#私藏项目实操分享# Ngnix --day08 _实操

亦余心之所善兮，虽九死其犹未悔。这篇文章主要讲述#私藏项目实操分享# Ngnix --day08相关的知识，希望能为你提供帮助。
nginx--day08
Nginx访问控制 —— deny_allow
Nginx的deny和allow指令是由ngx_http_access_module模块提供，Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。
语法
语法：allow/deny address | CIDR | unix: | all
它表示，允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意：unix在1.5.1中新加入的功能。
在nginx中，allow和deny的规则是按顺序执行的。
示例
示例1：
location /

allow 192.168.0.0/24;
allow 127.0.0.1;
deny all;

说明：这段配置值允许192.168.0.0/24网段和127.0.0.1的请求，其他来源IP全部拒绝。
[root@amingLiunx vhost]# vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
deny all ;
location ^~ /abc

echo "^~";

location = /abc/1.html

echo "=";

[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com
< html>
< head> < title> 403 Forbidden< /title> < /head>
< body bgcolor="white">
< center> < h1> 403 Forbidden< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/asdfghjkl -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:31:10 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
[root@amingLiunx vhost]# curl -x192.168.0.106:80 www.2.com/asdfghjkl -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:31:24 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

示例2：
location ~ "admin"

allow 110.21.33.121;
deny all

说明：访问的uri中包含admin的请求，只允许110.21.33.121这个IP的请求。
[root@amingLiunx vhost]# vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
allow 127.0.0.1 ; ||还可以一个网段192.168.0.0/24，规则是从上到下依次执行，只要匹配前面的，后面的不再匹配
deny all ;
location ^~ /abc

echo "^~";

location = /abc/1.html

echo "=";

[root@amingLiunx vhost]# curl -x192.168.0.106:80 www.2.com/asdfghjkl -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:33:17 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/asdfghjkl -I
HTTP/1.1 404 Not Found
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:33:26 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

基于location的访问控制
在生产环境中，我们会对某些特殊的请求进行限制，比如对网站的后台进行限制访问。
这就用到了location配置。||deny还是allow一般都是写在location里
示例1
location /aming/

deny all;

说明：针对/aming/目录，全部禁止访问，这里的deny all可以改为return 403.
示例2
location ~ ".bak|\\.ht"

return 403;

说明：访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。
测试链接举例：1. www.aminglinux.com/123.bak2. www.aminglinux.com/aming/123/.htalskdjf
[root@amingLiunx vhost]# vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
location ~ ".bak|\\.htp"

return 403;

[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/index.html.bak -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:47:49 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/index.html.b2ak -I
HTTP/1.1 404 Not Found
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:47:54 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/index.html.2bak -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:48:13 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

示例3
location ~ (data|cache|tmp|image|attachment).*\\.php$

deny all;

说明：请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的，全部禁止访问。
测试链接举例：1. www.aminglinux.com/aming/cache/1.php2. www.aminglinux.com/image/123.phps3. ??www.aminglinux.com/aming/datas/1.php??
【#私藏项目实操分享# Ngnix --day08】[root@amingLiunx vhost]# !v
vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
location ~ (data|cache|tmp|image|attachment).*\\.php$

deny all;

[root@amingLiunx vhost]# curl -x 127.0.0.1:80 www.2.com/abc/1.php -I
HTTP/1.1 404 Not Found
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:53:44 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
[root@amingLiunx vhost]# curl -x 127.0.0.1:80 www.2.com/abc/data/1.php -I
HTTP/1.1 403 Forbidden
Server: nginx/1.14.0
Date: Tue, 24 Dec 2019 10:54:54 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

有些网站的目录是可写情况下，那么里面不能支持php，如果是木马会造成隐患
Nginx基于$document_uri的访问控制
这就用到了变量$document_uri，根据前面所学内容，该变量等价于$uri，其实也等价于location匹配。||内置变量
示例1
if ($document_uri ~ "/admin/")

return 403;

说明：当请求的uri中包含/admin/时，直接返回403.
if结构中不支持使用allow和deny。
测试链接：1. www.aminglinux.com/123/admin/1.html 匹配2. www.aminglinux.com/admin123/1.html不匹配3. www.aminglinux.com/admin.php不匹配
示例2
if ($document_uri = /admin.php)

return 403;

说明：请求的uri为/admin.php时返回403状态码。
测试链接：1. www.aminglinux.com/admin.php 匹配2. www.aminglinux.com/123/admin.php不匹配
[root@amingLiunx vhost]# !v
vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
if ($document_uri ~ "/admin/")||各种符号的含义要分清楚

return 403;

[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/admin
< html>
< head> < title> 404 Not Found< /title> < /head>
< body bgcolor="white">
< center> < h1> 404 Not Found< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/admin/asdfghj
< html>
< head> < title> 403 Forbidden< /title> < /head>
< body bgcolor="white">
< center> < h1> 403 Forbidden< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>

示例3
if ($document_uri ~ /data/|/cache/.*\\.php$)

return 403;

说明：请求的uri包含data或者cache目录，并且是php时，返回403状态码。
测试链接：1. www.aminglinux.com/data/123.php匹配2. www.aminglinux.com/cache1/123.php 不匹配
[root@amingLiunx vhost]# !v
vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
if ($document_uri ~ /data/|/cache/.*\\.php$)

return 403;

[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/cache/1.php
< html>
< head> < title> 403 Forbidden< /title> < /head>
< body bgcolor="white">
< center> < h1> 403 Forbidden< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/cache
< html>
< head> < title> 404 Not Found< /title> < /head>
< body bgcolor="white">
< center> < h1> 404 Not Found< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>

nginx基于$request_uri访问控制
$request_uri比$docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。
示例
if ($request_uri ~ "gid=\\d9,12")

return 403;

说明：\\d9,12是正则表达式，表示9到12个数字，例如gid=1234567890就符号要求。
测试链接：1. www.aminglinux.com/index.php?gid=1234567890& pid=111匹配2. www.aminglinux.com/gid=123不匹配
[root@amingLiunx vhost]# !v
vi www.2.com.conf
server
listen 80;
server_name www.2.com ;
root /data/wwwroot/www.2.com;
access_log /tmp/2.log ;
if ($request_uri ~ "gid=\\d9,12")

return 403;

[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/index.php?gid=123456789
< html>
< head> < title> 403 Forbidden< /title> < /head>
< body bgcolor="white">
< center> < h1> 403 Forbidden< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>
[root@amingLiunx vhost]# curl -x127.0.0.1:80 www.2.com/index.php?gid=12345678
< html>
< head> < title> 404 Not Found< /title> < /head>
< body bgcolor="white">
< center> < h1> 404 Not Found< /h1> < /center>
< hr> < center> nginx/1.14.0< /center>
< /body>
< /html>

背景知识：
曾经有一个客户的网站cc攻击，对方发起太多类似这样的请求：/read-123405150-1-1.html
实际上，这样的请求并不是正常的请求，网站会抛出一个页面，提示帖子不存在。
所以，可以直接针对这样的请求，return 403状态码。?

#私藏项目实操分享# Ngnix --day08

推荐阅读

《时生》

中国为何不承认科索沃北约轰炸南联盟

空调内外机通风口是什么

羊肉变质了煮熟还能吃吗

FGO贝奥武夫三技能强化简评 FGO圣诞六期贝奥武夫技能本

秦时明月世界测试福利有什么秦时明月世界测试福利介绍

redis connect time out redis连接超时功能

穿衬衫要不要穿外套穿衬衫里面还需要穿衣服吗

藜麦碳水化合物含量高吗

爱目者护眼贴关爱儿童眼部健康公益活动|爱目者护眼贴关爱儿童眼部健康公益活动共筑美好未来

sp如何调玻璃材质 sp如何diy，sp如何diy更疼

鼻毛|鼻毛外露不美观，拔了完事？鼻毛好处很多，劝你手下留情

你们看过后觉得最好的小说是什么？有哪些“高干文”和“糙汉文”推荐？

美丽加

电商什么都卖好吗怎么说电商什么都卖好吗，电商什么都卖好吗知乎

地不容价格地不容

八月瓜种植技术及条件

笼养八哥怎么训练怎样饲养和调教八哥

佳能A4000 IS价格是多少钱？佳能A4000 IS的佳能A4000 IS说明书

天天吃咸鸭蛋好吗会胖吗天天吃咸鸭蛋好吗