当前位置:首页 > 随便写 > 正文内容

一些nginx安全规则

虚拟化博客3年前 (2022-07-11)随便写152

能有效防止70%攻击。

if ($request_uri ~* "(\.gz)|(\")|(\.tar)|(admin)|(\.zip)|(\.sql)|(\.asp)|(\.rar)|(function)|($_GET)|(eval)|(\?php)|(config)|(\')|(\.bak)") {
            return 301 http://lg-dene.fdcservers.net/10GBtest.zip;
        }
#请求这些敏感词时跳转下载10g文件
if ($request_uri ~* "(\.gz)|(")|(\.tar)|(admin)|(\.zip)|(\.sql)|(\.asp)|(\.rar)|(function)|($_GET)|(eval)|(\?php)|(config)|(\')|(\.bak)") {
            return 301 http://lg-dene.fdcservers.net/10GBtest.zip;
        }


#禁止下载以 XXX 后缀的文件
location ~ \.(zip|rar|sql|bak|gz|7z)$
{
   return 444;
  }


#访问链接里含有 test 直接跳转到公安网
if ($request_uri ~* test=) {
  return 301 https://www.mps.gov.cn;
}


#防止SB爬虫
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
      return 444;
    }


#屏蔽非常见蜘蛛爬虫配置
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
     return 444;
  }


#禁止某个目录执行脚本
#uploads|templets|data 这些目录禁止执行PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
    return 444;
  }


防止SB爬虫。


if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
      return 444;
    }


禁止爬虫

if ($http_user_agent ~* "qihoobot|Censys|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|Scrapy|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Ezooms|^$") {  
        return 404; #禁止爬虫返回404
        }


#非指定域名访问403
        if ($host != 'XX.XX.XX'){
    return 403; #非指定域名访问返回403
        }




#仅允许特定IP访问并加上帐号密码验证
root /opt/hostloc/www;
allow  xx.xx.xx.xx;
allow  2xx.xx.x.xx;
deny  all;
auth_basic “test”;
auth_basic_user_file htpasswd;




#禁止访问多个目录
location ~ ^/(cron|templates)/
{
deny all;
break;
}



#隐藏nginx版本号
http块添加
                       
http {
...
server_tokens off;
...
}



#禁止非浏览器访问

if ($http_user_agent ~ ^$) {
        return 412;
}

  


总结

if ($request_uri ~* "(\.gz)|(")|(\.tar)|(admin)|(\.zip)|(\.sql)|(\.asp)|(\.rar)|(function)|($_GET)|(eval)|(\?php)|(config)|(\')|(\.bak)") {
return 301 http://lg-dene.fdcservers.net/10GBtest.zip;
}

#禁止下载以 XXX 后缀的文件
location ~ \.(zip|rar|sql|bak|gz|7z)$
{
    return 444;
}


#访问链接里含有 test 直接跳转到公安网
if ($request_uri ~* test=) {
return 301 https://www.mps.gov.cn;
}
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
      return 444;
    }


扫描二维码推送至手机访问。

版权声明:本文由Virtualization esxi pve unRaid vmware synology nas docker blog发布,如需转载请注明出处。

本文链接:http://www.yzme.net/post/42.html

标签: nginx
分享给朋友:
返回列表

上一篇:1分钟安装好独角数卡教程

下一篇:APPNODE 手动升级Nginx到1.22.0

相关文章

centos7 逻辑卷扩容

centos7 逻辑卷扩容

新增加一块盘300G,需要增加到/data中。解决方案增加磁盘 -> 初始化物理卷 -> 扩容卷组 -> 扩容逻辑卷操作步骤初始化物理卷查看磁盘信息# lsblkNAME   &nb...

frp配置说明

frp的下载地址:https://github.com/fatedier/frp/releases frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。frp 的作用利用处于内网或防火...

nginx域名分流中转配置

注意一下新建的网页博客,需要在博客网站配置要加上proxy_protocol;,原来是listen 444 ssl,改成listen 444 ssl http2 proxy_protocol;stream {  &nb...

自己升级群辉DSM到7.1的心得

自己升级群辉DSM到7.1的心得

相关引导和安装包来自https://www.openos.org/threads/2022410dsm7-x.3529/ https://pan.baidu.com/s/1i7ebGaioDJqEh7nnIKS4ew提取码:sw4z教程:h...

群晖DSM7.x 每天自动更换登陆界面壁纸教程

群晖DSM7.x 每天自动更换登陆界面壁纸教程

DSM7.x教程参考:https://github.com/kkkgo/DSM_Login_...mits/50a2e34c706edb6856268a4537665cddc50034b4DSM5.x DSM6.x版本参考:https://...

docker 搭建Koel 详细步骤

Koel是一个自己托管自己的音乐的平台,官网 https://koel.dev/ 安装过程,主要使用docker来简化安装,网上有的帖子说docker安装的性能差,我分析了一下并没有这回事。只是说因为要处理音乐上传/下载,这个系统的压力主要...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright Your WebSite.Some Rights Reserved.

Powered By Z-BlogPHP. Theme by TOYEAN.