2. 程式人生 > >LNMP架構防盜鏈、訪問控制、解析php、代理的設定

LNMP架構防盜鏈、訪問控制、解析php、代理的設定

阿新 發佈:2018-11-29

11月28日任務
12.13 Nginx防盜鏈
12.14 Nginx訪問控制
12.15 Nginx解析php相關配置
12.16 Nginx代理

 

Nginx防盜鏈

  • 修改虛擬主機配置檔案
# 可以配合過期時間和靜態檔案不記錄的程式碼使用
[[email protected] vhost]# vim /usr/local/nginx/conf/vhost/test.com.conf 
...
# ~*表示忽略大小寫的匹配
    location ~* .*\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$
    {
        expires 7d;
        
        # 設定白名單,server_names可以不寫
        # 白名單可以是多個域名,域名鍵使用空格間隔開
        valid_referers none blocked server_names *.test.com;
        
        # 條件判斷,非白名單域名返回403狀態碼即禁止訪問forbidden;
        if ($invalid_referer) {
            return 403;
        }
        access_log off;
    }
...
  • 驗證效果
  1. 使用不在白名單內的referer訪問,返回的狀態碼為403,forbidden!
[[email protected] vhost]# curl -e "http://www.baudi.com" -x 127.0.0.1:80 test.com/1.gif -I
HTTP/1.1 403 Forbidden
Server: nginx/1.12.2
Date: Wed, ... 12:25:35 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
  1. 指定白名單的referer訪問,成功訪問
[[email protected] vhost]# curl -e "http://www.test.com" -x 127.0.0.1:80 test.com/1.gif -I
HTTP/1.1 200 OK
Server: nginx/1.12.2
Date: Wed, ... 12:26:43 GMT
Content-Type: image/gif
Content-Length: 12
Last-Modified: Wed, ... 11:35:29 GMT
Connection: keep-alive
ETag: "5a4cc001-c"
Expires: Wed, ... 12:26:43 GMT
Cache-Control: max-age=604800
Accept-Ranges: bytes

nginx訪問控制

針對目錄的訪問控制

  • 修改虛擬主機配置檔案
[[email protected] vhost]# vim /usr/local/nginx/conf/vhost/test.com.conf 
...
# 這裡以簡單目錄為例
location /admin/
{
    # nginx中沒有apache裡的order命令,按程式碼先後順序執行
    # nginx中只要有一條規則匹配,後續規則就不會進行匹配
    
    # 允許本機
    allow 127.0.0.1;
    
    allow 192.168.65.133;
    
    # 禁止其他所有ip
    deny all;
}
...
  • 重啟服務
[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload
  • 測試
# 使用allow允許的ip訪問,成功訪問
[[email protected] ~]# curl -x 192.168.65.133:80 test.com/admin/1.php -I
HTTP/1.1 200 OK
Server: nginx/1.12.2
Date: Thu, ... 12:36:48 GMT
Content-Type: application/octet-stream
Content-Length: 19
Last-Modified: Wed, ... 13:15:00 GMT
Connection: keep-alive
ETag: "5a4cd754-13"
Accept-Ranges: bytes

# 使用非allow允許的ip訪問,403 forbidden
[[email protected] ~]# curl -x 192.168.65.137:80 test.com/admin/1.php -I
HTTP/1.1 403 Forbidden
Server: nginx/1.12.2
Date: Thu, ... 12:44:54 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

針對檔案的訪問控制

location還可以使用 ~/~* + 正則的方式對某類檔案或目錄進行訪問控制

[[email protected] vhost]# vim /usr/local/nginx/conf/vhost/test.com.conf 
# 禁止upload、admin目錄下的php檔案解析
location ~ .*(upload|admin)/.*\.php$
{
    deny all
}
  • 重啟並測試
[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

[[email protected] ~]# curl -x 192.168.65.133:80 test.com/upload/1.php -I
HTTP/1.1 403 Forbidden
Server: nginx/1.12.2
Date: Thu, ... 12:59:07 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

針對user_agent

  1. 修改程式碼
[[email protected] ~]# vim /usr/local/nginx/conf/vhost/test.com.conf
# 還可以根據user_agent來做限制
# 這裡限制網站被爬蟲爬取
location / 
{
    if ($http_user_agent ~ 'Spider/3.0|YoudaoBot|Tomato')
    {
        return 403; //等價於deny all;
    }
}
  1. 重啟服務
[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload
  1. 效果測試
# 不指定user_agent
[[email protected] ~]# curl -x 127.0.0.1:80 test.com -I
HTTP/1.1 200 OK
Server: nginx/1.12.2
Date: Thu, ... 11:44:35 GMT
Content-Type: text/html
Content-Length: 9
Last-Modified: Wed, ... 10:42:12 GMT
Connection: keep-alive
ETag: "5a4cb384-9"
Accept-Ranges: bytes

# 指定user_agent
[[email protected] ~]# curl -A "Tomato" -x 127.0.0.1:80 test.com -I
HTTP/1.1 403 Forbidden
Server: nginx/1.12.2
Date: Thu, ... 11:44:54 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

Nginx解析php相關配置

  • 修改程式碼
[[email protected] ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 
...
	location ~ \.php$
	{
	    include fastcgi_params;
            # fastcgi_pass後接的sock在php-fpm.conf內的pool塊內定義的,選擇哪個程序池就寫哪個socket
	    fastcgi_pass unix:/tmp/php-fcgi.sock;
	    fastcgi_index index.php;
	    fastcgi_param SCRIPT_FILENAME /data/www/test.com$fastcgi_script_name;
	}
...
  • 先測試為設定前是否能解析PHP
# PHP不解析,直接顯示程式碼
[[email protected] ~]# curl -x 127.0.0.1:80 test.com/1.php
<?php
phpinfo();
  • 重啟服務
[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload
  • 驗證效果
# 成功解析,返回網頁html程式碼
[[email protected] ~]# curl -x 127.0.0.1:80 test.com/1.php
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "DTD/
xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<style type="text/css">
body {background-color: #fff; color: #222; font-family: sans-serif;}
pre {margin: 0; font-family: monospace;}
a:link {color: #009; text-decoration: none; background-color: #fff;}
a:hover {text-decoration: underline;}
table {border-collapse: collapse; border: 0; width: 934px; box-shado
w: 1px 2px 3px #ccc;}
.center {text-align: center;}
.center table {margin: 1em auto; text-align: left;}
.center th {text-align: center !important;}
td, th {border: 1px solid #666; font-size: 75%; vertical-align: base
line; padding: 4px 5px;}
h1 {font-size: 150%;}
h2 {font-size: 125%;}
.p {text-align: left;}
.e {background-color: #ccf; width: 300px; font-weight: bold;}
.h {background-color: #99c; font-weight: bold;}
.v {background-color: #ddd; max-width: 300px; overflow-x: auto;}
.v i {color: #999;}
img {float: right; border: 0;}
hr {width: 934px; background-color: #ccc; border: 0; height: 1px;}
</style>
...

訪問報502錯誤分析

  1. socket檔案錯誤 為了測試,這裡我故意將配置檔案內的sock寫錯
# 原本為/tmp/php-fcgi.sock
fastcgi_pass unix:/tmp/php1-fcgi.sock;

重啟服務後重新訪問,返回資訊如下:

[[email protected] ~]# curl -x 127.0.0.1:80 test.com/1.php
<html>
<head><title>502 Bad Gateway</title></head>
<body bgcolor="white">
<center><h1>502 Bad Gateway</h1></center>
<hr><center>nginx/1.12.2</center>
</body>
</html>

因為nginx無法找到sock檔案,檢視錯誤日誌,通過錯誤日誌進行錯誤排查。

[[email protected] ~]# cat /usr/local/nginx/logs/nginx_error.log 
... 17:47:18 [crit] 2456#0: *22 connect() to unix:/tmp/php1-fcgi.sock failed (2: No such file or directory) while connecting to upstream, client: 127.0.0.1, server: test.com, request: "GET HTTP://test.com/1.php HTTP/1.1", upstream: "fastcgi://unix:/tmp/php1-fcgi.sock:", host: "test.com"

這裡的socket檔案應該是在/usr/local/php-fpm/etc/php-fpm.conf內定義的。

[[email protected] ~]# cat /usr/local/php-fpm/etc/php-fpm.conf
[global]
pid = /usr/local/php-fpm/var/run/php-fpm.pid
error_log = /usr/local/php-fpm/var/log/php-fpm.log
[www]
listen = /tmp/php-fcgi.sock
# 定義了sock必須定義mode,否則許可權為440,執行後會報錯
listen.mode = 666
user = php-fpm
group = php-fpm
pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35
pm.max_requests = 500
rlimit_files = 1024
  1. 設定未對應設定 php-fpm.conf為監聽ip/埠,nginx虛擬主機配置檔案內為監聽socket,沒有對應。
  • 修改配置程式碼
[[email protected] ~]# vim /usr/local/php-fpm/etc/php-fpm.conf
...
# listen = /tmp/php-fcgi.sock
listen = 127.0.0.1:9000
...

# 檢測語法錯誤並重啟php服務
[[email protected] ~]# /usr/local/php-fpm/sbin/php-fpm -t
[... 18:03:27] NOTICE: configuration file /usr/local/php-fpm/etc/php-fpm.conf test is successful
[[email protected] ~]# /etc/init.d/php-fpm reload
Reload service php-fpm  done
  • 暫時不修改虛擬主機配置檔案進行訪問測試
# 報502錯
[[email protected] ~]# curl -x 127.0.0.1:80 test.com/1.php
<html>
<head><title>502 Bad Gateway</title></head>
<body bgcolor="white">
<center><h1>502 Bad Gateway</h1></center>
<hr><center>nginx/1.12.2</center>
</body>
</html>
  • 修改對應程式碼
[[email protected] ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 
...
    fastcgi_pass 127.0.0.1:9000;
...
  • 重啟服務後測試效果
# 重啟服務
[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

# 這裡能成功訪問
[[email protected] ~]# curl -x 127.0.0.1:80 test.com/1.php 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "DTD/
xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<style type="text/css">
body {background-color: #fff; color: #222; font-family: sans-serif;}
pre {margin: 0; font-family: monospace;}
a:link {color: #009; text-decoration: none; background-color: #fff;}
a:hover {text-decoration: underline;}
table {border-collapse: collapse; border: 0; width: 934px; box-shado
w: 1px 2px 3px #ccc;}
.center {text-align: center;}
.center table {margin: 1em auto; text-align: left;}
.center th {text-align: center !important;}
td, th {border: 1px solid #666; font-size: 75%; vertical-align: base
line; padding: 4px 5px;}
h1 {font-size: 150%;}
h2 {font-size: 125%;}
.p {text-align: left;}
.e {background-color: #ccf; width: 300px; font-weight: bold;}
.h {background-color: #99c; font-weight: bold;}
.v {background-color: #ddd; max-width: 300px; overflow-x: auto;}
.v i {color: #999;}
img {float: right; border: 0;}
hr {width: 934px; background-color: #ccc; border: 0; height: 1px;}
</style>
...

其他出現502錯誤的原因還有伺服器資源耗盡,出現這種問題的解決方法是進行優化。

Nginx代理

  • 什麼是代理 使用者訪問國外web伺服器的速率通常比較慢,導致出現卡頓甚至無法訪問的情況!通過在中間搭建一個代理伺服器實現快速訪問的目的。這個代理伺服器既可以與使用者端快速連線,也可以高速訪問遠端web伺服器。使用者通過訪問代理伺服器,間接地訪問web伺服器,大大加快訪問速度。

  • 程式碼實現

[[email protected] ~]# vim /usr/local/nginx/conf/vhost/proxy.conf
server
{
    listen 80;
    server_name ask.apelearn.com;
    
    location /
    {
        # proxy_pass指定遠端伺服器的ip
        proxy_pass http://121.201.9.155/;
        
        # $host即為server_name
        proxy_set_header Host               $host;
        
        
        proxy_set_header X-Real-IP          $remote_addr;
        
        
        proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
    }
}
  • 驗證效果
# 正常情況下,無法直接通過本機訪問遠端伺服器
[[email protected] ~]# curl -x127.0.0.1:80 ask.apelea#n.com/robots.txt
# robots.txt for MiWen
#

User-agent: *

Disallow: /?/admin/
Disallow: /?/people/
Disallow: /?/question/
Disallow: /account/
Disallow: /app/
Disallow: /cache/
Disallow: /install/
Disallow: /models/
Disallow: /crond/run/
Disallow: /search/
Disallow: /static/
Disallow: /setting/
Disallow: /system/
Disallow: /tmp/
Disallow: /themes/
Disallow: /uploads/
Disallow: /url-*
Disallow: /views/
Disallow: /*/ajax/

關閉代理設定,重新測試

# 關閉代理功能
[[email protected] ~]# mv /usr/local/nginx/conf/vhost/proxy.conf /usr/local/nginx/conf/vhost/proxy.conf.bak

[[email protected] ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload

# 無法直接通過本機訪問遠端伺服器了
[[email protected] ~]# curl -x127.0.0.1:80 ask.apelearn.com/robots.txt -I
HTTP/1.1 404 Not Found
Server: nginx/1.12.2
Date: Thu, ... 13:42:52 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive

相關推薦

LNMP(nginx防盜訪問控制解析php相關配置,Nginx代理,常見502問題)

端口 eal val request bmp 方案 theme lob www 一、nginx防盜鏈nginx防盜鏈:[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 添加以下內容location

nginx防盜訪問控制解析PHP配置,代理

nginx防盜鏈 訪問控制 解析PHP配置代理 配置防盜鏈編輯配置文件valid_referers 定義一個白名單 如果不匹配403return 403也可以定義deny all 拒絕nginx 訪問控制編輯配置文件 只要匹配到就不繼續匹配location 定義目錄allow 允許deny

Nginx防盜 Nginx訪問控制 Nginx解析php相關配置 Nginx代理

十二周四次課(3月15日)12.13 Nginx防盜鏈cd /usr/local/nginx/conf/vhostvi test.com.conf將以上內容復制到下圖位置測試,成功前提data/wwwroot/test.com目錄下要有1.gif12.14 Nginx訪問控制cd /usr/local/ngi

Nginx防盜 Nginx訪問控制 Nginx解析php相關配置 Nginx代理

nginx配置一、Nginx防盜鏈#vi /usr/local/nginx/conf/vhost/test.com.conf#/usr/local/nginx/sbin/nginx -t#/usr/local/nginx/sbin/nginx -s reload#curl -e "http://ww

LNMP架構防盜訪問控制解析php代理設定

11月28日任務 12.13 Nginx防盜鏈 12.14 Nginx訪問控制 12.15 Nginx解析php相關配置 12.16 Nginx代理   Nginx防盜鏈 修改虛擬主機配置檔案 # 可以配合過期時間和靜態檔案不記錄的程式碼使用 [[em

配置防盜訪問控制Directory針對目錄訪問控制FilesMatch針對

Linux學習筆記配置防盜鏈 訪問控制Directory針對目錄 訪問控制針對目錄FilesMatch針對連接 配置防盜鏈、訪問控制Directory針對目錄、訪問控制FilesMatch針對鏈接

LAMP架構設定防盜訪問控制

11月19日任務 11.25 配置防盜鏈 11.26 訪問控制Directory 11.27 訪問控制FilesMatch   配置防盜鏈 為什麼要配置防盜鏈 第三方的站點可以通過引用的方式來獲取本伺服器上的資源如圖片等,但是相應的網路資源的使用這對

LAMP-防盜訪問控制

lamp一、防盜鏈 有時候,網站的流量會異常龐大。經過觀察,會發現一些靜態的圖片等元素被盜用了。使用防盜鏈,可以防止元素被外鏈。通過限制referer能實現防盜鏈的功能。1)配置虛擬主機[[email protected]/* */ ~]# vi /usr/local/apache2.4/c

配置防盜訪問控制

配置防盜鏈 訪問控制 不是認識的referer不能訪問 只能在A域名了訪問不能在B域名裏引用修改虛擬主機配置文件directory 定義目錄 定義rederer 的白名單 定義filesmath order 定義先允許還是先拒絕空referer 重新編輯文件 引用^$ 空referer 可以訪

配置防盜訪問控制Directory,FilesMatch

防盜鏈 訪問控制 配置防盜鏈 1.修改虛擬主機配置文件: [root@weixing01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf <Directory /data/wwwroot/111.com>

配置防盜訪問控制介紹

Linux配置防盜鏈防盜鏈,就是不讓別人盜用你網站上的資源,這個資源,通常指的是圖片、視頻、歌曲、文檔等。referer的概念你通過A網站的一個頁面http://a.com/a.html 裏面的鏈接去訪問B網站的一個頁面http://b.com/b.html ,那麽這個B網站頁面的referer就是http:

Nginx防盜以及訪問控制,Nginx解析php配置和代理

NginxNginx防盜鏈 1.編輯配置文件: [root@weixing01 ~]# vim /usr/local/nginx/conf/vhost/test.com.conf location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jp

lnmp(四)——nginx防盜訪問控制解析php代理服務

12.13 Nginx防盜鏈 12.14 Nginx訪問控制 12.15 Nginx解析php相關配置 12.16 Nginx代理 12.13 Nginx防盜鏈 配置如下,可以和靜態檔案不記錄日誌的配置結合起來: location ~* ^.+\.(gif|jpg|png|s

配置防盜訪問控制Directory訪問控制FilesMatch

lamp架構配置防盜鏈我的網站遇到最多的是兩類盜鏈,一是圖片盜鏈,二是文件盜鏈。曾經有一個訪問量極大的網站盜鏈我網站的圖片,一天竟然消耗了數G的流量。同時,我站放的不少幾十兆的大型軟件也常遭到文件盜鏈,大量消耗我站資源。1、新增內容[root@centos7 local]# vi /usr/local/apa

2018-3-6 10周5次課 配置防盜訪問控制DirectoryFilesMatch

防盜鏈 訪問控制 Directory FilesMatch 11.25 配置防盜鏈·通過限制referer來實現防盜鏈的功能帶寬會異常升高,有可能是被倒鏈配置如下內容:Order Allow,Deny ##順序,先把白名單允許,把其他deny掉Allow from env=local_

lamp-配置防盜訪問控制Directory(針對目錄)訪問控制(針對單文件)

lamp 訪問控制 防盜鏈 directory 配置防盜鏈 防止服務器的圖片和其他資源被非本機的站點引用,被其他網站引用後會導致流量圖片的用戶的數量暴增,而帶寬流量增加、增加站點的成本; 編輯虛擬配置文件 vim /usr/local/apache2.4/conf/extra/httpd-vh

2018-3-1512周4次課 Nginx防盜訪問控制配置PHP解析代理

Nginx12.13 Nginx防盜鏈[root@localhost test.com]# vim /usr/local/nginx/conf/vhost/test.com.conf~* 表示不區分大小寫白名單 *.test.com,如果不是白名單,則返回403[root@localhost test.com

Nginx配置:防盜訪問控制解析PHP以及代理

防盜鏈 訪問控制 Nginx代理 一、Nginx防盜鏈 防盜鏈是指一個網站的資源(圖片或附件)未經允許在其它網站提供瀏覽和下載,尤其熱門資源的盜鏈,對網站帶寬的消耗非常大,設置防盜鏈以節省資源。 1、修改虛擬主機配置文件 [root@zlinux vhost]# vim linuxtest.c

nginx防盜訪問控制PHP解析服務器代理

nginx防盜鏈、訪問控制、PHP解析、12.13 Nginx防盜鏈 因為該配置也使用location板塊,所以本節可結合日誌管理一起配置: [root@centos-01linux ~]# vim /usr/local/nginx/conf/vhost/test.com.conf……location ~ ^

LAMP(6)靜態元素過期時間配置防盜訪問控制Directory訪問控制FilesMatch

訪問控制 靜態元素過期時間靜態元素:(圖片、js、css)平時我們在瀏覽器訪問網站的時候,如果裏面有這些靜態元素,瀏覽器會幫我們把它們緩存下來,再次訪問的時候訪問的速度就會快。緩存下來的靜態元素到底緩存多久?這個是可以在服務器配置文件中定義的。(定義靜