nginx站点目录及文件URL访问控制详解程序员

一、根据扩展名限制程序和文件访问

利用nginx配置禁止访问上传资源目录下的PHP、Shell、Perl、Python程序文件。

配置nginx,禁止解析指定目录下的指定程序

location ~ ^/images/.*/.(php|php5|sh|pl|py)$ 
		{ 
			deny all; 
		} 
		 
location ~ ^/static/.*/.(php|php5|sh|pl|py)$ 
		{ 
			deny all; 
		} 
		 
location ~ ^/data/(attachment|avatar).*/.(php|php5)$ 
		{ 
			deny all; 
		} 

 对上述目录的限制必须写在nginx处理PHP服务配置的前面,如下:

放置在server标签内: 
 
    server { 
        listen       80; 
        server_name  www.dmtest.com; 
        location / { 
            root   html; 
            index  index.php index.html index.htm; 
        } 
 
        location ~ ^/images/.*/.(php|php5|sh|pl|py)$ 
            { 
                deny all; 
            } 
 
        location ~ ^/static/.*/.(php|php5|sh|pl|py)$ 
            { 
                deny all; 
            } 
 
        location ~ ^/data/(attachment|avatar).*/.(php|php5)$ 
            { 
                deny all; 
            } 
		 
		...... 
		...... 
	} 

 nginx下配置禁止访问*.txt和*.doc文件

配置如下:

放置在server标签内: 
 
        location ~* /.(txt|doc)$ { 
            if (-f $request_filename) { 
            root /data/www/www; 
            #rewrite ...    #可以重定向到某个URL; 
            break; 
            } 
        } 
        location ~* /.(txt|doc)$ { 
            root /data/www/www; 
            deny all; 
        } 

二、禁止访问指定目录下的所有文件和目录

配置禁止党文指定的单个或多个目录。

禁止访问单个目录的命令如下:

放置在server标签内: 
 
       location ~ ^/(static)/ { 
           deny all; 
       } 
 
       location ~ ^/static { 
           deny all; 
       } 

 禁止访问多个目录的配置如下:

        location ~ ^/(static|js) { 
            deny all; 
        } 

 禁止访问目录并返回指定的http状态码,配置如下:

放置在server标签内: 
 
    server { 
        listen       80; 
        server_name  www.dmtest.com; 
        location / { 
            root   html; 
            index  index.php index.html index.htm; 
        } 
        location /admin/ { return 404; }    #访问admin目录返回404; 
        location /templates/ { return 403; }  #访问templates目录返回403 
 
        location ~ ^/images/.*/.(php|php5|sh|pl|py)$ 
            { 
                deny all; 
            } 

 作用:禁止访问目录下的指定文件或者禁止访问指定目录下的所有内容。

三、限制网站来源IP访问

禁止目录让外界访问,但允许某IP访问该目录且支持PHP解析,配置如下:

在server标签内配置如下: 
 
        location ~ ^/mysql_loging/ { 
            allow 192.168.0.4; 
            deny all; 
        } 
 
        location ~ .*/.(php|php5)?$ { 
            fastcgi_pass 127.0.0.1:9000; 
            fastcgi_index index.php; 
            include fastcgi_params; 
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name; 
        } 
 
说明:该配置只允许192.168.0.4IP访问mysql_loging目录 

 限制IP或IP段访问,配置如下:

添加在server标签内: 
 
        location / { 
            deny 192.168.0.4; 
            allow 192.168.1.0/16; 
            allow 10.0.0.0/24; 
            deny all; 
        } 

 说明:此限制是对某些IP做整个网站的限制访问。

nginx做反向代理的时候也可以限制客户端IP,具体如下

方法1:使用if来控制,配置如下:

if ( $remoteaddr = 10.0.0.7 ) { 
	return 403; 
} 
 
if ( $remoteaddr = 218.247.17.130 ) { 
	set $allow_access_root 'ture'; 
} 

 方法2:利用deny和allow只允许IP访问,配置如下:

location / { 
	root html/blog; 
	index index.php index.html index.htm; 
	allow 10.0.0.7; 
	deny all; 
} 

 方法3:只拒绝某些IP访问,配置如下

location / { 
	root html/blog; 
	index indx.php index.html index.htm; 
	deny 10.0.0.7; 
	allow all; 
} 

 注意事项:

deny一定要加一个IP,否者会直接跳转到403,不在往下执行了,如果403默认页在同一域名下,会造成死循环访问。

对于allow的IP段,从允许访问的段位从小到大排列,如127.0.0.0/24的下面才能是10.10.0.0/16,其中:

  24表示子网掩码:255.255.255.0

  16表示子网掩码:255.255.0.0

  8表示子网掩码:255.0.0.0

以deny all; 结尾,表示除了上面允许的,其他的都禁止。如:

deny 192.168.1.1;

allow 127.0.0.0/24;

allow 192.168.0.0/16;

allow 10.10.0.0/8;

deny all;

四、配置nginx,禁止非法域名解析访问企业网站

方法1:让使用IP访问网站的用户,或恶意接卸域名的用户,收到501错误,配置如下:

server { 
listen 80 default_server; 
server_name _; 
return 501;  
} 

 方法2:通过301跳转主页,配置如下:

server { 
listen 80 default_server; 
server_name _; 
rewrite ^(.*) http://www.dmtest.com/$1 permanent; 
} 

 方法3:发现某域名恶意解析到公司的服务器IP,在server标签里添加以下代码即可,若有多个server要多处添加。

if ($host !~ ^www/.dmtest/.com$) { 
        rewrite ^(.*) http://www.dmtest.com.com$1 permanent; 
} 

 

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/2127.html

(0)
上一篇 2021年7月15日 23:53
下一篇 2021年7月15日 23:53

相关推荐

发表回复

登录后才能评论