• Nginx之四---nginx的压缩、https加密实现、rewrite、常见盗链配置


    Nginx 压缩功能

    ngx_http_gzip_module

    #ngx_http_gzip_module
    用gzip方法压缩响应数据,节约带宽
    
    #启用或禁用gzip压缩,默认关闭
    gzip on | off;
    
    #压缩比由低到高从1到9,默认为1
    gzip_comp_level level;
    
    #禁用IE6 gzip功能
    gzip_disable "MSIE [1-6].";
    
    #gzip压缩的最小文件,小于设置值的文件将不会压缩
    gzip_min_length 1k;
    
    #启用压缩功能时,协议的最小版本,默认HTTP/1.1
    gzip_http_version 1.0 | 1.1;
    
    #指定Nginx服务需要向服务器申请的缓存空间的个数*大小,默认32 4k|16 8k;
    gzip_buffers number size;
    
    #指明仅对哪些类型的资源执行压缩操作;默认为gzip_types text/html,不用显示指定,否则出错
    gzip_types mime-type ...;
    
    #如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”
    gzip_vary on | off;
    
    #nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启用压缩功能
    gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;
    
    #off:不启用压缩
    
    #expired,no-cache, no-store,private:对后端服务器的响应报文首部Cache-Control值任何一个,启用压缩功能
    

    示例:

    gzip on;
    gzip_comp_level 6;  
    gzip_min_length 64;  
    gzip_vary on;
    gzip_types text/xml text/css application/javascript;

    实战演练:

    1、在Nginx服务器上开启压缩功能,并指定压缩类型。

     2、在nginx服务端data/site1目录下创建一个f1.html大文件。

    [root@centos27site1]#!dd
    dd if=/dev/zero  of=f1.html bs=1M count=40
    40+0 records in
    40+0 records out
    41943040 bytes (42 MB) copied, 0.320604 s, 131 MB/s
    

     3、在客户端进行压缩访问效果。

    [root@centos17apps]#curl  --compress www.baidu.net/f1.html
    

      4、在nginx服务端进行跟踪日志,查看压缩大小。

    https 功能

    Web网站的登录页面都是使用https加密传输的,加密数据以保障数据的安全,HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议,HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。

    https 实现过程如下:
    1.客户端发起HTTPS请求:
    客户端访问某个web端的https地址,一般都是443端口
    
    
    2.服务端的配置:
    采用https协议的服务器必须要有一套证书,可以通过一些组织申请,也可以自己制作,目前国内很多网站都自
    己做的,当你访问一个网站的时候提示证书不可信任就表示证书是自己做的,证书就是一个公钥和私钥匙,就像
    一把锁和钥匙,正常情况下只有你的钥匙可以打开你的锁,你可以把这个送给别人让他锁住一个箱子,里面放满
    了钱或秘密,别人不知道里面放了什么而且别人也打不开,只有你的钥匙是可以打开的。
    
    
    3.传送证书:
    服务端给客户端传递证书,其实就是公钥,里面包含了很多信息,例如证书得到颁发机构、过期时间等等。
    
    
    4.客户端解析证书:
    这部分工作是有客户端完成的,首先回验证公钥的有效性,比如颁发机构、过期时间等等,如果发现异常则会弹
    出一个警告框提示证书可能存在问题,如果证书没有问题就生成一个随机值,然后用证书对该随机值进行加密,
    就像2步骤所说把随机值锁起来,不让别人看到。
    
    
    5.传送4步骤的加密数据:
    就是将用证书加密后的随机值传递给服务器,目的就是为了让服务器得到这个随机值,以后客户端和服务端的通
    信就可以通过这个随机值进行加密解密了。
    
    
    6.服务端解密信息:
    服务端用私钥解密5步骤加密后的随机值之后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行
    对称加密,对称加密就是将信息和私钥通过某种算法混合在一起,这样除非你知道私钥,不然是无法获取其内部
    的内容,而正好客户端和服务端都知道这个私钥,所以只要机密算法够复杂就可以保证数据的安全性。
    
    
    7.传输加密后的信息:
    服务端将用私钥加密后的数据传递给客户端,在客户端可以被还原出原数据内容。
    
    
    8.客户端解密信息:
    客户端用之前生成的私钥获解密服务端传递过来的数据,由于数据一直是加密得,因此即使第三方获取到数据也
    无法知道其详细内容。

    选择SSL证书品牌(CA供应商)

    阿里云SSL证书申请:

    https://www.aliyun.com/product/cas?spm=a2c4g.11174283.2.1.47676fd4baNCYX

    支持阿里云颁发数字证书的安全CA中心包括:

    1、Symantec:赛门铁克(Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案

    2、CFCA: 中国金融认证中心(CFCA)通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供 7x24 小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务

    3、GeoTrust: GeoTrust 是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证

    4、GlobalSign: GMO GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商

     选择证书类型

    阿里云联合有资质的CA中心推荐以下几种数字证书配置组合方案:

    免费型DV SSL: 免费型DV SSL证书是基础级SSL产品

    说明 目前仅Symantec提供免费型数字证书,该证书仅支持绑定一个域名
    只验证域名所有权,数小时内即可颁发
    只提供通信链路加密功能
    根证书一般使用CA中心认证的根证书
    支持绑定一个明细子域名,且不支持通配符域名

    通配符DV SSL:通配符DV SSL证书属于DV型SSL证书(Domain Validation SSL)

    只验证域名所有权,数小时内即可颁发
    提供高强度通信链路加密功能
    支持绑定一个带有通配符的域名
    

     ssl 配置参数

    nginx 的https 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx要使用参数
    ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的
    nginx需要指定编译参数--with-http_ssl_module开启,官方文档: https://nginx.org/en/docs/http/ngx_http_ssl_
    module.html,配置参数如下:

    ssl on | off;
    #为指定的虚拟主机配置是否启用ssl功能,此功能在1.15.0废弃,使用listen [ssl]替代。
    
    ssl_certificate /path/to/file;
    #当前虚拟主机使用使用的公钥文件,一般是crt文件
    
    ssl_certificate_key /path/to/file;
    #当前虚拟主机使用的私钥文件,一般是key文件
    
    ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
    #支持ssl协议版本,早期为ssl现在是TSL,默认为后三个
    
    ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
    #配置ssl缓存
       off: 关闭缓存
       none: 通知客户端支持ssl session cache,但实际不支持
       builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
      [shared:name:size]:在各worker之间使用一个共享的缓存,需要定义一个缓存名称和缓存空间大小,一兆可以存储4000个会话信息,多个虚拟主机可以使用相同的缓存名称。
    
    ssl_session_timeout time;
    #客户端连接可以复用ssl session cache中缓存的有效时长,默认5m

    示例:

    server {
    listen 443 ssl;
    server_name www.magedu.com;
    root /vhosts/ssl/htdocs;
       ssl on;
       ssl_certificate /etc/nginx/ssl/nginx.crt;
       ssl_certificate_key /etc/nginx/ssl/nginx.key;
       ssl_session_cache shared:sslcache:20m;
       ssl_session_timeout 10m;
    }
    

    自签名证书 

     1、在指定的/etc/pki/tls/certs目录下创建公私钥对。

    [root@centos27certs]#cd /etc/pki/tls/certs
    [root@centos27certs]#make magedu.crt  # 自定义一个证书名称
    umask 77 ; 
    /usr/bin/openssl genrsa -aes128 2048 > magedu.key
    Generating RSA private key, 2048 bit long modulus
    ........................................................................+++
    ...............................................................+++
    e is 65537 (0x10001)
    Enter pass phrase:
    Verifying - Enter pass phrase:
    umask 77 ; 
    /usr/bin/openssl req -utf8 -new -key magedu.key -x509 -days 365 -out magedu.crt 
    Enter pass phrase for magedu.key:
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [XX]:CN   #国家
    State or Province Name (full name) []:shanghai  #省份
    Locality Name (eg, city) [Default City]:shanghai #城市
    Organization Name (eg, company) [Default Company Ltd]:magedu.com #公司名称  
    Organizational Unit Name (eg, section) []:opt  #部门
    Common Name (eg, your name or your server's hostname) []:www.magedu.net  #通用名称
    Email Address []:  #邮箱
    

     2、此时生成的私钥是加密状态,访问网站时用户也会需要输入密码,我们需要对其进行解密处理。

    [root@centos27certs]#openssl rsa -in magedu.key -out magedu.net.key  将私钥进行解密。
    [root@centos27certs]#mv magedu.crt magedu.net.crt  将证书与私钥文件格式一致。
    [root@centos27certs]#ll
    total 28
    lrwxrwxrwx. 1 root root   49 Aug 22 15:23 ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
    lrwxrwxrwx. 1 root root   55 Aug 22 15:23 ca-bundle.trust.crt -> /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
    -rw-------  1 root root 1371 Dec  9 09:30 localhost.crt
    -rw-------  1 root root 1766 Dec 13 11:37 magedu.key
    -rw-------  1 root root 1342 Dec 13 11:37 magedu.net.crt
    -rw-r--r--  1 root root 1679 Dec 13 11:38 magedu.net.key
    -rwxr-xr-x. 1 root root  610 Oct 31  2018 make-dummy-cert
    -rw-r--r--. 1 root root 2516 Oct 31  2018 Makefile
    -rwxr-xr-x. 1 root root  829 Oct 31  2018 renew-dummy-cert
    

      3、新建一个存放私钥和crt文件的目录,并修改成600权限,保证安全

    [root@centos27certs]#mkdir /etc/nginx/ssl
    [root@centos27certs]#mv magedu.net.*  /etc/nginx/ssl/
    [root@centos27certs]#chmod 600 /etc/nginx/ssl/magedu.net*
    

       4、修改相关的配置文件,可以将80端口和443端口同时监听在一个虚拟机中。

    vim /etc/nginx/conf.d/test.conf
    server  {
        listen 443 ssl;  
        listen 80;
        server_name www.magedu.net;
        root /data/ssl/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;                                                                                                                     
        access_log  /var/log/nginx/access_json.ssl.log  access_json;
    }
    

    修改windows机器的C:WindowsSystem32driversetchosts文件,写入域名解析。

    在nginx服务端创建一个网页:

    echo /data/ssl/test.html > /data/ssl/index.html

    验证网站访问效果:

    实现自动跳转至https加密网站

    vim  /etc/nginx/conf.d/test.conf
    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/ssl/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/access_json.ssl.log  access_json;
        location / {                                                                                                                                 
            if ( $scheme = http ){
               return 301 https://www.magedu.net/;
            }
        }
    }
    

     在客户端验证效果:

    [root@centos17apps]#curl -Lk https://www.magedu.net   其中-k是忽略密码验证
    /data/ssl/test.html

    Nginx Rewrite相关功能

    Nginx服务器利用ngx_http_rewrite_module 模块解析和处理rewrite请求,所以说此功能依靠 PCRE(perl
    compatible regularexpression),因此编译之前要安装PCRE库,rewrite是nginx服务器的重要功能之一,用于实现
    URL的重写,URL的重写是非常有用的功能,比如它可以在我们改变网站结构之后,不需要客户端修改原来的书
    签,也无需其他网站修改我们的链接,就可以设置为访问,另外还可以在一定程度上提高网站的安全性。

    ngx_http_rewrite_module模块指令 

    将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换

    示例:

    http://www.magedu.com/hn --> http://www.magedu.com/henan
    http://www.magedu.com --> https://www.magedu.com/

    https://nginx.org/en/docs/http/ngx_http_rewrite_module.html  

    if指令  

    用于条件匹配判断,并根据条件判断结果选择不同的Nginx配置,可以配置在server或location块中进行配置,
    Nginx的if语法仅能使用if做单次判断,不支持使用if else或者if elif这样的多重判断,用法如下:

    示例:
    location /test {
    index index.html;
    default_type text/html;
    if ( $scheme = http ){
    return 301 https://www.magedu.net/;
    }
    if ( $scheme = https ){
    echo "if ----> $scheme";
    }

    使用正则表达式对变量进行匹配,匹配成功时if指令认为条件为true,否则认为false,变量与表达式之间使用以下
    符号链接:

    =: #比较变量和字符串是否相等,相等时if指令认为该条件为true,反之为false。
    !=: #比较变量和字符串是否不相等,不相等时if指令认为条件为true,反之为false。
    ~: #表示在匹配过程中区分大小写字符,(可以通过正则表达式匹配),满足匹配条件为真,不满足为假。
    ~*: #表示在匹配过程中不区分大小写字符,(可以通过正则表达式匹配),满足匹配条件为真,不满足问假。
    !~:#区分大小写不匹配,不满足为真,满足为假,不满足为真。
    !~*:#为不区分大小写不匹配,满足为假,不满足为真。
    -f 和 ! -f:判断请求的文件是否存在和是否不存在
    -d 和 ! -d: #判断请求的目录是否存在和是否不存在。
    -x 和 ! -x: #判断文件是否可执行和是否不可执行。
    -e 和 ! -e: #判断请求的文件或目录是否存在和是否不存在(包括文件,目录,软链接)。
    

    注: 如果$变量的值为空字符串或是以0开头的任意字符串,则if指令认为该条件为false,其他条件为true。

    set指令:

    指定key并给其定义一个变量,变量可以调用Nginx内置变量赋值给key,另外set定义格式为set $key $value,及无
    论是key还是value都要加$符号。

    示例:

    location /main {
    root /data/nginx/html/pc;
    index index.html;
    default_type text/html;
    set $name magedu;
    echo $name;
    set $my_port $server_port;
    echo $my_port;
    }
    

    return指令

    停止处理,并返回给客户端指定的响应码(包括: 204, 400, 402 — 406, 408, 410, 411, 413, 416, 500 — 504),并对 301, 302, 303, 307, 308跳转到URL

    return code [text]; #返回客户端指定的状态码和文本说明
    return code URL;
    return URL;

    是否开启重写日志, 发送至error_log(notice level)

    rewrite_log on | off;  
    示例:
    location /test {
      root /data/nginx/html/pc;
      default_type text/html;
      index index.html;
      if ( $scheme = http ){
          #return 666;
          #return 666 "not allow http";
          #return 301 http://www.baidu.com;
        return 500 "service error";
        echo "if-----> $scheme"; #return后面的将不再执行
    }
      if ( $scheme = https ){
       echo "if ----> $scheme";
    }
    

    rewrite指令 

    1、将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI。

    2、注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查。

    3、隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位用于控制此循环机制。

    4、如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301。

    rewrite flag使用介绍  

    last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环

    break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块后的其它配置;结束循环

    redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;可使用相对路径,或http://或https://开头,此重定向信息不可缓存,状态码:302

    permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,此重定向信息可缓存,状态码:301

    last 和 break用法:

    break:匹配成功后不再向下匹配,也不会跳转到其他的location,即直接结束匹配并给客户端返回结果数据

    last:对某个location的URL匹配成功后会停止当前location的后续rewrite规则,并结束当前location,然后将匹配生成的新URL跳转至其他location继续匹配,直到没有location可匹配后将最后一次location的数据返回给客户端

    last实验演练:

    1、先在编译安装的nginx服务器进行修改配置文件,实现test1跳转至test2,以及hn跳转至henan。

    [root@centos17conf]#vim /apps/nginx/conf/nginx.conf
    location /test1 {
                  rewrite  ^/test1/(.*)$   /test2/$1 last;
            }
            location  /hn {
                  rewrite  ^/hn/(.*)$     /henan/$1  last;      
            }
    
            location /test2 {
            default_type text/html;
                echo test2;
            }
    
            location /hn {
            default_type text/html;
                echo henan;                                                                                                                          
            }
    

     

       2、修改完nginx配置文件之后,重新加载nginx : nginx  -s  reload,并创建hn和test1的文件。

    [root@centos17conf]#mkdir /apps/nginx/html/test1
    [root@centos17conf]#echo /apps/nginx/html/test1/test1.html > /apps/nginx/html/test1/index.html
    [root@centos17conf]#mkdir /apps/nginx/html/hn
    [root@centos17conf]#echo /apps/nginx/html/hn/hn.html > /apps/nginx/html/hn/index.html

     3、在客户端开始验证效果:

    [root@centos27~]#curl  http://192.168.37.17/hn/
    henan
    [root@centos27~]#curl  http://192.168.37.17/test1/
    test2
    

    网页访问效果:

     break用法:

    1、在nginx服务器中修改成break用法的配置文件,实现hn跳转至henan ,修改完配置文件之后进行重新加载:nginx  -s reload

     vim /apps/nginx/conf/nginx.conf

            location /test1 {
                  rewrite  ^/test1/(.*)$   /test2/$1 last;
            }
            location  /hn {
                  rewrite  ^/hn/(.*)$     /henan/$1  break;   实现hn跳转到henan页面,只会在本location跳转,不会跳转至下一个Location,如果本地没有henan对应的html文件,就会提示无法找到文件。                                                                                       
            }
    
            location /test2 {
            default_type text/html;
                echo test2;
            }
    
            location /henan {
            default_type text/html;
                echo henan;
            }
    

     2、如果nginx服务端的/apps/nginx/html/目录下不新建一个henan目录及henan目录下的html文件,就会提示403错误信息,只会在本地的location跳转,不会跳转至下一个location,如果匹配到就会直接返回给用户,如果没有就会显示错误。 

    [root@centos17conf]#mkdir /apps/nginx/html/henan   新建henan目录
    [root@centos17conf]#echo /apps/nginx/html/henan/index.html > /apps/nginx/html/henan/index.html 在henan目录下新建一个html文件
    

      3、在客户端访问网页效果:

    [root@centos27~]#curl  http://192.168.37.17/hn/
    henan
    

     permanent永久重定向用法:

    1、在nginx服务器端修改配置文件,实现pernanent永久重定向,并重新加载服务:

    vim /apps/nginx/conf/nginx.conf

     location  /henan {
           rewrite  ^/henan/(.*)$     /hn/$1  permanent;     
           default_type text/html;
           echo henan;
    }
    

     2、在网页访问效果, 此时已经实现了永久跳转的效果。

    总结:301和302可以在用户访问的页面跳转,用户可以直观的看到跳转,而last和break是后端跳转,用户无法发现,301和302实际中用的比较多。 

    rewrite案例-自动跳转https(临时重定向和永久重定向,生产中使用)

    要求:基于通信安全考虑公司网站要求全站https,因此要求将在不影响用户请求的情况下将http请求全部自动跳
    转至https,另外也可以实现部分location跳转。

    1、在nginx服务端修改配置文件,实现http跳转至https加密,修改完成之后重新加载ngixn服务:nginx  -s reload

    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/site1/;                                                                                                                           
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;                                                                                                                     
        access_log  /var/log/nginx/access_json.log  access_json;
        location / {
            if ( $scheme = http ) {     判断scheme如果是http,就跳转至https网站,进行加密设置。
            rewrite ^/(.*)$  https://www.magedu.net/$1  redirect;    实现临时重定向,若想实现永久重定向,只需要将redirect改为permanent即可。
            }
        }
    }
    

    2、在nginx服务端新建一个site1目录,并在此目录下新建一个html文件。

    [root@centos27~]#mkdir /data/site1
    [root@centos27~]#echo /data/site1/test.html > /data/site1/index.html

    3、在客户端验证效果:

    [root@centos17~]#curl -IL -k http://www.magedu.net
    HTTP/1.1 302 Moved Temporarily
    Server: nginx/1.16.1
    Date: Sun, 15 Dec 2019 02:43:15 GMT
    Content-Type: text/html
    Content-Length: 145
    Connection: keep-alive
    Keep-Alive: timeout=65
    Location: https://www.magedu.net/
    
    HTTP/1.1 200 OK
    Server: nginx/1.16.1
    Date: Sun, 15 Dec 2019 02:43:15 GMT
    Content-Type: text/html
    Content-Length: 20
    Last-Modified: Fri, 13 Dec 2019 04:12:32 GMT
    Connection: keep-alive
    Keep-Alive: timeout=65
    ETag: "5df30fb0-14"
    Accept-Ranges: bytes
    
    [root@centos17~]#curl -L -k http://www.magedu.net   忽略秘钥验证检查结果
    /data/site1/test.html/
    

    实现多个网站的跳转至https加密网站 

    1、nginx服务器端:在/etc/pki/tls/certs目录下修改Makefile配置文件,将生成后的证书文件不进行加密。

    [root@centos27certs]#cd /etc/pki/tls/certs
    [root@centos27certs]#vim Makefile 

     2、在nginx服务器端,开始自签名证书

    [root@centos27certs]#make magedu.org.crt
    umask 77 ; 
    #/usr/bin/openssl genrsa -aes128 2048 > magedu.org.key
    /usr/bin/openssl genrsa  2048 > magedu.org.key
    Generating RSA private key, 2048 bit long modulus
    .......+++
    ......+++
    e is 65537 (0x10001)
    umask 77 ; 
    /usr/bin/openssl req -utf8 -new -key magedu.org.key -x509 -days 365 -out magedu.org.crt 
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [XX]:CN
    State or Province Name (full name) []:beijing             
    Locality Name (eg, city) [Default City]:beijing
    Organization Name (eg, company) [Default Company Ltd]:magedu.org
    Organizational Unit Name (eg, section) []:opt
    Common Name (eg, your name or your server's hostname) []:www.magedu.org
    Email Address []:
    

     3、在nginx服务端修改配置文件,原来已经添加了一个网站:www.magedu.net,此时新添加一个需要加密的网站:www.magedu.org                                                                                 

    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/site1/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/access_json.log  access_json;
        location / {
            if ( $scheme = http ) {
            rewrite ^/(.*)$  https://www.magedu.net/$1  redirect;
            }
        }
    }
        
    
    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.org;   新添加一个网址
        root /data/site2/;
        ssl_certificate /etc/nginx/ssl/magedu.org.crt;  指定证书路径
        ssl_certificate_key /etc/nginx/ssl/magedu.org.key; 指定私钥路径
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;                                                                                                                     
        access_log  /var/log/nginx/magedu_org.access_json.log  access_json;
        location / {
            if ( $scheme = http ) {
            rewrite ^/(.*)$ https://www.magedu.org/$1 redirect;
            }
        }                                                                                                                                            
    }

    在nginx服务器上访问的html文件和存放证书、私钥的目录,并将证书和私钥文件存在指定的ssl目录下

    [root@centos27site2]#mkdir /etc/nginx/ssl
    [root@centos27site2]#echo /data/site2/test2.html > /data/site2/index.html
    [root@centos27site2]#mv magedu.org.* /etc/nginx/ssl/
    

     4、在客户端验证效果,此时访问新的网站也可以访问。

    [root@centos17~]#curl -L -k www.magedu.org
    /data/site2/test2.html
    

     rewrite案例-访问页面不存在重定向到主页面(生产中实用)

     1、修改nginx服务的配置文件,判断访问的文件是否存在,如果不存在,就跳转至www.magedu.net网页下访问。

    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/site1/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;                                                                                                                     
        access_log  /var/log/nginx/access_json.log  access_json;
        location / {                   
            if ( !-f $request_filename ) {       判断文件是否存在,不存在就跳转至www.magedu.net网页下,其中-f和-e区别:-e判断文件存在性,-f判断普通文件是否存在。
            rewrite ^/(.*)$  https://www.magedu.net/index.html  redirect;   如果判断文件性,用-e选项,则index.html文件不需要加,如果-f选项,就需要加上默认的index.html文件                                                                                    
            }
        }
    }
    

     2、修改完ngixn配置文件之后,然后重新加载nginx服务:nginx  -s reload,并在指定的/data/site1目录下新建一个index.html文件。

    [root@centos27site1]#mkdir /data/site1
    [root@centos27site1]#echo  /data/site1/test.html  > /data/site1/index.html
    

      3、验证效果,此时网址后面输错内容,就会跳转到加密的网址后面。

    [root@centos17apps]#curl -L -k https://www.magedu.net/xxx.html
    /data/site1/test.html
    

    rewrite 生产案例

    要求:将 http:// 请求跳转到 https://

    location / {
      if ($scheme = http ) {
       rewrite / https://www.magedu.net/ redirect;
     }
    }
    

     要求:当用户访问到公司网站的时输入了一个错误的URL,可以将用户重定向至官网首页

    location / {
    root /data/nginx/html/pc;
      index index.html;
      if (!-f $request_filename) {
      #return 404 "No exsit";
      rewrite (.*) http://www.magedu.net/index.html;
      }
    }
    

       Nginx防盗链   

          防盗链基于客户端携带的referer实现,referer是记录打开一个页面之前记录是从哪个页面跳转过来的标记信息,如
    果别人只链接了自己网站图片或某个单独的资源,而不是打开了网站的整个页面,这就是盗链,referer就是之前的
    那个网站域名,正常的referer信息有以下几种:

    ngx_http_referer_module模块:
    用来阻止Referer首部无有效值的请求访问,可防止盗链。
    valid_referers none|blocked|server_names|string ...;
    定义referer首部的合法可用值,不能匹配的将是非法值
    none:请求报文首部没有referer首部
    blocked:请求报文有referer首部,但无有效值
    server_names:referer首部中包含本主机名
    arbitrary_string:任意字符串,但可使用*作通配符
    regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头,例如: ~.*.magedu.com
    

     实现web盗链 

    1、先创建两个网址,分别是www.magedu.net和www.magedu.org,此时实现net网站盗用org网站的图片。

    vim /etc/nginx/conf.d/test.conf

    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/site1/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/access_json.log  access_json;
    
        location / {
            if ( !-e  $request_filename )  {
            rewrite ^/(.*)$  http://www.magedu.net/   redirect;                                                                                      
            }
        }
    }
    
    
    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.org;
        root /data/site2/;
        ssl_certificate /etc/nginx/ssl/magedu.org.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.org.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/magedu_org.access_json.log  access_json;
    }
    

      在/data/site1目录下,创建一个盗链网站:

      vim  /data/site1/daolian.html

    盗链
    <img src=http://www.magedu.org/sun.jpg>  
    

     2、此时访问magedu.net/daolian.html网站,此时就是盗链了magedu.org网站的sun.jgp图片。

    [root@centos17apps]#curl http://www.magedu.net/daolian.html
    盗链
    <img src=http://www.magedu.org/sun.jpg>
    

    实现防盗链

    基于访问安全考虑,nginx支持通过ungx_http_referer_module模块 https://nginx.org/en/docs/http/ngx_http_re
    ferer_module.html#valid_referers 检查访问请求的referer信息是否有效实现防盗链功能,定义方式如下:

    防止盗链生产案例:

    valid_referers none block server_names
    *.magedu.com magedu.* *.mageedu.com mageedu.* ~.magedu. ~.google. ~.baidu.;
    if ($invalid_referer) {
    return 403 "Forbidden Access";
    }
    

    自定义防止盗链:  

    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.net;
        root /data/site1/;
        ssl_certificate /etc/nginx/ssl/magedu.net.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.net.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/access_json.log  access_json;
    
        location / {
            if ( !-e  $request_filename )  {
            rewrite ^/(.*)$  http://www.magedu.net/   redirect;
            }
        }
    }
    
    
    server  {
        listen 443 ssl;
        listen 80;
        server_name www.magedu.org;
        root /data/site2/;
        ssl_certificate /etc/nginx/ssl/magedu.org.crt;
        ssl_certificate_key /etc/nginx/ssl/magedu.org.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        access_log  /var/log/nginx/magedu_org.access_json.log  main;
        valid_referers none block server_names *.magedu.com  ~.google. ~.baidu.;   定义有效referer;除了定义的这个通配符、正则表达式的网址可以调用,其他网址都不可以调用本网址的资源                                                              
        if ($invalid_referer) {   出定义的referer外,其他网址就会返回状态:错误403
        return 403 "Forbidden Access";
        }
    }
    

     重启nginx进行访问测试。  

  • 相关阅读:
    Visual studio 调试发布到IIS站点方式一
    WPF设计界面不执行代码
    IIS发布ASP.NET Core
    mfc/格式转换
    【二维数组内存申请】
    【DLL测试】为DLL项目建立测试
    自己写的一个函数,用来自动连接对话框上的两个控件(画线)
    mfc 在VC的两个对话框类中传递参数的三种方法
    C语言extern作用(全局变量)
    图形对象的创建(常用图形对象的创建方法及特殊属性)
  • 原文地址:https://www.cnblogs.com/struggle-1216/p/12033392.html
Copyright © 2020-2023  润新知