Nginx 的访问控制

lance 2020-04-21 PM 173℃ 0条

deny_allow

Nginx 的 deny 和 allow 指令是由 ngx_http_access_module 模块提供,Nginx 安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。

语法

语法:allow/deny address | CIDR | unix: | all

它表示,允许/拒绝某个 ip 或者一个 ip 段访问.
如果指定 unix:,那将允许 socket 的访问。
注意:unix 在 1.5.1 中新加入的功能。

在 nginx 中,allow 和 deny 的规则是按顺序执行的。

示例

示例 1:
location /
{
    allow 192.168.0.0/24;
    allow 127.0.0.1;
    deny all;
}

说明:这段配置值允许 192.168.0.0/24 网段和 127.0.0.1 的请求,其他来源 IP 全部拒绝。

示例 2:
location ~ "admin"
{
    allow 110.21.33.121;
    deny all
}
说明:访问的 uri 中包含 admin 的请求,只允许 110.21.33.121 这个 IP 的请求。

基于 location 的访问控制

在生产环境中,我们会对某些特殊的请求进行限制,比如对网站的后台进行限制访问。
这就用到了 location 配置。

示例 1

location /a/
{
    deny all;
}

说明:针对 /a/ 目录,全部禁止访问,这里的 deny all 可以改为 return 403.

示例 2

location ~ ".bak|\.ht"
{
    return 403;
}
说明:访问的 uri 中包含 .bak 字样的或者包含 .ht 的直接返回 403 状态码。

测试链接举例:
1. www.alinux.com/123.bak
2. www.alinux.com/a/123/.htalskdjf

示例 3

location ~ (data|cache|tmp|image|attachment).*\.php$
{
    deny all;
}

说明:请求的 uri 中包含 data、cache、tmp、image、attachment 并且以 .php 结尾的,全部禁止访问。

测试链接举例:
1. www.alinux.com/a/cache/1.php
2. www.alinux.com/image/123.phps
3. www.alinux.com/a/datas/1.php

基于 $document_uri 的访问控制

这就用到了变量 $document_uri,根据前面所学内容,该变量等价于 $uri,其实也等价于 location 匹配。

示例 1

if ($document_uri ~ "/admin/")
{
    return 403;
}

说明:当请求的 uri 中包含 /admin/ 时,直接返回 403.
if 结构中不支持使用 allow 和 deny。

测试链接:
1. www.alinux.com/123/admin/1.html 匹配
2. www.alinux.com/admin123/1.html  不匹配
3. www.alinux.com/admin.php  不匹配

示例 2

if ($document_uri = /admin.php)
{
    return 403;
}

说明:请求的 uri 为 /admin.php 时返回 403 状态码。

测试链接:
1. www.alinux.com/admin.php 匹配
2. www.alinux.com/123/admin.php  不匹配

示例 3

if ($document_uri ~ '/data/|/cache/.*\.php$')
{
    return 403;
}

说明:请求的 uri 包含 data 或者 cache 目录,并且是 php 时,返回 403 状态码。

测试链接:
1. www.alinux.com/data/123.php  匹配
2. www.alinux.com/cache1/123.php 不匹配

基于 $request_uri 访问控制

$request_uri 比 $docuemnt_uri 多了请求的参数。
主要是针对请求的 uri 中的参数进行控制。

示例

if ($request_uri ~ "gid=\d{9,12}")
{
    return 403;
}

说明:\d{9,12} 是正则表达式,表示 9 到 12 个数字,例如 gid=1234567890 就符号要求。

测试链接:
1. www.alinux.com/index.php?gid=1234567890&pid=111  匹配
2. www.alinux.com/gid=123  不匹配

背景知识:
曾经有一个网站 cc 攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。
所以,可以直接针对这样的请求,return 403 状态码。

基于 $user_agent 的访问控制

user_agent 大家并不陌生,可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过 user_agent 来辨识。
通过观察访问日志,可以发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。
为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。
另外,一些 cc 攻击,我们也可以通过观察它们的 user_agent 找到规律。

示例

if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
{
    return 403;
}
说明:user_agent 包含以上关键词的请求,全部返回 403 状态码。

测试:
1. curl -A "123YisouSpider1.0"
2. curl -A "MJ12bot/v1.4.1"

基于 $http_referer 的访问控制

在前面讲解 rewrite 时,曾经用过该变量,当时实现了防盗链功能。
其实基于该变量,我们也可以做一些特殊的需求。

示例

背景:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个博彩网站。
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作。
比如,可以把从百度访问的链接直接返回 404 状态码,或者返回一段 html 代码。

if ($http_referer ~ 'baidu.com')
{
    return 404;
}

或者

if ($http_referer ~ 'baidu.com')
{
    return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}

Nginx 的限速

可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块来实现限速的功能。

ngx_http_limit_conn_module

该模块主要限制下载速度。
  • 并发限制
配置示例
http
{
    ...
    limit_conn_zone $binary_remote_addr zone=a:10m;
    ...
    server
    {
        ...
        limit_conn a 10;
        ...   
    }
}
说明:首先用 limit_conn_zone 定义了一个内存区块索引 a,大小为 10m,它以 $binary_remote_addr 作为 key。
该配置只能在 http 里面配置,不支持在 server 里配置。
limit_conn 定义针对 a 这个 zone,并发连接为 10 个。在这需要注意一下,这个 10 指的是单个 IP 的并发最多为 10 个。
  • 速度限制
location ~ /download/ {
    ...
    limit_rate_after 512k;
    limit_rate 150k;
    ...
}
说明:limit_rate_after 定义当一个文件下载到指定大小(本例中为512k)之后开始限速;limit_rate 定义下载速度为 150k/s。
注意:这两个参数针对每个请求限速。

ngx_http_limit_req_module

该模块主要用来限制请求数。
  • limit_req_zone
语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http

设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。 
键的值就是指定的变量(空值不会被计算)。
如 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

说明:区域名称为 one,大小为 10m,平均处理的请求频率不能超过每秒一次,键值是客户端 IP。
使用 $binary_remote_addr 变量, 可以将每条状态记录的大小减少到 64 个字节,这样 1M 的内存可以保存大约 1 万 6 千个 64 字节的记录。
如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误。
速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数,
所以如果你需要指定每秒处理少于 1 个的请求,2 秒处理一个请求,可以使用 “30r/m”。
  • limit_req
语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location

设置对应的共享内存限制域和允许被处理的最大请求数阈值。 
如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的。 
超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值,
这时,这个请求会被终止,并返回 503 (Service Temporarily Unavailable) 错误。

这个阈值的默认值为 0。如:
limit_req_zone $binary_remote_addr zone=a:10m rate=1r/s;
server {
    location /upload/ {
        limit_req zone=a burst=5;
    }
}

限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于 5 个。
如果不希望超过的请求被延迟,可以用 nodelay 参数,如:
limit_req zone=a burst=5 nodelay;
  • 示例
http {
    limit_req_zone $binary_remote_addr zone=a:10m rate=1r/s;

    server {
        location  ^~ /download/ {  
            limit_req zone=a burst=5;
        }
    }
}
  • 设定白名单 IP
如果是针对公司内部 IP 或者 lo(127.0.0.1) 不进行限速,如何做呢?这就要用到 geo 模块了。

假如,如把 127.0.0.1 和 192.168.100.0/24 网段设置为白名单,需要这样做。
在 http { } 里面增加:
geo $limited {
    default 1;
    127.0.0.1/32 0;
    192.168.100.0/24 0;
}

map $limited $limit {
    1 $binary_remote_addr;
    0 "";
}

原来的 “limit_req_zone $binary_remote_addr ” 改为 “limit_req_zone $limit”

完整示例:
http {
    geo $limited {
        default 1;
        127.0.0.1/32 0;
        192.168.100.0/24 0;
    }

    map $limited $limit {
        1 $binary_remote_addr;
        0 "";
    }

    limit_req_zone $limit zone=a:10m rate=1r/s;

    server {
        location  ^~ /download/ {  
            limit_req zone=a burst=5;
        }
    }
}

Nginx 的用户认证

当访问一些私密资源时,最好配置用户认证,增加安全性。

步骤和示例

  • 安装 httpd
yum install -y httpd
  • 使用 htpasswd 生成密码文件
htpasswd -c /usr/local/nginx/conf/htpasswd a
  • 配置 nginx 用户认证
    location  /admin/
    {
        auth_basic "Auth";
        auth_basic_user_file   /usr/local/nginx/conf/htpasswd;
    }
  • 测试
curl -ua:passwd www.alinux.com/admin/1.html

标签: linux, nginx, access control

非特殊说明,本博所有文章均为博主原创。

觉得文章不错,打赏一点吧,1分也是爱😀

WeChat Pay

微信打赏

Alipay

支付宝打赏

评论啦~