• 史上最全的nginx安全访问控制配置


    点击上方“ 码农编程进阶笔记 ”,选择“置顶或者星标

    文末有干货,每天定时与您相约!

    1.准备工作

    准备两台带有yum安装的nginx的虚拟机,一台作为代理服务器,一台作为真实服务器。

    192.168.13.133           真实服务器
    192.168.13.129           代理服务器
    

    2.配置基本的限流

    “流量限制”配置两个主要的指令,limit_req_zone和limit_req,如下所示:

    代理服务器配置(192.168.13.129):
    [root@server ~]# vim /etc/nginx/conf.d/default.conf
    清空并添加以下代码
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    upstream myweb {
            server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
            }
    server {
            listen 80;
            server_name localhost;
    
    
    
    
            location /login {
                    limit_req zone=mylimit;
                    proxy_pass http://myweb;
                    proxy_set_header Host $host:$server_port;
                    proxy_set_header X-Real-IP $remote_addr;
                    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                    }
    }
    
    [root@server ~]# nginx -t
    [root@server ~]# nginx -s reload
    

    limit_req_zone指令定义了流量限制相关的参数,而limit_req指令在出现的上下文中启用流量限制(示例中,对于”/login/”的所有请求)。

    limit_req_zone指令通常在HTTP块中定义,使其可在多个上下文中使用,它需要以下三个参数:

    Key - 定义应用限制的请求特性。示例中的 Nginx 变量$binary_remote_addr,保存客户端IP地址的二进制形式。这意味着,我们可以将每个不同的IP地址限制到,通过第三个参数设置的请求速率。(使用该变量是因为比字符串形式的客户端IP地址$remote_addr,占用更少的空间)

    Zone - 定义用于存储每个IP地址状态以及被限制请求URL访问频率的共享内存区域。保存在内存共享区域的信息,意味着可以在Nginx的worker进程之间共享。定义分为两个部分:通过zone=keyword标识区域的名字,以及冒号后面跟区域大小。16000个IP地址的状态信息,大约需要1MB,所以示例中区域可以存储160000个IP地址。

    Rate - 定义最大请求速率。在示例中,速率不能超过每秒1个请求。Nginx实际上以毫秒的粒度来跟踪请求,所以速率限制相当于每1000毫秒1个请求。因为不允许”突发情况”,这意味着在前一个请求1000毫秒内到达的请求将被拒绝。

    limit_req_zone指令设置流量限制和共享内存区域的参数,但实际上并不限制请求速率。所以需要通过添加limit_req指令,将流量限制应用在特定的location或者server块。在上面示例中,我们对/login/请求进行流量限制。

    现在每个IP地址被限制为每秒只能请求1次/login/,更准确地说,在前一个请求的1000毫秒内不能请求该URL。

    真实服务器配置(192.168.13.133):

    [root@real-server ~]# vim /etc/nginx/conf.d/default.conf
    清空并添加以下内容(当然你也可以什么都不做)
    server {
            listen 80;
            server_name localhost;
            location /login {
                    root    /usr/share/nginx/html;
                    index   index.html index.html;
                    }
    }
    
    [root@real-server ~]# nginx -t
    [root@real-server ~]# nginx -s reload
    

    创建目录和文件并写入测试数据

    [root@real-server ~]# mkdir -p /usr/share/nginx/html/login
    [root@real-server ~]# echo "test" > /usr/share/nginx/html/login/index.html
    

    当你每秒刷新一次的时候

    当你每秒刷新多于一次的时候

    3、处理突发

    如果我们在1000毫秒内接收到2个请求,怎么办?对于第二个请求,Nginx将给客户端返回错误。这可能并不是我们想要的结果,因为应用本质上趋向于突发性。相反地,我们希望缓冲任何超额的请求,然后及时地处理它们。我们更新下配置,在limit_req中使用burst参数:

    我们只需要在代理服务器上添加burst参数就行了。示例中的mylimit`区域,速率限制在每秒1个请求,或每1000毫秒一个请求,客户端还能发起多少请求。上一个请求100毫秒内到达的请求将会被放入队列,我们将队列大小设置为5。

    4.基于IP的访问控制

    基于IP的访问控制:http_access_module

    我们在真实服务器上(192.168.13.133)进行如下配置:
    [root@real-server ~]# vim /etc/nginx/conf.d/default.conf
    清空并添加以下内容
    server {
            listen 80;
            server_name localhost;
            location /login {
                    root    /usr/share/nginx/html;
                    index   index.html index.html;
                    deny 192.168.13.129;
                    allow all;
                    }
    }
    #需要注意:
    如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。(即allow all在deny 192.168.13.129前面)
    
    [root@real-server ~]# nginx -s reload
    

    代理服务器已经没有权限了,所以返回一个403状态码。

    5.基于用户的信任登录

    我们在真实服务器上(192.168.13.133)进行如下配置:

    [root@real-server ~]# vim /etc/nginx/conf.d/default.conf
    清空并添加以下内容
    server {
            listen 80;
            server_name localhost;
            location /login {
                    root    /usr/share/nginx/html;
                    index   index.html index.html;
                    auth_basic "Auth access test!";
                    auth_basic_user_file /etc/nginx/auth_conf;
                    }
    }
    #auth_basic不为off,开启登录验证功能,auth_basic_user_file加载账号密码文件。
    
    [root@real-server ~]# yum -y install httpd-tools
    #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件
    [root@real-server ~]# htpasswd -cm /etc/nginx/auth_conf user10
    New password:        #输入密码
    Re-type new password:          #确认密码
    Adding password for user user10
    

    以上内容希望帮助到大家,很多PHPer在进阶的时候总会遇到一些问题和瓶颈,业务代码写多了没有方向感,不知道该从那里入手去提升,对此我整理了一些资料,包括但不限于:分布式架构、高可扩展、高性能、高并发、服务器性能调优、TP6,laravel,YII2,Redis,Swoole、Swoft、Kafka、Mysql优化、shell脚本、Docker、微服务、Nginx等多个知识点高级进阶干货需要的可以免费分享给大家

    资料获取方式:

    1. 扫描下方二维码,后台回复关键字

    2. 或   点击这里 【直通车1】  【直通车2 】

       


  • 相关阅读:
    shop--6.店铺注册--service层实现(事务)
    shop--6.店铺注册--Dto的ShopExection(不知道有什么用)
    shop--6.店铺注册--使用thumbnailator进行图片处理
    shop--6.店铺注册
    shop--0.项目中遇到的问题 插入数据时,直接拿到自增的Id的方法
    shop--5.使用Junit进行项目框架的验证
    shop--4.配置数据库连接 jdbc.properties,mybatis相关,Spring配置
    shop--3.配置maven
    codeforces 495B. Modular Equations 解题报告
    BestCoder22 1002.NPY and arithmetic progression(hdu 5143) 解题报告
  • 原文地址:https://www.cnblogs.com/lxwphp/p/15452884.html
Copyright © 2020-2023  润新知