Nginx 的 deny 和 allow
Nginx 访问控制 -- deny_allow
Nginx 的 deny 和 allow 指令是由 ngx_http_access_module 模块提供, Nginx 安装默认内置了该模块.
除非在安装时有指定 --without-http_access_module.
语法
语法: allow/deny address | CIDR | unix: | all
它表示, 允许 / 拒绝某个 ip 或者一个 ip 段访问. 如果指定 unix:, 那将允许 socket 的访问.
注意: unix 在 1.5.1 中新加入的功能.
在 nginx 中, allow 和 deny 的规则是按顺序执行的.
示例
示例 1:
- location /
- {
- allow 192.168.0.0/24;
- allow 127.0.0.1;
- deny all;
- }
说明: 这段配置值允许 192.168.0.0/24 网段和 127.0.0.1 的请求, 其他来源 IP 全部拒绝.
示例 2:
- location ~ "admin"
- {
- allow 110.21.33.121;
- deny all
- }
说明: 访问的 uri 中包含 admin 的请求, 只允许 110.21.33.121 这个 IP 的请求.
基于 location 的访问控制
在生产环境中, 我们会对某些特殊的请求进行限制, 比如对网站的后台进行限制访问.
这就用到了 location 配置.
示例 1
- location /aming/
- {
- deny all;
- }
说明: 针对 / aming / 目录, 全部禁止访问, 这里的 deny all 可以改为 return 403.
示例 2
- location ~ ".bak|.ht"
- {
- return 403;
- }
说明: 访问的 uri 中包含. bak 字样的或者包含. ht 的直接返回 403 状态码.
测试链接举例:
- www.aminglinux.com/123.bak
- www.aminglinux.com/aming/123/.htalskdjf
示例 3
- location ~ (data|cache|tmp|image|attachment).*.PHP$
- {
- deny all;
- }
说明: 请求的 uri 中包含 data,cache,tmp,image,attachment 并且以. PHP 结尾的, 全部禁止访问.
测试链接举例:
- www.aminglinux.com/aming/cache/1.PHP
- www.aminglinux.com/image/123.phps
- www.aminglinux.com/aming/datas/1.PHP
Nginx 基于 $document_uri 的访问控制
这就用到了变量 $document_uri, 根据前面所学内容, 该变量等价于 $uri, 其实也等价于 location 匹配.
示例 1
- if ($document_uri ~ "/admin/")
- {
- return 403;
- }
说明: 当请求的 uri 中包含 / admin / 时, 直接返回 403.
if 结构中不支持使用 allow 和 deny.
测试链接:
www.aminglinux.com/123/admin/1.html 匹配
www.aminglinux.com/admin123/1.HTML 不匹配
www.aminglinux.com/admin.PHP 不匹配
示例 2
- if ($document_uri = /admin.PHP)
- {
- return 403;
- }
说明: 请求的 uri 为 / admin.PHP 时返回 403 状态码.
测试链接:
www.aminglinux.com/admin.PHP 匹配
www.aminglinux.com/123/admin.PHP 不匹配
示例 3
- # 下面两种的结果不同
- if ($document_uri ~ '/data/|/cache/..php$')
- #if ($document_uri ~ '(/data/|/cache/)..php$')
- {
- return 403;
- }
说明: 请求的 uri 包含 data 或者 cache 目录, 并且是 PHP 时, 返回 403 状态码.
测试链接:
www.aminglinux.com/data/123.PHP 匹配
www.aminglinux.com/cache1/123.PHP 不匹配
nginx 基于 $request_uri 访问控制
$request_uri 比 $docuemnt_uri 多了请求的参数.
主要是针对请求的 uri 中的参数进行控制.
示例
- if ($request_uri ~ "gid=\d{9,12}")
- {
- return 403;
- }
说明:\d{9,12}是正则表达式, 表示 9 到 12 个数字, 例如 gid=1234567890 就符号要求.
测试链接:
www.aminglinux.com/index.PHP?gid=1234567890&pid=111 匹配
www.aminglinux.com/gid=123 不匹配
背景知识:
曾经有一个客户的网站 cc***, 对方发起太多类似这样的请求:/read-123405150-1-1.HTML
实际上, 这样的请求并不是正常的请求, 网站会抛出一个页面, 提示帖子不存在.
所以, 可以直接针对这样的请求, return 403 状态码.
Nginx 基于 $user_agent 的访问控制
user_agent 大家并不陌生, 可以简单理解成浏览器标识, 包括一些蜘蛛爬虫都可以通过 user_agent 来辨识.
通过观察访问日志, 可以发现一些搜索引擎的蜘蛛对网站访问特别频繁, 它们并不友好.
为了减少服务器的压力, 其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉.
另外, 一些 cc***, 我们也可以通过观察它们的 user_agent 找到规律.
示例
- if ($http_user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
- {
- return 403;
- }
说明: user_agent 包含以上关键词的请求, 全部返回 403 状态码.
测试:
- curl -A "123YisouSpider1.0"
- curl -A "MJ12bot/v1.4.1"
Nginx 基于 $http_referer 的访问控制
在前面讲解 rewrite 时, 曾经用过该变量, 当时实现了防盗链功能.
其实基于该变量, 我们也可以做一些特殊的需求.
示例
背景: 网站被黑挂马, 搜索引擎收录的网页是有问题的, 当通过搜索引擎点击到网站时
由于查找 *** 需要时间, 不能马上解决, 为了不影响用户体验, 可以针对此类请求做一个特殊操作.
比如, 可以把从百度访问的链接直接返回 404 状态码, 或者返回一段 HTML 代码.
- if ($http_referer ~ 'baidu.com')
- {
- return 404;
- }
或者
- if ($http_referer ~ 'baidu.com')
- {
- return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
- }
Nginx 限速
Nginx 的限速
可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块来实现限速的功能.
ngx_http_limit_conn_module
该模块主要限制下载速度.
并发限制
配置示例
- http
- {
- ...
- limit_conn_zone $binary_remote_addr zone=aming:10m;
- ...
- server
- {
- ...
- limit_conn aming 10;
- ...
- }
- }
说明: 首先用 limit_conn_zone 定义了一个内存区块索引 aming, 大小为 10m, 它以 $binary_remote_addr 作为 key.
该配置只能在 http 里面配置, 不支持在 server 里配置.
limit_conn 定义针对 aming 这个 zone, 并发连接为 10 个. 在这需要注意一下, 这个 10 指的是单个 IP 的并发最多为 10 个.
速度限制
- location ~ /download/ {
- ...
- limit_rate_after 512k;
- limit_rate 150k;
- ...
- }
说明: limit_rate_after 定义当一个文件下载到指定大小 (本例中为 512k) 之后开始限速;
limit_rate 定义下载速度为 150k/s.
注意: 这两个参数针对每个请求限速.
ngx_http_limit_req_module
该模块主要用来限制请求数.
limit_req_zone
语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http
设置一块共享内存限制域用来保存键值的状态参数. 特别是保存了当前超出请求的数量.
键的值就是指定的变量(空值不会被计算).
如 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
说明: 区域名称为 one, 大小为 10m, 平均处理的请求频率不能超过每秒一次, 键值是客户端 IP.
使用 $binary_remote_addr 变量, 可以将每条状态记录的大小减少到 64 个字节, 这样 1M 的内存可以保存大约 1 万 6 千个 64 字节的记录.
如果限制域的存储空间耗尽了对于后续所有请求, 服务器都会返回 503 (Service Temporarily Unavailable)错误.
速度可以设置为每秒处理请求数和每分钟处理请求数, 其值必须是整数,
所以如果你需要指定每秒处理少于 1 个的请求, 2 秒处理一个请求, 可以使用 "30r/m".
limit_req
语法: limit_req zone=name [burst=number] [nodelay];
默认值: -
配置段: http, server, location
设置对应的共享内存限制域和允许被处理的最大请求数阈值.
如果请求的频率超过了限制域配置的值, 请求处理会被延迟, 所以所有的请求都是以定义的频率被处理的.
超过频率限制的请求会被延迟, 直到被延迟的请求数超过了定义的阈值,
这时, 这个请求会被终止, 并返回 503 (Service Temporarily Unavailable) 错误.
这个阈值的默认值为 0. 如:
- limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
- server {
- location /upload/ {
- limit_req zone=aming burst=5;
- }
- }
限制平均每秒不超过一个请求, 同时允许超过频率限制的请求数不多于 5 个.
如果不希望超过的请求被延迟, 可以用 nodelay 参数, 如:
limit_req zone=aming burst=5 nodelay;
示例
- http {
- limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
- server {
- location ^~ /download/ {
- limit_req zone=aming burst=5;
- }
- }
- }
![]( https://s1.51cto.com/images/blog/201912
将 burst 改为 10 后的结果如下
设定白名单 IP
如果是针对公司内部 IP 或者 lo(127.0.0.1)不进行限速, 如何做呢? 这就要用到 geo 模块了.
假如, 预把 127.0.0.1 和 192.168.100.0/24 网段设置为白名单, 需要这样做.
在 http { }里面增加:
- geo $limited {
- default 1;
- 127.0.0.1/32 0;
- 192.168.100.0/24 0;
- }
- map $limited $limit {
- 1 $binary_remote_addr;
- 0 "";
- }
原来的 "limit_req_zone $binary_remote_addr" 改为 "limit_req_zone $limit"
完整示例:
- http {
- geo $limited {
- default 1;
- 127.0.0.1/32 0;
- 192.168.100.0/24 0;
- }
- map $limited $limit {
- 1 $binary_remote_addr;
- 0 "";
- }
- limit_req_zone $limit zone=aming:10m rate=1r/s;
- server {
- location ^~ /download/ {
- limit_req zone=aming burst=5;
- }
- }
- }
Nginx 用户认证
Nginx 的用户认证
当访问一些私密资源时, 最好配置用户认证, 增加安全性.
步骤和示例
安装 httpd
yum install -y httpd
使用 htpasswd 生产密码文件
htpasswd -c /usr/local/nginx/conf/htpasswd aming
配置 nginx 用户认证
- location /admin/
- {
- auth_basic "Auth";
- auth_basic_user_file /usr/local/nginx/conf/htpasswd;
- }
测试
- curl -uaming:passwd www.aminglinux.com/admin/1.HTML
- ![](https://s1.51cto.com/images/blog/201912/22/2aa8fa5e12209e54c2446f69d8c91de5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
来源: http://www.bubuko.com/infodetail-3345487.html