Linux学习总结(四十二)lnmp访问控制篇

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux学习总结(四十二)lnmp访问控制篇相关的知识,希望对你有一定的参考价值。

1 nginx 配置防盗链

防盗链的原理我们在lamp中已经有介绍,这里不再重复,直接看配置过程。
核心语句为

  valid_referers none blocked server_names  *.test.com ;
    if ($invalid_referer) {
        return 403;
    }

当然我们要将其放在location里面,结合之前的缓存有效期配置,就形成如下结构

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
     {
          expires      7d;    //针对上面匹配的文件,设置缓存时间为7天
          valid_referers none blocked server_names  *.test.com ;   //指定有效的referer 
          if ($invalid_referer) {
                 return 403;        //  如果是无效的referer,则禁止访问,返回403
          }     
          access_log off;     //针对以上location匹配的文件不记录访问日志
    }     

/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload
curl -x127.0.0.1:80 -I -e "http://www.baidu.com/1.txt" test.com/2.jpg
技术分享图片
curl -x127.0.0.1:80 -I -e "http://test.com/1.txt" test.com/2.jpg
技术分享图片

2 访问控制

需求一,针对admin目录做一个访问限制,只允许本机127.0.0.1访问,拒绝其他所有ip。配置如下

location /admin/
{ allow 127.0.0.1;
 deny all;
}

我们先来看下他的逻辑,在apache中,有一个 order ,会定义deny和allow的一个先后执行顺序,而且每条规则都会去匹配。比如针对当前这个需求配置时这样的

 <Directory /data/wwwroot/www.123.com/admin/>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </Directory>

若果将上面改为Order allow,deny 则会deny 所有,allow 语句失效。在nginx 里面从上往下只要匹配到规则就结束。第一条规则匹配到就不会去匹配第二条规则。

curl -x127.0.0.1:80 test.com/admin/index.html
curl -x192.168.226.130:80 test.com/admin/index.html

技术分享图片
其中 192.168.226.130 是本机ens33 网卡ip
如果只限制个别ip 访问则可以写成

location /admin/
{  
    deny 192.168.226.130;
 }

默认是允许所有的。不需要写allow all 了
也可以匹配正则限制

location ~ .*(upload|image)/.*\.php$
{
        deny all;
}

这样就拒绝请求了upload或者image目录下的php文件
备注:该段配置要加在解析php的配置前面,否则不能限制解析php
技术分享图片
限制指定use_agent的域名访问,匹配符~后面的*可以忽略大小写匹配

if ($http_user_agent ~* ‘Spider/3.0|YoudaoBot|Tomato‘)
{
      return 403;
}
curl -x127.0.0.1:80 test.com -A "spider/3.0"

技术分享图片
意思是限制一些爬虫,或者有道机器人,或者tomato相关的访问。就是可以有针对性的限制某些访问。

3 解析php 配置

location ~ \.php$
    {
        include fastcgi_params;
        fastcgi_pass unix:/tmp/php-fcgi.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;
    }

fastcgi_pass unix:/tmp/php-fcgi.sock; 该行指定监听php-fpm的socket,可以是ip加端口的形式,写法要和php-fpm配置文件保持一致。对应行为 listen = /tmp/php-fcgi.sock。配置文件为 /usr/local/php-fpm/etc/php-fpm.conf,我们安装php时有指定配置文件路径。
fastcgi_param SCRIPT_FILENAME /data/wwwroot/test.com$fastcgi_script_name;该行中的
/data/wwwroot/test.com 要跟虚拟主机保持一致
vim /data/wwwroot/test.com/2.php
写入一下内容

<?php
echo "a really php script";
?>

执行-s reload 后curl 测试
curl -x127.0.0.1:80 test.com/2.php
技术分享图片

4 nginx 代理

代理服务器:
通常说的代理就是正向代理,正向代理的过程隐藏了真实的客户端,服务端不知道真实的客户端是谁,×××服务器,就是正向代理。反向代理代理的是服务端,隐藏了真实的服务端。
正向代理中,proxy和client同属一个LAN
反向代理中,proxy和server同属一个LAN
技术分享图片
编辑一个新的虚拟主机

vim /usr/local/nginx/conf/vhost/proxy.conf
 server
{
    listen 80;
    server_name proxybaidu.com; //本地代理服务器器域名

    location /
    {
        proxy_pass      http://61.135.169.125/;  //被代理的服务器ip
        proxy_set_header Host www.baidu.com; //指定被代理的服务器域名
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
crul -x127.0.0.1:80 proxybaidu.com

技术分享图片
我们发现通过本地内网访问到了百度首页。为了理解代理,特意将代理服务器域名重命名了下,通常代理服务器域名会写的和提供网站资源的服务器域名一样,这样对于客户端来说就不会去区分,省去很多麻烦。百度这个ip 我们通过ping www.baidu.com 来获取。
总结:上面实验就是一个反向代理。怎么理解反响代理隐藏服务端,代理服务器和真实服务端处于同一子网呢?该实验我将proxybaidu.com更改为baidu.com,然后在windos 主机上设置本地dns ,再去访问百度,完全看不出来是从我的虚拟机web中取的数据,因此隐藏了服务端。那么为什么说我的虚拟机web 和百度处于同一子网呢,回答这个问题之前,我先说下很关键的一点,就是我们所说的服务器和客户端,局域网和公网,或者同一子网都是相对意义上的概念,单独讨论没有意义。-x127.0.0.1:80 就是指定本地私网,对于该回环地址来说,因为我们的虚拟机 nat 到了主机所处的公网里,所以从整体上看来我们的虚拟机web 和百度是处于同一子网的。

以上是关于Linux学习总结(四十二)lnmp访问控制篇的主要内容,如果未能解决你的问题,请参考以下文章

Linux学习总结(四十)lnmp之nginx安装 用户认证 域名重定向

Unity HTFramework框架(四十二)进阶篇使用依赖注入(控制反转模式)

Unity HTFramework框架(四十二)进阶篇使用依赖注入(控制反转模式)

Unity HTFramework框架(四十二)进阶篇使用依赖注入(控制反转模式)

学习四十三

[系统安全] 四十二.Powershell恶意代码检测系列 论文总结及抽象语法树(AST)提取