linux学习笔记-第二十四课-LNMP-Nginx高级配置(三)
一、用户认证
用户认证功能是利用Apache的工具htpasswd生成的密钥,所以需要安装Apache的这个工具即可,我们用yum来安装就可以。
[root@ZLNMP ~]# yum install -y httpd-tools [root@ZLNMP ~]# htpasswd -cm /usr/local/nginx/conf/.htpasswd mydiscuz New password: Re-type new password: Adding password for user mydiscuz [root@ZLNMP ~]# cat /usr/local/nginx/conf/.htpasswd mydiscuz:$apr1$ejPLa15T$kuyykf8at2I77oogZ0kUz1
修改配置,主要是修改server模块
location / { auth_basic "Closed"; auth_basic_user_file .htpasswd; <== 这里要注意加密文件的路径 }
二、静态文件缓存
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; access_log off; } location ~ .*\.(js|css)?$ { expires 12h; access_log off; }
三、防盗链
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { valid_referers none blocked server_names *.taobao.com *.baidu.com *.google.com *.google.cn *.soso.com ; if ($invalid_referer) { return 403; # rewrite ^/ http://www.example.com/nophoto.gif; } }
四、域名重定向
if ($host != ‘bbs.a.com‘ ){ rewrite ^/(.*)$ http://bbs.a.com/$1 permanent; }
五 、日志切割
因为Nginx没有自动切割日志功能,所以需要手动编辑脚本
编写脚本:vim /usr/local/sbin/logrotate.sh //加入
#! /bin/bash datedir=`date +%Y%m%d` /bin/mkdir /home/logs/$datedir >/dev/null 2>&1 /bin/mv /home/logs/*.log /home/logs/$datedir /bin/kill -HUP `cat /var/run/nginx.pid`
六、设置日志记录的内容
日志格式化
log_format main ‘$remote_addr - $remote_user [$time_local] $request ‘
‘"$status" $body_bytes_sent "$http_referer" ‘
‘"$http_user_agent" "$http_x_forwarded_for"‘;
log_format main1 ‘$proxy_add_x_forwarded_for - $remote_user [$time_local] ‘
‘"$request" $status $body_bytes_sent ‘
‘"$http_referer" "$http_user_agent"‘; //此日志格式为,ip不仅记录代理的ip还记录远程客户端真实IP。
七、访问控制
限制只让某个ip访问
allow 219.232.244.234;
deny all;
禁止某个IP或者IP段访问站点的设置方法
首先建立下面的配置文件放在nginx的conf目录下面,命名为deny.ip
cat deny.ip
deny 192.168.1.11;
deny 192.168.1.123;
deny 10.0.1.0/24;
在nginx的配置文件nginx.conf中加入:
include deny.ip;
重启一下nginx的服务:/usr/local/nginx/sbin/nginx reload 就可以生效了。
deny.ip 的格式中也可以用deny all;
如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
那需要你在deny.ip 中这样写
allow 1.1.1.1;
allow 1.1.1.2;
deny all;
有时候会根据目录来限制php解析:
location ~ .*(diy|template|attachments|forumdata|attachment|image)/.*\.php$
{
deny all;
}
八、使用 user_agent 控制客户端访问
location /
{
if ($http_user_agent ~ ‘bingbot/2.0|MJ12bot/v1.4.2|Spider/3.0|YoudaoBot|Tomato|Gecko/20100315‘){
return 403;
}
}
九、Nginx代理
server {
listen 80;
server_name aaa.com;
location / {
proxy_pass http://2.2.2.2/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# access_log /home/logs/aaa_access.log combined;
}
本文出自 “Topspeed_King” 博客,请务必保留此出处http://mylinuxlife.blog.51cto.com/4706737/1654758
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。