: ``` allow 192.168.1.0/24; deny all; ``` 2. 用户认证: Nginx...
nginx访问控制的两种方法
09-30
主要介绍了关于nginx访问控制的两种方法,一种是基于Basic Auth认证,另一种是基于IP的访问控制,文介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
官方yum源安装nginx模块配置
weixin_47019016的博客
06-16 1417
配置nginx官方yum源nginx配置yum源1、nginx新版本的配置文件2、nginx目录索引(autoindex自动索引模块)3、nginx状态监控(status模块)4、nginx基于IP的访问控制(access模块)5、nginx基于用户的访问控制(auth模块)6、nginx的访问限制 官方yum源网址:http://nginx.org/en/linux_packages.html#RHEL-CentOS nginx配置yum源 [root@base2 ~]# systemctl stop f
Nginx 状态模块详解
没枕头我咋睡觉
04-06 1342
1 :通过nginx -V 查看nginx是否配置状态查询模块 2 :由上图可以确定nginx配置了 http_stub_status_module模块,在conf文件配置状态查询参数 3 : 查询返回值 页面详解: active connection :nginx正在处理的活动连接数...
Nginx反向代理特定路径及url(以mp4文件及xxx.php为例)
Fighting-Dawn丶的专栏
06-07 1万+
问题提出场景: 1、nginx做反向代理,静态资源过大或者响应多,如果存在被代理机器,影响效率; 2、某URL为了达到安全性等目的,需要代理机代理到特定的被代理机处理; 解决方案:nginx反向代理配置; 假设环境: 代理机ip为ip0,被代理机ip为ip1; 1、分发至特定被代理机配置如果“jpg”等文件也想配置就将“mp4”改成“mp4|jpg|xxx”; location ~* .(mp4)$ { proxy_connect_timeout 6
Nginx实战(十)Nginx的漏洞修复
ouyida3的专栏
02-07 8756
文章目录本章导读本章要点Nginx HTTP/2和mp4模块拒绝服务漏洞描述解决方案解释Clickjacking(点击劫持)描述解决方案nginx的解决方法加了x-frame-options后如何验证Nginx range filter模块数字错误漏洞(CVE-2017-7529)1、漏洞描述2、影响程度3 、漏洞原理4、 漏桶解决nginx版本泄露 本章导读 这么快第十章了,这个阶段是最后一章...
nginx无需重装添加MP4模块(解决unknown directive “mp4“)
最新发布
qq_55223275的博客
12-15 716
使用 whereis nginx 命令(这个命令的功能自行体会,大概是用于定位可执行文件、源代码和手册页的位置,返回一般是一个文件夹地址?)来辅助找出当前安装的 Nginx 二进制文件的确切位置。我这里是/usr/local/nginx/sbin/nginx。请确保替换 /path/to/nginx/objs/nginx 为你的新 Nginx 二进制文件的实际路径。(就在nginx源码目录下的objs文件夹里)
nginx 访问控制
07-27
Nginx可以通过访问控制列表(ACL)来限制对特定资源的访问。ACL可以基于IP地址、用户代理、请求方法等条件进行配置。以下是一些常用的Nginx访问控制配置示例: 1. 基于IP地址的访问控制: ```nginx location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.0.0.0/16; deny all; } ``` 上述配置,拒绝了IP地址为192.168.1.1的访问,允许IP地址段192.168.1.0/24和10.0.0.0/16的访问,其他IP地址将会被拒绝。 2. 基于用户代理的访问控制: ```nginx if ($http_user_agent ~* (badbot|spider)) { return 403; } ``` 上述配置,如果请求的User-Agent头部包含"badbot"或"spider"关键词,则返回403禁止访问。 3. 基于请求方法的访问控制: ```nginx if ($request_method !~ ^(GET|POST|HEAD)$) { return 405; } ``` 上述配置,如果请求方法不是GET、POST或HEAD,则返回405方法不允许。 需要注意的是,使用if语句进行访问控制可能会导致性能问题,因此建议在适当的情况下使用更高效的方式,如使用Nginx模块进行访问控制。此外,还可以使用第三方模块如ngx_http_geoip_module来实现更复杂的访问控制策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值