Nginx 访问控制(原理+实验)

发布时间:2024年01月24日


什么是访问控制?

访问控制是一种安全机制,旨在限制系统或网络资源的访问权限,确保只有经过授权的用户或系统可以访问这些资源。对访问控制的理解可能包括以下几个关键方面:

  1. 身份验证(Authentication): 访问控制的第一步是确认用户或系统的身份。这通常涉及到使用用户名、密码、密钥或其他身份验证手段来验证用户的身份。合法的身份验证是访问控制的基础。
  2. 授权(Authorization): 一旦用户身份得到验证,接下来的步骤是确定用户被授予的权限范围。这包括确定用户可以访问的资源、可以执行的操作以及其他相关权限。授权确保用户只能访问其被明确允许的资源和功能。
  3. 访问级别(Access Levels): 访问控制通常涉及定义不同的访问级别,如读取、写入、执行等。每个用户或系统被授予的访问级别取决于其角色和权限配置。精细的访问级别有助于确保安全性和数据完整性。
  4. 访问策略(Access Policies): 访问策略是一组规则和规范,用于定义系统中的访问控制规则。这可能包括规定谁可以访问什么资源、在什么条件下可以访问等。访问策略是实施访问控制的具体指南。
  5. 审计和监控(Auditing and Monitoring): 访问控制不仅仅是在用户尝试访问资源时的阻止和允许,还包括对访问活动的审计和监控。记录和分析访问日志有助于检测潜在的安全威胁或违规行为。
  6. 单点登录(Single Sign-On,SSO): SSO是一种访问控制方法,允许用户通过一次身份验证获得对多个系统的访问权限,而不需要在每个系统中单独登录。这提高了用户体验并简化了访问管理。

1. Nginx 访问控制模块

Nginx 是一款高性能的 Web 服务器,支持多种操作系统。通过 HTTP 模块、TCP 模块、UDP 模块等多种模块的支持,Nginx 提供了很多灵活的访问控制配置选项。
Nginx提供了2种最常用的访问控制方法
(1)基于IP的访问控制:http_access_module
可以使用 Nginx 的 allow 和 deny 指令,来控制对来自特定 IP 地址的客户端的访问权限。

例:
location /admin {
    allow 192.168.1.100;
    deny all;
}

(2)基于用户的信任登录:http_auth_basic_module
可以使用 Nginx 的 auth_basicauth_basic_user_file 指令,来启用基于 HTTP 认证的访问控制。

例:
location /admin {
    auth_basic "Restricted Area";
    auth_basic_user_file /path/to/password/file;
}

2. 基于 IP 的访问控制

2.1. 配置语法

#allow允许IP
Syntax:allow address | all;
default:默认无
Context:http,server,location
?
#deny拒绝IP
Syntax:deny address | all;
default:默认无
Context:http,server,location
=======================================================================
allow    允许    ip或者网段
deny    拒绝     ip或者网段

2.2. allow 允许配置实验

编辑/etc/nginx/conf.d/access_mod.conf内容如下:

[root@localhost ~]# hostname -I
192.168.221.138 
?
[root@localhost ~]# vim /etc/nginx/conf.d/allow.conf
server {
        listen 80;
        server_name localhost;  #注意域名不要有冲突
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                deny 192.168.221.136;    #不允许136访问
                allow all;
                }
}
?
[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx
?
//136访问测试:
[root@localhost ~]# hostname -I
192.168.221.136 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 403 Forbidden  //403访问被拒绝
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:24:08 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
?
//130访问测试:
[root@localhost ~]# hostname -I
192.168.221.130 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 200 OK         //200访问ok
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:24:28 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Tue, 11 Apr 2023 17:22:34 GMT
Connection: keep-alive
ETag: "6435975a-267"
Accept-Ranges: bytes

?需要注意:
1.按顺序匹配,已经被匹配的ip或者网段,后面不再被匹配。
2.如果先允许所有ip访问,在定义拒绝访问。那么拒绝访问不生效。
3.默认为allow all

  • 被拒绝的IP为192.168.221.136,配置拒绝的虚拟机IP为192.168.221.138,这里禁止136访问,允许其他所有IP访问。
  • 主机136访问http://192.168.221.138,显示403 Forbidden。
  • 当然也可以反向配置,同时也可以使用IP网段的配置方式,如allow 192.168.17.0/24; deny all;,表示满足此网段的IP都可以访问。

2.3. deny 拒绝配置实验

如果你想拒绝某个指定URL地址的所有请求,只需要在location块中配置deny all指令:

[root@localhost conf.d]# hostname -I
192.168.221.138 

[root@localhost conf.d]# vim /etc/nginx/conf.d/deny.conf
server {
        listen 80;
        server_name localhost;
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                allow 192.168.221.136;    #只允许136可以访问
                deny all;    #拒绝所有
                }
}

[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

//136访问测试
[root@localhost ~]# hostname -I
192.168.221.136 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 200 OK
Server: nginx/1.24.0
Date: Sun, 30 Jul 2023 23:38:18 GMT
Content-Type: text/html
Content-Length: 615
Last-Modified: Tue, 11 Apr 2023 17:22:34 GMT
Connection: keep-alive
ETag: "6435975a-267"
Accept-Ranges: bytes

//130访问测试
[root@localhost ~]# hostname -I
192.168.221.130 
[root@localhost ~]# curl  -I http://192.168.221.138
HTTP/1.1 403 Forbidden
Server: nginx/1.24.0
Date: Mon, 31 Jul 2023 00:51:10 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

//windows宿主机curl测试
C:\Users\TZH>curl -I http://192.168.221.138
HTTP/1.1 403 Forbidden
Server: nginx/1.24.0
Date: Mon, 31 Jul 2023 00:51:49 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

3. 基于用户的信任登录

基于用户的信任登录模块:http_auth_basic_module
有时候我们会有这么一种需求,就是你的网站的某些页面不希望对所有人公开访问,我们希望的是某些特定的客户端可以访问。
那么我们可以在访问时要求进行身份认证,就如给你自己的家门加一把锁,以拒绝那些不速之客。

3.1. 配置语法

Syntax:auth_basic string | off;
default:auth_basic off;
Context:http,server,location
auth_basic string; 设置基本验证的描述信息

Syntax:auth_basic_user_file file;
default:默认无
Context:http,server,location
file:设置存储用户名密码信息的文件。
密码文件格式 username:password

例:

server {
  location /private {
    auth_basic "Private area";
    auth_basic_user_file /etc/nginx/passwords;
  }
}

这就要求用户访问 /private 路径时输入密码才能访问。
用户密码文件也可以放在其他位置,只要 auth_basic_user_file 指令指向正确的文件即可。

3.2. 配置示例

[root@localhost conf.d]# hostname -I
192.168.221.138 

[root@localhost ~]# vim /etc/nginx/conf.d/auth_mod.conf 
server {
    listen 80;
    server_name localhost;
    location ~ /admin {
        root /var/www/html;
        index index.html index.hml;
        auth_basic "Auth access test!";
        auth_basic_user_file /etc/nginx/auth_conf;
        }
}

[root@localhost conf.d]# mkdir /var/www/html/admin    //创建目录
[root@localhost conf.d]# echo "auth..."  > /var/www/html/index.html/admin    //创建文件

[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

//做好本地windows的host文件解析
192.168.221.138 www.Jltauth.com

auth_basic不为 off 时,开启登录验证功能,auth_basic_user_file 加载账号密码文件。
浏览器访问测试

3.3. 创建登录的口令文件

[root@localhost ~]# yum install -y httpd-tools 
//htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件

[root@localhost conf.d]# htpasswd -cm /etc/nginx/auth_conf jack
New password: 
Re-type new password: 
Adding password for user jack
//jack:用户
//-c: 创建一个新的密码文件,如果密码文件已存在,则会直接覆盖。
//-m: 在已有的密码文件中添加用户,不会覆盖已有用户。
//该命令中,会创建密码文件 auth_conf,并写入用户 jack 的密码记录

[root@localhost conf.d]# htpasswd -m /etc/nginx/auth_conf tom
New password: 
Re-type new password: 
Adding password for user tom
//该命令中,会在已有的密码文件 auth_conf 中追加用户 tom 的密码记录

[root@localhost nginx]# cat /etc/nginx/auth_conf
jack:$apr1$YmpHMEkH$OtjswnIL5F.E7HUGKBi6U/
tom:$apr1$S8Q.Csg.$JQ6hQSExltiB9x/vlQURb0

浏览器访问测试

文章来源:https://blog.csdn.net/m0_62396418/article/details/135816196
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。