2. 程式人生 > 其它 >Nginx安全措施:新增Http Basic認證及IP地址訪問限制

Nginx安全措施:新增Http Basic認證及IP地址訪問限制

阿新 發佈:2021-01-28

技術標籤:問題解決Nginx安全Nginx IP限制Nginx認證

1 背景

專案中的Nginx需要對外暴露一個介面,該介面必須具有一定的安全措施:
  • 呼叫介面必須是認證使用者才能呼叫
  • 需要限制呼叫方的IP地址

2 解決

利用Nginx本身提供的module來實現安全需求:預設情況下,這兩個模組都已經編譯進去了
  • ngx_http_auth_basic_module:Http Basic認證
  • ngx_http_access_module:IP地址限制
具體操作步驟如下: 
# 1.生成賬號和密碼(非明文密碼,密碼應該包括字母大小寫、數字和特殊字元)
# 注意:windows下不支援htpasswd方式!
printf "gsp:$(openssl passwd -crypt 
 
[email protected])\n" >> htpasswd

# 2.對特定Location新增Http Basic認證
# 注意auth_basic_user_file的路徑配置,如果找不到對應的檔案,會報403
# 報403錯誤時,在error.log中可以定位問題
location /test {
    root   html/;
    
    # 新增Http Basic認證
    auth_basic           "Login Required";
    auth_basic_user_file /etc/nginx/conf.d/htpasswd;
    
    autoindex on;
    charset utf-8,gbk;
}

# 3.對特定Location新增IP訪問控制
# 按順序匹配,只有172.18.13.125和172.18.13.124可以訪問,其它IP訪問時一律403
location /test {
    root   html/;
    
    auth_basic           "Login Required";
    auth_basic_user_file /etc/nginx/conf.d/htpasswd;
    
    # 限制IP訪問
    allow 172.18.13.125;
    allow 172.18.13.124;
    deny all;
    
    autoindex on;
    charset utf-8,gbk;
}

3 擴充套件1:深入瞭解ngx_http_auth_basic_module模組

auth_basic:是提示框中的提示資訊,Chrome下沒有顯示出來,Firefox下可以顯示,效果如下:

auth_basic_user_file:用來儲存Http Basic認證的使用者名稱和密碼的檔案。檔名稱中可以包含變數。絕對路徑和相對路徑都可以使用。其檔案內容格式如下: 
# comment
name1:password1
name2:password2:comment
name3:password3

支援的密碼型別有:推薦htpasswd

  • 用crypt()函式加密;使用Apach Http Server中的htpasswd生成的;使用openssl passwd命令生成的;
  • hashed with the Apache variant of the MD5-based password algorithm (apr1); can be generated with the same tools;
  • specified by the “{scheme}data” syntax (1.0.3+) as described inRFC 2307; currently implemented schemes includePLAIN(an example one, should not be used PLAIN指的是明文,千萬別用明文),SHA(1.3.13) (plain SHA-1 hashing, should not be used 沒有加鹽的SHA-1演算法,也不要用) andSSHA(salted SHA-1 hashing, used by some software packages, notably OpenLDAP and Dovecot).
注意:支援SHA schema這種方式僅僅是為了方便遷移到其它web server上。新密碼不應該使用這種方式,因為沒有加鹽的SHA-1 Hash演算法太脆弱,容易受到彩虹表攻擊(rainbow attack)。 [什麼是彩虹表攻擊?]個人理解,簡單去看,就是將hash後的值儲存起來,原文也相應儲存起來。存成一個超級大的表(GB,甚至是TB級別),後面爆破密碼的時候,直接查表。

4 擴充套件2:深入瞭解ngx_http_access_module模組

示例: 
# 處理流程:按下面的順序檢查,直到第一個匹配為止。
deny  192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny  all;

上面例子的含義:

  • 允許192.168.1.0/24和10.1.1.0/16網段,但是不包括192.168.1.1
  • 允許2001:0db8::/32
  • 其它的一律拒絕訪問
如果還需要更加複雜的規則,那麼請參考 ngx_http_geo_module

參考

1. [為 Nginx 新增 HTTP 基本認證(HTTP Basic Authentication)]( https://www.cnblogs.com/youcong/p/11253241.html) 2. [ngx_http_auth_basic_module]( http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html) 3. [ngx_http_access_module]( http://nginx.org/en/docs/http/ngx_http_access_module.html) 4. [線上生成htpasswd]( https://www.sojson.com/htpasswd.html) 5. [ngx_http_geo_module](http://nginx.org/en/docs/http/ngx_http_geo_module.html)

相關推薦

Nginx安全措施新增Http Basic認證IP地址訪問限制

技術標籤問題解決Nginx安全Nginx IP限制Nginx認證 1 背景 專案中的Nginx需要對外暴露一個介面,該介面必須具有一定的安全措施

HTTP Basic 認證

https://blog.csdn.net/yhb241/article/details/80646485 HTTP Basic 認證 Basic 認證是 Web 伺服器於客戶端之間進行認證的一種方式, 最初是在HTTP 1.0規範(RFC 1945)中定義,後續的有關安全的資訊可以在HTTP 1.

阿里雲安全組規則授權物件設定為固定IP訪問

阿里雲的ESC建站需要在安全組放通一些端口才能正常訪問,所以我們在開放埠的時候就直接設定了全部ip訪問,授權物件填入0.0.0.0/0,意味著允許全部ip訪問或者禁止全部ip訪問

寶塔Linux面板 - 新增站點建站時沒有域名實現 IP 地址訪問測試(寶塔面板建站 IP 訪問

前言 使用面板新增站點時,必須要填寫一個域名用來指向程式,沒有域名怎麼辦?

c++ 資料採集卡的軟體封裝_CC++語言14|類的封裝函式附屬於資料資料的訪問控制...

技術標籤c++ 資料採集卡的軟體封裝 類的封裝在於操作資料的函式附屬於資料資料的訪問控制。

精講RestTemplate第9篇-如何通過HTTP Basic Auth認證

本文是精講RestTemplate第9篇,前篇的blog訪問地址如下 精講RestTemplate第1篇-在Spring或非Spring環境下如何使用

Nginx+Lua系列常用Lua開發庫-redis、mysql、http客戶端

對於開發來說需要有好的生態開發庫來輔助我們快速開發,而Lua中也有大多數我們需要的第三方開發庫如Redis、Memcached、Mysql、Http客戶端、JSON、模板引擎等。

華為新款筆記本通過認證新增 135W 供電全能本

2 月 24 日訊息 根據華為爆料博主 @看山的叔叔的訊息,華為三款筆記本獲得質量認證,其中包括一款配備 135W 電源介面卡的型號。

淺析Nginx常用配置如何根據user-agent適配PC/移動裝置、如何配置https、如何開啟靜態服務、如何設定圖片防盜鏈、如何配置請求過濾、如何配置靜態檔案的快取時間、如何配置http轉發到https、如何配置泛域名路徑分離泛域名轉發

一、適配 PC 或移動裝置   根據使用者裝置不同返回不同樣式的站點,以前經常使用的是純前端的自適應佈局,但無論是複雜性和易用性上面還是不如分開編寫的好,比如我們常見的淘寶、京東......這些大型網站就都沒有

Google Play 將新增安全區域明確 App 收集哪些資料為何收集

7 月 29 日消息穀歌公佈了 Play Store 即將推出的安全區域的設計進展,該區域將提供關於應用程式的資料收集、隱私和安全做法的資訊。這個功能在 5 月首次公佈,開發者將能夠在 10 月開始展示他們的安全資訊,明年 4

蘋果宣佈對兒童安全的全新保護措施iMessage 簡訊警報、iCloud 照片掃描等,iOS 15 正式版後全面上線

北京時間 8 月 6 日早間訊息,蘋果公司週四表示,該公司將向執法部門報告上傳到其美國 iCloud 服務上的兒童性虐待圖片。

安全第一GitHub 要求所有貢獻程式碼的使用者在 2023 年底前啟用雙因素認證

感謝網友 肖戰爸爸、幻の上帝 的線索投遞!

python請求nginx basic認證的頁面

python請求nginx basic認證的頁面 問題 python在請求過程中會遇到nginx反向代理並通過basic設定了使用者名稱密碼校驗的頁面或者介面,此時直接requests請求回返回401,那麼下面就用特別簡單的辦法來解決這個問題。

宜信開源|UAVStack功能上新新增JVM監控分析工具

摘要UAVStack推出的JVM監控分析工具提供基於頁面的展現方式,以圖形化的方式展示採集到的監控資料;同時提供JVM基本引數獲取、記憶體dump、執行緒分析、記憶體分配取樣和熱點方法分析等功能。

HTTP摘要認證

典型的認證過程 客戶端請求一個需要認證的頁面,但是不提供[使用者名稱]和[密碼]。通常這是由於使用者簡單的輸入了一個地址或者在頁面中點選了某個[超連結]。

win10系統下怎麼在安全模式下新增使用者賬戶

在win10系統中,我們可以進入安全模式來進行一些設定和解決系統故障問題,但是如果要在安全模式下新增使用者賬戶的話,該怎麼操作呢,下文就給大家帶來win10系統下在安全模式下新增使用者賬戶的具體步驟。

nginx使用熱部署新增新模組

簡介 當初次編譯安裝nginx時,http_ssl_module 模組預設是不編譯進nginx的二進位制檔案當中,如果需要新增 ssl 證書。也就是使用 https協議。那麼則需要新增 http_ssl_module 模組。假設你的nginx安裝包目錄在/home/

LVS-NAT實戰搭建HTTPHTTPS負載均衡叢集

目錄LVS-NAT實戰搭建HTTP及HTTPS負載均衡叢集環境說明搭建NAT模式的HTTP負載叢集1. 配置好IP地址資訊2. DR上開啟IP轉發3.DR上配置lvs-nat的轉發機制4. RS上安裝httpd並啟動5. 客戶端訪問測試搭建NAT模式的HTTPS負

Nginx安全優化與效能調優

目錄Nginx基本安全優化隱藏Nginx軟體版本號資訊更改原始碼隱藏Nginx軟體名版本號修改Nginx服務的預設使用者修改引數優化Nginx服務效能優化Nginx服務的worker程序數1.優化NGINX程序對應的配置2.優化Nginx程序個數的

LVS-DR實戰搭建HTTP和HTTPS負載均衡叢集

目錄LVS-DR實戰搭建HTTP和HTTPS負載均衡叢集1. 搭建lvs-dr模式的http負載叢集1.1 LVS上配置IP1.2 RS上配置arp核心引數1.3 RS上配置VIP1.4 DR上配置lvs-dr轉發規則1.5 RS上配置http並啟動1.6 客戶端訪問測試搭建htt