nginx.conf中配置上不允许访问的网站目录

最新推荐文章于 2022-11-30 11:49:09 发布
原创 最新推荐文章于 2022-11-30 11:49:09 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #系统架构 #数据库

本文介绍了一个Nginx配置中的安全漏洞,即未禁止访问敏感目录如WEB-INF,可能导致系统架构、源代码等信息泄露。提供了正确的配置示例,确保商业项目的安全性。

 

 

nginx.conf 配置中有个漏洞,那就是没有配置哪些目录是不允许直接访问的,在传统tomcat作为服务器的时候,tomcat本身的机制就禁止直接访问WEB-INF下的内容,但是在nginx中,由于配置了部分内容直接从nginx转发出去,这就导致了WEB-INF目录实际上可能会被暴露出去,一旦暴漏了,那么系统架构,源代码,数据库配置文件,系统配置文件等内容将一并泄露,这对于商业项目来讲会是致命的安全隐患,再次提醒自己以及相关人士,一定要配置不允许访问的目录。

 

为此,必须在nginx.conf中配置上不允许访问的网站目录。

 

不允许访问配置方式如下:

 

       location ~ ^/(WEB-INF|META-INF)/{
                deny all;
        }

 

 

一个完整的nginx.conf例子:

 

user root;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  10240;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    gzip  on;
    gzip_min_length 1k;
    gzip_buffers 16 64k;
    gzip_http_version 1.1;
    gzip_comp_level 2;
    gzip_types application/json text/plain text/css;
    gzip_vary on;

    fastcgi_intercept_errors on;

	upstream tomcat_server {
	   server   127.0.0.1:8080;
#      server   127.0.0.1:8081;
#      server   127.0.0.1:8082;
	}


############################
########   server start ####
############################
    server {
        listen       80;
        server_name  www.xxx.com;
        root    /data/www/www.xxx.com;

        location /{
        	index index.htm index.html index.jsp;
        }

        location ~ ^/(WEB-INF|META-INF)/{
                deny all;
        }

        location ~ \.(jsp|do)?$ {
	        proxy_set_header Host  $host:80;
	        proxy_set_header X-Forwarded-For  $remote_addr;
	        proxy_pass http://tomcat_server;
    	}

    	location ~ .*\.(js|css|gif|jpg|jpeg|png|bmp|swf)$ {
	        expires 24h;
	    }

        if (!-e $request_filename){
                rewrite "^/a/eg/([0-9]+)/([0-9]+)/([0-9]+)$" /api/eventlog.do?game_id=$1&platform_id=$2&channel_id=$3 last;
                rewrite "^/games/game_([0-9]+)\.html$" /games/game_show.jsp?id=$1 last;
        	rewrite "^/games/page_([0-9]+)\.html$" /games/index.jsp?p=$1 last;
        	rewrite "^/games/category_([0-9]+)\.html$" /games/index.jsp?c=$1 last;
        	rewrite "^/games/category_([0-9]+)/page_([0-9]+)\.html$" /games/index.jsp?c=$1&p=$2 last;
        	rewrite "^/blogs/blog_([0-9]+)\.html$" /blogs/blog_show.jsp?id=$1 last;
        	rewrite "^/blogs/page_([0-9]+)\.html$" /blogs/index.jsp?p=$1 last;
        	rewrite "^/blogs/category_([0-9]+)\.html$" /blogs/index.jsp?c=$1 last;
        	rewrite "^/blogs/category_([0-9]+)/page_([0-9]+)\.html$" /blogs/index.jsp?c=$1&p=$2 last;
        	rewrite "^/links/category_([0-9]+)\.html$" /links/index.jsp?c=$1 last;
        }
    }
############################
########   server end   ####
############################
}

 

 

 

详解nginx.conf 中 root 目录设置问题
09-29
在本文中,我们将深入探讨`nginx.conf`配置文件中的`root`目录设置问题。`root`指令是Nginx配置中的核心部分,它用于定义服务器返回请求时的文件系统路径。正确设置`root`对于确保Nginx能够正确服务静态文件和动态...
nginx.conf 完整配置总结概述
03-05
在深入探讨nginx的完整...掌握nginx.conf配置方法,理解每一个配置项的作用,对于优化服务器性能、确保网站安全稳定运行至关重要。无论是网站开发者还是系统管理员,都应该具备深入理解和灵活应用nginx.conf的能力。
[nginx]站点目录及文件访问控制
weixin_34342207的博客
03-11 298
nginx.conf配置文件 http ->多个server -> 多个location ->可限制目录和文件访问(根据i扩展名限制或者rewrite.) 根据目录或扩展名,禁止用户访问指定数据信息 禁止访问目录下的某些扩展名文件 这次我测一下,禁止访问网站目录下的 html/images/*.txt文件 [root@n1 nginx]# tree html/ html/ ├─...
nginx 配置禁止访问目录或文件
大爱无疆的博客
04-08 3310
nginx要禁止某个或一类资源,只需要增加一个location,然后在其中使用deny all即可。 禁止访问扩展名为bat的文件,配置如下: location ~* /.bat { deny all; } 禁止访问configs目录,以及其下所有子目录或文件,配置如下:
nginx配置允许访问内容
u013008898的博客
04-03 2941
location ~ ^/(WEB-INF|META-INF)/* { deny all; }
nginx 允许访问目录配置
谦怀
11-15 4805
nginx 允许访问目录配置 创建配置文件 [root@tg01 conf.d]# cat /etc/nginx/conf.d/tg-t5.conf server { listen 8095; server_name localhost; location / { root /opt/nginx/tg-t5; index...
nginx如何配置其能够访问目录文件。
热门推荐
硬核编程乐乐的博客
11-13 2万+
有时候,我们有一个文件夹存放了资料,压缩包。 我们需要能够像访问ftp一样,访问这个网站的某个路径,然后浏览这个目录下的文件并下载过来。 在使用nginx做web服务的情况下,假设我们在网站目录下创建一个名为’download’的目录,里面有一些文档。 那么访问http://www.xxx.com/download是会报nginx 403 forbidden这个错误的,提示你没有权限。 这个时候就需要修改nginx.conf配置一下这个这个网站的转发设置了。 修改后,就可以访问了: 修改前: serv
Nginx配置文件nginx.conf的常用配置方法
09-30
Nginx配置文件nginx.conf允许管理员控制服务器的行为,从最基本的参数设置到复杂的负载均衡策略。本文将详细介绍Nginx配置文件中的常用配置方法,从而帮助初学者快速上手搭建和管理Nginx服务器。 首先,我们需要...
Nginx.conf设置nginx优化(一)
m0_71518373的博客
08-15 1013
linux中实现nginx的反向代理、负载均衡配置、动静分离、隐藏版本号、访问控制和nginx虚拟主机
二、Nginxnginx.conf配置文件详解
静坐听雨
04-17 3868
目录 一、 全局块 1.1 概况 1.2 nginx用户权限 1.3 master及其works进程控制 1.3.1 master_process: 1.3.2 worker_processes 1.4 其他控制 1.4.1 daemon 1.4.2 access_log 1.4.3 error_log 1.4.4 include 二、events模块 2.1 简介 2.2 配置 2.2.1accept_mutex,设置Nginx网络连接序列化 2.2.2multi_ac..
Nginx 安全配置
lkr_lkr的博客
02-15 1816
Nginx 安全配置 Nginx禁用隐藏文件 location ~ /\. { deny all; }
Nginx禁止访问某个目录或某个后缀文件
宝贝企鹅的博客
11-30 4754
Nginx禁止访问某个目录或某个后缀文件
Nginx location 语法匹配详解,渗透漏洞WEB-INF文件泄露修复
u014644574的博客
12-14 1233
1、语法规则,类似switch case location [=|~|~*|^~|!~|!~*] /uri/ { … } 模式 含义 location = /uri = 表示精确匹配 location ^~ /uri ^ 进行前缀匹配,~ 表示区分大小写 location ~ pattern ~ 区分大小写的匹配 location
nginx 配置文件讲解 (二)
nameIsHG的博客
04-13 248
nginx.conf配置文件 Nginx配置文件主要分成四部分 1. main(全局设置) 2. server(主机设置) 3. upstream(上游服务器设置,主要为反向代理、负载均衡相关配置) 4. location(URL匹配特定位置后的设置),每部分包含若干个指令 通用 下面的nginx.conf简单的实现nginx在前端做反向代理服务器的例子,处理js、png等静态文件,...
nginx服务器配置安全维护,Nginx安全加固CHECKLIST
weixin_39759441的博客
08-04 582
3.2.1以非特权用户启动服务名称:以非特权用户启动服务实施目的:以特定用户运行服务,要使用系统管理员帐号启动apache。问题影响:越权使用造成非法攻击系统当前状态:使用系统命令或使工具查看Nginx进程是否使用管理员或使特权用户启动的。User nobody;Worker_processes 8;实施步骤:一般情况下,Nginx是由Root来安装和运行的。如果Nginx:worker进程具有...
nginx和Tomcat配合使用时nginx.conf配置允许访问WEB-INF的方法
weixin_33797791的博客
07-15 1139
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx与tomcat的动静分离
jsczxy2
02-24 146
http://www.oschina.net/code/snippet_12_175 http://blog.csdn.net/21aspnet/article/details/6573825 http://www.oschina.net/question/59889_25385   下面一段是我成功配置的代码: #这段是防止直接IP访问或者未绑定域名访问配置 server{ ...
NGINX安全配置和限制访问
sd4493091的博客
09-28 2731
说起网络攻击,可能很多人只知道大名鼎鼎的DDOS攻击,这种攻击廉价且效果出众,直接通过第四层网络协议用他的带宽把你的带宽顶掉,造成网路阻塞,防胜防,就连腾讯这种大鳄公司也被大流量DDOS搞过焦头烂额。暂时的解决方法只有三种,第一种就是你要够有钱,买强大的高级防火墙,或者使用的带宽足够大,无视这些网络流量。第二种是技术足够强,例如个别有技术的大牛公司(阿里),用类如DPDK的高效数据包处理驱动,开发出流量清洗服务,把垃圾网络包过滤掉,过同时也会影响正常的网络包,增加延时。第三种就是钱多的公司多数使用的方
Nginx 禁止访问某个目录或文件的设置方法
weixin_30261095的博客
03-06 1535
如果基于WEB根目录下,要禁止用户访问/config目录,或者要禁止用户访问/config.ini(ZF常用INI,过建议还是放到WEB目录以外的地方),可以通过location进行配置,返回403或者404等 复制代码代码如下: location = /config/ {return 404;}location =/config.ini{return 40...
nginx.conf怎么配置路由
最新发布
10-21
<think>我们之前的问题是关于Docker Compose和Nginx配置访问前端仍然是Nginx默认首页的问题。现在用户的新问题是关于如何配置nginx.conf中的路由。根据用户提供的引用和之前的上下文,我们来详细解释Nginx路由配置方法。 用户提供的引用材料中提到了Nginx配置文件的结构,包括主配置文件(nginx.conf)、包含的文件(如conf.d目录下的配置文件)、server块和location块。其中,location块用于配置路由。 在Nginx中,路由配置主要通过在server块中定义同的location块来实现。每个location块可以匹配特定的URI,并定义如何处理这些请求。 ### Nginx路由配置详解 #### 1. 基本语法 ```nginx location [修饰符] 匹配模式 { # 配置指令 } ``` #### 2. 匹配修饰符 - `=`:精确匹配。例如:`location = /path` 只会匹配 `/path`。 - `^~`:前缀匹配,如果匹配成功,则再进行正则匹配。 - `~`:区分大小写的正则匹配。 - `~*`:区分大小写的正则匹配。 - 无修饰符:普通前缀匹配(匹配以指定模式开头的URI)。 #### 3. 匹配优先级 Nginx按以下顺序匹配location: 1. 精确匹配(`=`)。 2. 前缀匹配(`^~`)。 3. 正则匹配(`~`和`~*`),按配置文件中的顺序匹配,第一个匹配成功的将被使用。 4. 普通前缀匹配(带修饰符),最长前缀匹配。 #### 4. 常见配置示例 ##### 示例1:静态文件服务 ```nginx server { listen 80; server_name localhost; # 根目录配置 root /usr/share/nginx/html; # 首页 index index.html; # 处理根路径请求 location / { try_files $uri $uri/ /index.html; } # 匹配图片请求 location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { # 设置缓存时间 expires 30d; } } ``` ##### 示例2:反向代理到后端服务 ```nginx server { listen 80; server_name api.example.com; # 代理所有请求到后端应用 location / { proxy_pass http://backend_server; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } # 单独处理/api路径 location /api { # 可以添加额外的代理设置 proxy_pass http://backend_server/api; } } # 定义后端服务器组 upstream backend_server { server 192.168.1.100:8080; server 192.168.1.101:8080; } ``` ##### 示例3:重定向和重写 ```nginx server { listen 80; server_name www.old-domain.com; # 永久重定向到新域名 location / { return 301 https://www.new-domain.com$request_uri; } } server { listen 80; server_name www.new-domain.com; # 重写URL(去掉.php扩展名) location / { try_files $uri $uri.html $uri/ =404; } location ~ \.php$ { # 处理PHP请求 fastcgi_pass php:9000; # ...其他fastcgi配置 } } ``` #### 5. 路由配置中的常用指令 - `try_files`:按顺序检查文件是否存在,并返回第一个找到的文件。如果都找到,则执行最后一个参数(可以是命名location或状态码)。 - `rewrite`:重写URI。 - `alias`:定义目录别名,用于将请求映射到文件系统的同路径。 - `proxy_pass`:将请求代理到指定的服务器。 - `root`:设置请求的根目录。 - `index`:定义索引文件。 ### 解决用户之前的问题(仍显示Nginx默认首页) 结合用户之前的问题,我们注意到前端服务的配置中,Nginx容器的挂载路径是: ```yaml volumes: - ./frontend/dist/:/usr/share/nginx/html ``` 而在Nginx配置中,location / 的root是`/usr/share/nginx/html`,这应该是正确的。所以问题可能在于: 1. 宿主机路径`./frontend/dist/`下是否有前端构建的文件(如index.html)? 2. 挂载是否成功?可以通过进入容器检查文件是否存在来验证。 另外,在docker-compose中,前端服务映射的端口是80:3300,这个3300端口在Nginx容器内部应该是80(因为Nginx镜像默认监听80端口)。所以用户应该通过宿主机的80端口访问,而是3300。 ### 结论 在Nginx配置路由主要是通过server块中的location指令来实现。根据匹配模式(精确匹配、前缀匹配、正则匹配)来路由请求,并可以结合反向代理、静态文件服务、重定向等功能。 针对用户之前的问题,除了路由配置外,还需要检查挂载的文件是否存在以及端口映射是否正确。 ### 相关问题 1. Nginx location匹配优先级的具体规则是什么? 2. 如何配置Nginx的反向代理以支持WebSocket? 3. Nginx的try_files指令有哪些常见用法? 4. 如何解决Nginx配置中出现的404错误? 5. 如何优化Nginx处理静态资源的性能? 希望这些信息能帮助用户理解Nginx的路由配置方法和解决之前的问题。 </think>### Nginx 路由配置详解 在 Nginx 中,路由配置主要通过 `server` 块和 `location` 块实现,用于定义请求的分发规则。以下是核心配置方法: #### 一、基础路由配置结构 ```nginx http { # 全局配置(如负载均衡) upstream backend { server 192.168.1.10:8080; # 后端服务器1 server 192.168.1.11:8080; # 后端服务器2 } server { listen 80; # 监听端口 server_name example.com; # 域名 # 路由规则1:精确匹配根路径 location = / { root /var/www/home; # 静态资源目录 index index.html; # 默认文件 } # 路由规则2:API请求反向代理 location /api { proxy_pass http://backend; # 转发到upstream proxy_set_header Host $host; } # 路由规则3:正则匹配图片路由 location ~* \.(jpg|png)$ { root /var/www/images; expires 30d; # 缓存30天 } } } ``` #### 二、路由匹配优先级规则 1. **匹配类型优先级**(由高到低): - `location = /path` → 精确匹配 - `location ^~ /path` → 优先前缀匹配 - `location ~ /pattern` → 正则匹配(区分大小写) - `location ~* /pattern` → 正则匹配(区分大小写) - `location /prefix` → 普通前缀匹配 - `location /` → 通用匹配 2. **匹配顺序示例**: ```nginx location = /login { ... } # 1. 优先匹配 /login location ^~ /static { ... } # 2. 其次匹配 /static 开头的路径 location ~ \.php$ { ... } # 3. 再匹配 .php 结尾的请求 location / { ... } # 4. 最后匹配其他所有请求 ``` #### 三、实战路由配置场景 1. **静态资源路由** ```nginx location /assets { alias /var/www/static; # 使用alias移除URI前缀 try_files $uri $uri/ =404; gzip on; # 启用压缩[^4] } ``` 2. **动态请求代理** ```nginx location ~ ^/user/(\d+) { proxy_pass http://user_service/$1; # 提取正则参数 proxy_set_header X-Real-IP $remote_addr; } ``` 3. **重定向路由** ```nginx location /old-path { return 301 https://$host/new-path; # 永久重定向 } ``` #### 四、高级路由技巧 1. **负载均衡路由** ```nginx upstream app_cluster { least_conn; # 最少连接算法 server 10.0.0.1:8000 weight=3; server 10.0.0.2:8000; } location /service { proxy_pass http://app_cluster; } ``` 2. **路由访问控制** ```nginx location /admin { allow 192.168.1.0/24; # 允许IP段 deny all; # 拒绝其他IP auth_basic "Admin Area"; # HTTP认证 } ``` 3. **跨域路由处理** ```nginx location /api { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST'; if ($request_method = 'OPTIONS') { return 204; } # 预检请求 } ``` > **重要提示**:修改配置后需验证语法 `nginx -t` 并重载服务 `nginx -s reload`[^1] ### 配置验证与调试 1. 日志检查: ```bash tail -f /var/log/nginx/access.log tail -f /var/log/nginx/error.log ``` 2. 请求跟踪: ```nginx location /debug { add_header X-Route-Debug "Matched /debug"; # 自定义响应头 } ``` ### 相关问题 1. Nginx的正则表达式路由有哪些特殊匹配规则? 2. 如何实现基于地理位置的动态路由配置? 3. Nginx与Kubernetes Ingress的路由配置有何区别? 4. 路由配置错误导致502 Bad Gateway如何排查? 5. 如何优化高并发场景下的路由匹配性能? > 引用说明: > [^1]: Nginx配置加载顺序 > [^2]: server模块配置方法 > [^3]: 常见配置项解释 > [^4]: gzip压缩与负载均衡配置
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值