Nginx访问控制
对于访问大多数服务器,把控用户权限是一件十分重要的事情。通过配置Nginx来禁止访问上传资源目录下的PHP、shell、Python等程序文件,这样用户即使上传了这些文件也没法去执行,以此来加强网站安全。
1. 限制禁止解析指定目录下的指定程序
location ~ ^/images/.*.(php|php5|.sh|.pl|.py)$ {
deny all;
}
location ~ ^/static/.*.(php|php5|.sh|.pl|.py)$ {
deny all;
}
location ~* ^/data/(attachment|avatar)/.*.(php|php5)$ {
deny all;
}
2. 禁止访问Nginx的root根目录下的某些文件
location ~*.(txt|doc)${
if (-f $request_filename) {
root /data/www/www;
#还可以使用"rewrite ...."重定向某个URL
break;
}
}
location ~*.(txt|doc)${
root /data/www/www;
deny all;
}
需要注意:如果有php匹配配置,上面的限制配置应该放在php匹配的前面
location ~.*.(php|php5)?${
fastcgi_pass 127.0.0.1:9000
fastcgi_index index.php
include fcgi.conf;
}
3. 禁止指定目录或path匹配的访问
location ~ ^/(sub)/ {
deny all;
}
location ~ ^/sub {
deny all;
}
#禁止访问目录并返回指定的http状态码
location /usr/local/nginx/ {
return 404;
}
location /templates/ {
return 403;
}
4. 限制网站来源IP访问。比如禁止某目录让外界访问,但允许某IP访问该目
location ~ ^/order/ {
allow 182.61.200.6;
deny all;
}
还可以使用if来限制客户端ip访问(即添加白名单限制)
if ( $remote_addr = 182.61.200.61 ) {
return 403;
}
if ( $remote_addr = 182.61.200.6 ) {
set $allow_access_root 'true';
}
推荐阅读
Centos安装MongoDB数据库
Mysql8.0 主从GTID复制
Mysqlbinlog日志的清理与切换
mysqldump+binlog恢复被删除的数据
Mysql8.0 主从复制
完整的二进制安装Kubernetes高可用集群
更多相关文章
- ELK企业日志平台收集Nginx访问日志
- MVC控制器类的访问、参数解析、api接口数据获取并渲染
- CCNP(ISCW)实验:配置Router 将AAA用于管理访问授权
- 03-K8s部署安装配置nginx-ingress和配置外网访问
- 多厂商***系列之三:Cisco EZ***的实现【PC&路由器拨号】
- 身份和访问管理(IAM)
- Nginx Ingress的一些奇巧淫技
- 控制器访问与参数解析类以及api天气接口实现输入城市查询天气
- mvc控制器的访问与参数解析和API接口获取数据