专栏首页码农编程进阶笔记史上最全的nginx安全访问控制配置

史上最全的nginx安全访问控制配置

1.准备工作

准备两台带有yum安装的nginx的虚拟机,一台作为代理服务器,一台作为真实服务器。

192.168.13.133           真实服务器
192.168.13.129           代理服务器

2.配置基本的限流

“流量限制”配置两个主要的指令,limit_req_zone和limit_req,如下所示:

代理服务器配置(192.168.13.129):
[root@server ~]# vim /etc/nginx/conf.d/default.conf
清空并添加以下代码
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
        server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
        }
server {
        listen 80;
        server_name localhost;


        location /login {
                limit_req zone=mylimit;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                }
}
[root@server ~]# nginx -t
[root@server ~]# nginx -s reload

limit_req_zone指令定义了流量限制相关的参数,而limit_req指令在出现的上下文中启用流量限制(示例中,对于”/login/”的所有请求)。

limit_req_zone指令通常在HTTP块中定义,使其可在多个上下文中使用,它需要以下三个参数:

Key- 定义应用限制的请求特性。示例中的 Nginx 变量$binary_remote_addr,保存客户端IP地址的二进制形式。这意味着,我们可以将每个不同的IP地址限制到,通过第三个参数设置的请求速率。(使用该变量是因为比字符串形式的客户端IP地址$remote_addr,占用更少的空间)

Zone - 定义用于存储每个IP地址状态以及被限制请求URL访问频率的共享内存区域。保存在内存共享区域的信息,意味着可以在Nginx的worker进程之间共享。定义分为两个部分:通过zone=keyword标识区域的名字,以及冒号后面跟区域大小。16000个IP地址的状态信息,大约需要1MB,所以示例中区域可以存储160000个IP地址。

Rate - 定义最大请求速率。在示例中,速率不能超过每秒1个请求。Nginx实际上以毫秒的粒度来跟踪请求,所以速率限制相当于每1000毫秒1个请求。因为不允许”突发情况”,这意味着在前一个请求1000毫秒内到达的请求将被拒绝。

limit_req_zone指令设置流量限制和共享内存区域的参数,但实际上并不限制请求速率。所以需要通过添加limit_req指令,将流量限制应用在特定的location或者server块。在上面示例中,我们对/login/请求进行流量限制。

现在每个IP地址被限制为每秒只能请求1次/login/,更准确地说,在前一个请求的1000毫秒内不能请求该URL。

真实服务器配置(192.168.13.133):

[root@real-server ~]# vim /etc/nginx/conf.d/default.conf
清空并添加以下内容(当然你也可以什么都不做)
server {
        listen 80;
        server_name localhost;
        location /login {
                root    /usr/share/nginx/html;
                index   index.html index.html;
                }
}
[root@real-server ~]# nginx -t
[root@real-server ~]# nginx -s reload

创建目录和文件并写入测试数据

[root@real-server ~]# mkdir -p /usr/share/nginx/html/login
[root@real-server ~]# echo "test" > /usr/share/nginx/html/login/index.html

当你每秒刷新一次的时候

当你每秒刷新多于一次的时候

3、处理突发

如果我们在1000毫秒内接收到2个请求,怎么办?对于第二个请求,Nginx将给客户端返回错误。这可能并不是我们想要的结果,因为应用本质上趋向于突发性。相反地,我们希望缓冲任何超额的请求,然后及时地处理它们。我们更新下配置,在limit_req中使用burst参数:

我们只需要在代理服务器上添加burst参数就行了。示例中的mylimit`区域,速率限制在每秒1个请求,或每1000毫秒一个请求,客户端还能发起多少请求。上一个请求100毫秒内到达的请求将会被放入队列,我们将队列大小设置为5。

4.基于IP的访问控制

基于IP的访问控制:http_access_module

我们在真实服务器上(192.168.13.133)进行如下配置:
[root@real-server ~]# vim /etc/nginx/conf.d/default.conf
清空并添加以下内容
server {
        listen 80;
        server_name localhost;
        location /login {
                root    /usr/share/nginx/html;
                index   index.html index.html;
                deny 192.168.13.129;
                allow all;
                }
}
#需要注意:
如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。(即allow all在deny 192.168.13.129前面)
[root@real-server ~]# nginx -s reload

代理服务器已经没有权限了,所以返回一个403状态码。

5.基于用户的信任登录

我们在真实服务器上(192.168.13.133)进行如下配置:

[root@real-server ~]# vim /etc/nginx/conf.d/default.conf
清空并添加以下内容
server {
        listen 80;
        server_name localhost;
        location /login {
                root    /usr/share/nginx/html;
                index   index.html index.html;
                auth_basic "Auth access test!";
                auth_basic_user_file /etc/nginx/auth_conf;
                }
}
#auth_basic不为off,开启登录验证功能,auth_basic_user_file加载账号密码文件。
[root@real-server ~]# yum -y install httpd-tools
#htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件
[root@real-server ~]# htpasswd -cm /etc/nginx/auth_conf user10
New password:        #输入密码
Re-type new password:          #确认密码
Adding password for user user10

本文分享自微信公众号 - 码农编程进阶笔记(lxw1844912514),作者:竹子

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Nginx 安全访问控制 - 限制 IP 访问

    有时候我们需要根据客户端 IP 来限制访问,如果是不允许的 IP 则返回 403 Forbidden。

    文渊同学
  • Jenkins安全配置/访问控制/审计 原

    访问的页面为http://my.jenkins.server/configureSecurity/

    donghui
  • Android Studio安装、配置史上最全图解

    (这里提示sdk目录里面已经有内容了,因为我们已经下载了相应版本的sdk了,不用管)

    Vance大飞
  • 史上最全的Android build.gradle配置教程

    Android Studio是采用gradle来构建项目的,gradle是基于groovy语言的,如果只是用它构建普通Android项目的话,是可以不去学gro...

    砸漏
  • 与访问控制相关的安全问题

    学习打卡计划是信安之路知识星球开启的 “每天读书一小时,挑战打卡一百天” 主题活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,...

    信安之路
  • Linux下使用Nginx端口转发出现502错误的一种解决办法

    今天圈里的一个朋友在配置完nfinx80端口转发到5000后,发现一个问题 问题描述: 正确配置了Nginx80端口转5000端口,在CentOS上把.Net ...

    码农阿宇
  • Nginx 页面安全认证 - 配置用户需要认证访问网站

    有时候出于权限和安全考虑,我们希望某些页面不允许随便访问,必须通过用户认证才可以访问。

    文渊同学
  • 增强Linux内核中访问控制安全的方法

    前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件...

    砸漏
  • 前端工程师不可不知的Nginx知识

    互联网的全球化导致了互联网的数据量快速增长,加上在本世纪初摩尔定律在单核 CPU 上的失效,CPU 朝着多核方向发展,而 Apache 显然并没有做好多核架构的...

    童欧巴
  • NGINX从入门到精通导航

    请参考文章《如何服务器搭建网站(用宝塔面板)》 https://zhuanlan.zhihu.com/p/264988902

    辉哥
  • 漫画:鉴权与安全访问控制的技术血脉

        十年前,静儿做的是传统软件的项目,都是企业定制的项目,系统安装在企业的机器上,通过硬件来做物理隔离。系统的安全访问控制靠操作系统来保证。

    静儿
  • setenforce用法

    SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。

    宸寰客
  • CODING CD + Nginx Ingress 实现蓝绿发布

    本文将介绍如何通过 CODING CD 使用 Nginx Ingress 来实现蓝绿发布。

    CODING
  • 史上最全的iOS之访问自定义cell的textField.text的N种方法

    问题背景:自定义cell中有一个UITextField类型的子控件。我们经常要在tableView中拿到某个cell内textField的文本内容进行一些操作。...

    VV木公子
  • Nginx基于站点目录和文件的URL访问控制 - 配置笔记

    对于为用户服务的大多数公司而言,把控用户权限是一件十分重要的事情。通过配置Nginx来禁止访问上传资源目录下的PHP、shell、Python等程序文件,这样用...

    洗尽了浮华
  • 从一次攻击溯源中暴露的安全问题

    A机器在2021年2月28日18:57:31执行了bash命令(base64编码编译执行):

    万海旭
  • php-fpm.conf配置文件中文说明详解及重要参数说明

    php-fpm启动后会先读php.ini,然后再读相应的conf配置文件,conf配置可以覆盖php.ini的配置。

    砸漏
  • php-fpm.conf配置文件中文说明详解及重要参数说明

    php-fpm启动后会先读php.ini,然后再读相应的conf配置文件,conf配置可以覆盖php.ini的配置。

    砸漏
  • 大规模Nginx平台化实践,京东能提供哪些参考经验?

    Nginx是优秀的HTTP和反向代理服务器,京东各部门都在广泛使用,但普遍都面临着一些问题:

    后端技术探索

扫码关注云+社区

领取腾讯云代金券