资源的访问控制
1.用户访问验证模块
ngx_http_auth_basic_module模块可以实现让访问者,在访问某些特定资源时,只有输入正确的用户密码才允许访问web内容
web上的一些内容不想被其他人知道,但是又想让部分人看到。nginx的http_auth模块以及Apache http_auth都是很好的解决方案。
语法: auth_basic string | off;
默认值: auth_basic off;
配置段: http, server, location, limit_except
默认不开启认证;后面如果跟上字符,这些字符会在验证弹窗中显示。
语法: auth_basic_user_file file_path;
默认值: —
配置段: http, server, location, limit_except
配置示例:
①使用htpasswd(如果没有请安装httpd-tools软件包)工具创建用户验证文件
[root@localhost /]# htpasswd -c -m /etc/nginx/.passwd ceshi
New password:
Re-type new password:
Adding password for user ceshi
②在需要验证的虚拟主机配置文件中配置location,添加auth_basic验证规则
[root@localhost /]# vim /etc/nginx/conf.d/static.conf
server {
listen 80;
server_name www.aa5.com;
access_log /var/log/nginx/accecc.log proxy;
location / {
root /web/;
}
error_page 404 /notfound/notfound.html;
location =/notfound/notfound.html {
root /web/;
}
location ^~ /admin/ {
root /web/;
auth_basic "please input your password!!!";
auth_basic_user_file /etc/nginx/.passwd;
}
}
[root@localhost /]# nginx -s reload
③客户端访问指定目录提示用户验证才可以访问
2.来源ip访问控制
使用ngx_http_access_module模块来实现基于ip的访问控制功能
可以应用的字段有http、location、server
示例:
location / {
deny 192.168.2.162; ##拒绝指定ip访问
allow all; ##允许所有人访问
deny 192.168.1.0/24; ##拒绝指定网段访问
}
Nginx的URL重写(rewrite)
rewrite的组要功能是实现RUL地址的重定向,URL重写有利于网站首选域的确定,对于同一资源页面多条路径的301重定向有助于URL权重的集中,默认参数编译nginx就会支持rewrite的模块
rewrite语法格式及参数语法说明如下:
将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI
注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查,因此,隐含有循环机制;[flag]所表示的标志位用于控制此循环机制
rewrite <regex> <replacement> [flag];
关键字 正则 替代内容 flag标记
关键字:其中关键字error_log不能改变
正则:perl兼容正则表达式语句进行规则匹配
替代内容:将正则匹配的内容替换成replacement
flag标记:rewrite支持的flag标记
flag标记说明:
last #重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环
break #本条规则匹配完成即终止,不再匹配后面的任何规则
redirect #返回302临时重定向,浏览器地址会显示跳转后的URL地址;不能以http://或https://开头
permanent #返回301永久重定向,浏览器地址栏会显示跳转后的URL地址
语法示例:
rewrite ^/(.*) https://www.nnv5.cn/$1 permanent; ##将访问http站点的所有url永久重写到https的站点下
rewrite ^/(.*).png /$1.jpg permanent; ##将访问.png结尾的url重写为.jpg
rewrite ^/ https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1558164084618&di=6bf7732ebfd157b56f786931ccf20df2&imgtype=0&src=http%3A%2F%2Fpic.58pic.com%2F58pic%2F13%2F81%2F71%2F46K58PICXQ9_1024.jpg;
rewrite为固定关键字,表示开始进行rewrite匹配规
regex部分是 ^/(.*) ,这是一个正则表达式,匹配完整的域名和后面的路径地址
replacement部分是https://www.nnv5.cn/$1 ,$1是取自regex部分()里的内容。匹配成功后跳转到的URL。
flag部分 permanent表示永久301重定向标记,即跳转到新的 https://www.nnv5.cn/$1 地址上
配置示例:
①编辑虚拟主机配置文件添加访问本站点所有.jpg文件时都重写为.html
[root@localhost web]# vim /etc/nginx/conf.d/static.conf
server {
listen 80;
server_name www.aa5.com;
access_log /var/log/nginx/accecc.log proxy;
root /web;
rewrite ^/(.*).jpg /$1.html;
location / {
root /web/;
}
}
[root@localhost web]# vim /web/aaa.html
aaa.html
②客户端使用浏览器访问www.aa5.com/aaa.jpg测试验证,会直接访问到网站根目录下的aaa.html文件
Nginx防盗链设置
网站防盗链,就是防止别人通过某些技术手段绕过本站的资源展示页面,盗用本站的资源;设置防盗链,就是让绕开本站资源展示页面的资源链接失效。简单地说就是防止自己网站上的资源(如图片、文档、音频、视频等资源)被其他用户采用其他的技术手段访问或下载。
当自己网站资源被盗链后,即使自己的网站流量并不大,也会加大网站服务器的负担,因为别人不是从你的网站下载资源,但耗费的却是你的服务器带宽等资源。总之,网站被盗链后对自身的影响还是非常大的。
而防盗链技术就是为了很好解决盗链这一问题的。防盗链技术的原理很简单,http标准协议中有专门的字段记录referer,既可以追溯上一个入站地址是什么,同时对于资源文件,可以跟踪到包含显示他的网页地址是什么,所有的防盗链方法都是基于这个Referer字段。
配置示例:
前提是要在nginx编译好之后在server字段中添加
location ~*\.(jpg|jpeg|png|gif|)$ { ##定义要防盗的资源类型
valid_referers none blocked *.aa2.com *.baidu.com *.google.com; ##指定可以访问资源的域名或者ip
if ($invalid_referer) {
#return 403; ##如果不是上面定义的域名或ip访问资源则返回403错误
rewrite /.* https://ss0.bdstatic.com/jcuanBn.jpg; ##如果不是信任的域名或ip访问则将请求重写到这个地址
}
}
Nginx的反向代理配置
常用配置参数
location / {
index index.jsp;
proxy_pass http://hello; #在这里设置一个代理,和upstream的名字一样 #以下是一些反向代理的配置可删除
proxy_redirect off;
#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数
proxy_connect_timeout 300; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 300; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 300; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
}
Nginx隐藏版本号
别人可以通过查看你使用的nginx版本号找漏洞,来***你
配置示例:
在http中添加该配置:
http {
server_tokens off;
}
Nginx动静分离
思路:动、静态的文件,请求时匹配不同的目录或不同的服务器
server {
listen 80;
server_name www.aa1.com www.test.com;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location ~* \.(png|jpg|jpeg|html|htm|js|css|xml|gif)$ {
proxy_pass http://static;
}
location / {
proxy_pass http://dong;
}
}
转载于:https://blog.51cto.com/13777759/2397032