Linux10.14 访问控制

deny allow

Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。

语法

语法:allow/deny address | CIDR | unix: | all

它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意:unix在1.5.1中新加入的功能。

在nginx中,allow和deny的规则是按顺序执行的。

示例1:
location /
{
    allow 192.168.0.0/24;
    allow 127.0.0.1;
    deny all;
}

说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝。

示例2:
location ~ "admin"
{
    allow 110.21.33.121;
    deny all
}
说明:访问的uri中包含admin的请求,只允许110.21.33.121这个IP的请求。

location

在生产环境中,我们会对某些特殊的请求进行限制,比如对网站的后台进行限制访问。这就用到了location配置。

示例1:
location /aming/
{
    deny all;
}

说明:针对/aming/目录,全部禁止访问,这里的deny all可以改为return 403.

示例2:
location ~ ".bak|\.ht"
{
    return 403;
}
说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。bak前面点是正则任意一个字符,ht前面必须是一个点才匹配

测试链接举例:
1. www.aminglinux.com/123.bak
2. www.aminglinux.com/aming/123/.htalskdjf

示例3:
location ~ (data|cache|tmp|image|attachment).*\.php$
{
    deny all;
}

说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。

测试链接举例:
1. www.aminglinux.com/aming/cache/1.php
2. www.aminglinux.com/image/123.phps
3. www.aminglinux.com/aming/datas/1.php

$document_uri

  不包含链接中问号后的参数

这就用到了变量$document_uri,根据前面所学内容,该变量等价于$uri,其实也等价于location匹配。

示例1:
if ($document_uri ~ "/admin/")
{
    return 403;
}

说明:当请求的uri中包含/admin/时,直接返回403.

if结构中不支持使用allow和deny。

测试链接:
1. www.aminglinux.com/123/admin/1.html 匹配
2. www.aminglinux.com/admin123/1.html  不匹配
3. www.aminglinux.com/admin.php  不匹配

示例2:
if ($document_uri = /admin.php)
{
    return 403;
}

说明:请求的uri为/admin.php时返回403状态码。

测试链接:
1. www.aminglinux.com/admin.php 匹配
2. www.aminglinux.com/123/admin.php  不匹配

示例3:
if ($document_uri ~ '/data/|/cache/.*\.php$')
{
    return 403;
}

说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码。

测试链接:
1. www.aminglinux.com/data/123.php  匹配
2. www.aminglinux.com/cache1/123.php 不匹配

$request_uri

包含链接中问号后的参数

$request_uri比$docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。

示例:
if ($request_uri ~ "gid=\d{9,12}")
{
    return 403;
}

说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求。

测试链接:
1. www.aminglinux.com/index.php?gid=1234567890&pid=111  匹配
2. www.aminglinux.com/gid=123  不匹配

背景知识:
曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在。
所以,可以直接针对这样的请求,return 403状态码。

user_agent

user_agent大家并不陌生,可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。
通过观察访问日志,可以发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好。
为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。
另外,一些cc攻击,我们也可以通过观察它们的user_agent找到规律。


示例:
if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato')
{
    return 403;
}
说明:user_agent包含以上关键词的请求,全部返回403状态码。

测试:
1. curl -A "123YisouSpider1.0"
2. curl -A "MJ12bot/v1.4.1"

$http_referer

在前面讲解rewrite时,曾经用过该变量,当时实现了防盗链功能。
其实基于该变量,我们也可以做一些特殊的需求。


示例:
背景:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个博彩网站。
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作。
比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码。

if ($http_referer ~ 'baidu.com')
{
    return 404;
}

或者

if ($http_referer ~ 'baidu.com')
{
    return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}

 

posted @ 2018-07-23 15:47  chyuanliu  阅读(209)  评论(0编辑  收藏  举报