专栏首页linux运维学习linux学习第四十六篇:Nginx防盗链,Nginx访问控制,Nginx解析php相关配置,Nginx代理

linux学习第四十六篇:Nginx防盗链,Nginx访问控制,Nginx解析php相关配置,Nginx代理

Nginx防盗链

  • vim /usr/local/nginx/conf/vhost/test.com.conf 配置如下,可以和上面的配置结合起来:
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$
{
    expires 7d;
    valid_referers none blocked server_names  *.test.com ; //定义白名单
    if ($invalid_referer) {
        return 403;
    }//如果不是白名单里的就返回403
    access_log off;
}
  • curl测试,-e指定referer: referer是白名单里的才能正常访问(referer要记得加http://)

Nginx访问控制

  • 需求:访问/admin/目录的请求,只允许某几个IP访问, vim /usr/local/nginx/conf/vhost/test.com.conf 配置如下:
location /admin/
{
    allow 192.168.133.1;
    allow 127.0.0.1;
    deny all;
}
  • 创建admin目录: mkdir /data/wwwroot/test.com/admin/
  • 编辑测试文件: echo “test,test”>/data/wwwroot/test.com/admin/1.html
  • 测试加载配置文件: -t && -s reload
  • curl测试: curl -x127.0.0.1:80 test.com/admin/ -I curl -x192.168.118.129:80 test.com/admin/ -I 没有在白名单里的ip访问网站限制的admin目录的时候就会出现403
  • 把能上传的目录禁掉,禁止解析php: 配置如下:
location ~ .*(upload|image)/.*\.php$  //意思是匹配upload或者image目录下的.php文件
{
        deny all;
}
  • 配置好后测试加载配置文件: -t && -s reload
  • curl测试: * curl -x127.0.0.1:80 test.com/upload/1.php -I* upload目录下的.php文件不能访问了,但是除了.php的其他的就能访问。

  • 根据user_agent限制 如果你的网站不想被人搜到,就把那些蜘蛛网封掉,像百度,谷歌等把他们封掉,没有任何网站可以爬到你的数据。 配置如下:
if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
{
      return 403;
}
//deny all和return 403效果一样
  • curl测试,-A是模拟user_agent: Tomato是在限制的user_agent名单里,所以不能访问,这里是没有忽略大小写了 如果要忽略大小写,可在if语句的 ~ 后面加上 *,如:if ($http_user_agent ~* ‘Spider/3.0|YoudaoBot|Tomato’)

Nginx解析php相关配置

  • vim /usr/local/nginx/conf/vhost/test.com.conf 配置如下:
location ~ \.php$
    {
        include fastcgi_params;
        fastcgi_pass unix:/tmp/php-fcgi.sock; //如果文件写错名字,访问的时候就会出现502
        //如果遇到502,就检查fastcgi_pass的地址Nginx跟php-fpm所配置的地址对应。
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name; //这个的路径要跟开头配置的root的路径对应。

//fastcgi_pass 用来指定php-fpm监听的地址或者socket
    }
  • 没有配置前是解析不了php的,如图:

配置后重新加载配置文件,访问php文件后可以解析:

  • PS: 常见的502错误 1.配置错误 因为nginx找不到php-fpm了,所以报错,一般是fastcgi_pass后面的路径配置错误了,后面可以是socket或者是ip:port 2.资源耗尽 lnmp架构在处理php时,nginx直接调取后端的php-fpm服务,如果nginx的请求量偏高,我们又没有给php-fpm配置足够的子进程,那么php-fpm就会资源耗尽,一旦资源耗尽nginx找不到php-fpm就会出现502错误, 解决方案 去调整php-fpm.conf中的pm.max_children数值,使其增加,但是也不能无限增加,毕竟资源有限,一般4G内存机器如果跑php-fpm和nginx,不跑mysql可以设置为150,8G为300以此类推 3.除了上面的两种错误还有其他的原因,很少有,我们可以借助nginx的错误日志来进行排查vim /usr/local/nginx/logs/nginx_error.log 我们也可以给日志定义级别vim/usr/local/nginx/conf/nginx.conf 找到error_log,默认是crit最严谨的就行,也可以改成debug显示的信息最全面,但是很容易撑爆我们的磁盘。

Nginx代理

一家公司有很多台服务器,为了节省成本,不能为所有服务器都分配公网IP,而如果一个没有公网IP的服务器要提供Web服务,就可以通过代理来实现

  • 创建一个新的配置文件: cd /usr/local/nginx/conf/vhost vim proxy.conf 加入如下内容:
server
{
    listen 80;
    server_name ask.apelearn.com;

    location /
    {
        proxy_pass      http://121.201.9.155/; //指定要代理的域名所在的服务器IP,即Web服务器的地址
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
//这里没有root,因为它是代理服务器,不需要访问本地服务器上的任何文件
  • 针对蜘蛛的索引的列表,一般网站都会有这个:
  • 通过本地的IP访问了远程的站点,代理服务器就是我们的虚拟机,Web服务器就是我们访问的ask.apelearn.com

扩展 502问题汇总 http://ask.apelearn.com/question/9109 location优先级 http://blog.lishiming.net/?p=100

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • linux学习第四十二篇:PHP扩展模块安装

    PHP扩展模块安装 查看模块: /usr/local/php/bin/php -m 下面安装一个redis的模块 cd /usr/local/src/ ...

    用户1215343
  • linux学习第四十二篇:限定某个目录禁止解析php, 限制user_agent,PHP相关配置

    限定某个目录禁止解析php 虚拟主机配置文件添加的核心配置内容: <Directory /data/wwwroot/111.com/upload> ...

    用户1215343
  • linux学习第三十七篇:安装PHP5,安装PHP7

    安装PHP5 PHP官网www.php.net 当前主流版本为5.6/7.1 进入放源码包的目录: cd /usr/local/src/ 下载php的源码...

    用户1215343
  • 3-5年的PHPer常见的面试题

    看到有很多,的总结一下,比较适合有一定经验的PHPer 平时喜欢哪些php书籍及博客?CSDN、虎嗅、猎云 js闭包是什么,原型链了不了解? for与forea...

    思梦php
  • 浅谈php://filter的妙用

    php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做...

    砸漏
  • 谈一谈php://filter的妙用

    php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做...

    phith0n
  • python参数调用

    py3study
  • Billu_b0x靶机渗透

    得到IP后,访问网页,发现只有登录框,没有什么意外的东西,扫描一下后台目录,看看有没有什么文件可利用的,扫描完后,发现有一堆php,同时还有一个phpmy(ph...

    Elapse
  • [OneIndex 2.0] 大版本更新,代码已放出。onedrive文件分享。

    用户1202364
  • 导入 Avada 模板时出现 php time limit 和 php max input vars 提示怎么办?

    网友导入 Avada 模板的时候出现下图这个问题,之前很多网友都遇到过类似问题,好多人用的宝塔面板,在后台能找到修改的可视化界面,而如果是主机商提供的面板就没这...

    魏艾斯博客www.vpsss.net

扫码关注云+社区

领取腾讯云代金券