Nginx-加密會話

原創 linuxguowei 2018-11-30 12:53

Nginx實現ssl會話加密:

ssl on | off;  
爲指定虛擬機啓用HTTPS protocol, 建議用listen指令代替 

ssl_certificate file;  
當前虛擬主機使用PEM格式的證書文件

ssl_certificate_key file;  
當前虛擬主機上與其證書匹配的私鑰文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 
支持ssl協議版本,默 認爲後三個

ssl_session_timeout time;  
客戶端連接可以複用ssl session cache中緩存的ssl參數的有效時長,默認5m

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];   
none:  通知客戶端支持ssl session cache,但實際不支持  
builtin[:size]:使用OpenSSL內建緩存,爲每worker進程私有  
[shared:name:size]:在各worker之間使用一個共享的緩存

   server {
        listen       443 ssl  default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  app.a.com;
        root         /www/app/html;

        ssl_certificate "/etc/nginx/conf.d/nginx.crt";
        ssl_certificate_key "/etc/nginx/conf.d/nginx.key";
#       ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_session_cache shared:sslcache:20m;
#       ssl_ciphers HIGH:!aNULL:!MD5;
#       ssl_prefer_server_ciphers on;

#        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
#
        location / {
          }
}
}

支持同一主機多虛擬主機實現ssl會話

快速申請測試證書:
在/etc/pki/tls/certs/目錄下執行:
make [*].crt即可
需要更改一下Makefile文件
 /usr/bin/openssl genrsa  $(KEYLEN) > $@
#/usr/bin/openssl genrsa [-aes128】 $(KEYLEN) > $@
去掉[]中的內容,否則會加密!

Nginx地址重寫功能:

7 地址重寫-rewrite[server|location]

rewrite [表達式] [替換路徑] [標誌位]

location / {
    root /www/b.org;
    rewrite ^/images/(.*)$ /imgs/$1;
}
這樣用戶再查找http://www.b.org/images/a.jpg就會跳轉至
http://www.b.org/imgs/a.jpg--這個網站一樣會被location規則檢查

標誌位:
last:一旦被rewrite規則匹配並重寫後,立刻停止檢查後續的
rewrite規則,而後通過重寫後的規則重新發起請求[響應碼200]

break:一旦被rewrite規則匹配並重寫後,立刻停止檢查後續的
rewrite規則,而後繼續由nginx進行後續的操作

redirect:臨時重定向
重寫完成後以臨時重定向方式直接返回重寫後生成的新URI給客戶端
由客戶端重新發起請求
使用相對路徑,或者http://或https:// 開頭
狀態碼返回302臨時重定向[訪問路徑會改變|會發起兩次請求]

permanent:重寫完成後以永久重定向方式直接返回重寫後生成的新URI給客戶端
由客戶端重新發起請求
狀態碼:301

具體應用1:整網站重定向
server {
    server_name www.c.com;
    listen 80;
    index index.html;
    root /web/c.com;
    error_page 404 =302 /404.html;
    location /test2/ {
        try_files $uri /test2/test.html;
    }

    location / { 
        rewrite / http://www.a.com/break;
    }

}
測試訪問:
[root@apache113:21:20network-scripts]#curl -L http://www.c.com
<h1>test a.com page for nginx virt</h1>
已經跳轉至www.a.com網站!

具體應用2:http--->https在不同虛擬機之上
location / { 
    rewrite / https://app.a.com/;
}

測試訪問:
[root@apache113:28:41network-scripts]#curl -Lk  http://www.c.com
<h1>test nginx ssl session page</h1>

具體應用3:http--->https在同一虛擬主機
如果此時在按照之前的設置進行配置就會出現死循環
因爲無論是http還是https都是一個"/"

報錯格式:
[root@apache113:30:50network-scripts]#curl -Lk  http://app.a.com
curl: (47) Maximum (50) redirects followed

此時我們就需要用到另外一個關鍵語法:
if(判斷條件) {

}

使用"="和"!="來比較變量與字符串的關係。
使用"~"(對於區分大小寫匹配)和"~*"(不區分大小寫匹配)的操作符來匹配變量的正則表達式。
正則表達式可以包含可用於以後重用的$ 1…$ 9變量的捕獲。
"!~"和"!"!~*"也可用。
如果正則表達式包含"}"或""字符,則整個表達式應該用單引號或雙引號括起來。
用"-f"和"!-f"檢查文件的存在性!
用"-d"和"!-f"檢查目錄的存在性!
用"-e"和"!-e"檢查文件、目錄或符號鏈接的存在!
用"-x"和"!-x"檢查可執行文件

Nginx內置變量:$scheme[獲取http|https]

正確設置方式:
location / {
    if ( $scheme =  http ) {        
        rewrite / https://app.a.com;
    }

}

解析:如果請求協議時http就轉發!

測試結果:
[root@apache113:30:54network-scripts]#curl -Lk  http://app.a.com
<h1>test nginx ssl session page</h1>

return code:
用於結束rewrite規則,並且爲客戶端返回狀態碼
可以使用的狀態碼有 204 400 402-406 500-504等
具體使用:返回提示語句
location /admin {
    return 403 "You can't GET this region";
}

訪問測試:
[root@apache113:44:30network-scripts]#curl -I http://www.c.com/admin
HTTP/1.1 403 Forbidden

具體使用2:直接跳轉其它頁面
location /admin {
    return http://app.a.com;
}  

測試結果:
[root@apache113:46:59network-scripts]#curl -Lk http://www.c.com/admin
<h1>test nginx ssl session page</h1>

rewrite_log on|off
是否把重寫過程記錄再錯誤日誌中,默認級別爲notice級別
默認是off,再繁忙的服務器中不建議打開

設置:
server {
    server_name www.c.com;
    listen 80;
    index index.html;
    root /web/c.com;
    error_log /web/c.com/c.com.erro.log;
    rewrite_log on;
    error_page 404 =302 /404.html;
    location /test2/ {
        try_files $uri /test2/test.html;
    }

    location /admin {
        return http://app.a.com;
    } 
    location /down {
        rewrite /down http://www.c.com/test2;
    } 

}

僅對rewrite語句有效|對return語句不起作用!

set $variable value;  
用戶自定義變量  
注意:變量定義和調用都要以$開

Nginx防盜鏈:

很多情況下,如果我們沒有對我們網站的資源做足夠多
的保護,就很可能被別的網站進行盜鏈活動,這樣會很佔
據我們自己的網絡帶寬!
例如:
我們自己的網站:www.c.com
競爭產品網站:www.a.com
a網站index.html主頁代碼:
[root@www19:20:50a.com]#cat index.html 
<h1>test a.com page for nginx virt</h1>
<img src="http://www.c.com/linux.jpg">
這樣訪問的時候,會在a網站的頁面上出現我們的圖片!
這時候就需要我們運維人員進行設置,防止對方盜鏈:
方法:valid_referers[server|location]

1 定義合規的引用
valid_referers none | blocked | server_names | string ...;
解析:
none:referer爲空,瀏覽器直接訪問referer值爲空,
應該允許訪問
blocked:請求首部中有referer字段,但是referer字段被
清空,通常情況下應該允許訪問
server_names:主機名
regular expression:被指定的正則表達式模式匹配到的字符串,要使用~開頭
arbitrary_string:任意字符串,但可使用*作通配符

2 拒絕不合規的引用
if($invalid_referer) {
     rewrite;
}

具體應用:
c網站運維人員設置:
location ~* .*\.(jpg|gif)$ {
    valid_referers none blocked www.c.com *.c.com;
    if ($invalid_referer) {
        rewrite ^/ http://www.c.com/test2/index.html;
    }
}   

這樣再次訪問a網站的時候就不會被盜鏈了!
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

salesforce零基礎學習(一百三十九)Admin篇之Begins/Contains/Starts With 是否區分大小寫

本篇參考: https://help.salesforce.com/s/articleView?id=sf.customize_functions_begins.htm&type=5 https://help.salesforce.com/

zero.zhang 2024-05-23 14:32:02

freebsd、openbsd、netbsd的區別

開源BSD有三大系列:freebsd、openbsd、netbsd。其實Mac OS X也是BSD系列,只不過是商業。 1.FreeBSD FreeBSD是從386BSD的基礎上 發展起來的,而386BSD是由伯克利的計算機科學家Bill

zhjh256 2024-05-23 14:31:31

【dubbo】telnet 連接dubbo不支持ls命令解決方法

現象 dubbo服務的默認端口是20880,按照網上教程想查看dubbo服務,報錯 telnet 127.0.0.1 20880 dubbo>lsDubbo Telnet Unsupported command: ls 原因 Pleas

金大鑫要堅持 2024-05-23 14:29:51

微服務實踐k8s&dapr開發部署實驗(1)服務調用

前置條件 安裝docker與dapr: 手把手教你學Dapr - 3. 使用Dapr運行第一個.Net程序 安裝k8s dapr 自託管模式運行 新建一個webapi無權限項目 launchSettings.json中applica

hiningrise 2024-05-23 14:28:01

2018 年上半年數據庫系統工程師考試

基礎知識 ● 計算機運行過程中,遇到突發事件,要求 CPU 暫時停止正在運行的程序,轉去爲突發事件服務,服務完畢,再自動返回原程序繼續執行,這個過程稱爲__(1),其處理過程中保存現場的目的是(2)__。 (1)A.阻塞 B.中斷 C.動態

王陸 2024-05-23 14:27:10

2020年上半年數據庫系統工程師考試

基礎知識 ● 下列屬於 CPU 中算術邏輯單元的部件是(1)。 (1)A、程序計數器 ​ B、加法器 ​ C、指令寄存器 ​ D、指令譯碼器 參考答案:(1)B ● 在 CPU 和主存之間設置

王陸 2024-05-23 14:27:10

2019 年上半年數據庫系統工程師考試

基礎知識 ● 計算機執行程序時,CPU中(1)的內容是一條指令的地址。 (1)A、運算器 B、控制器 C、程序計數器 D、通用寄存器 參考答案:(1)C ● DMA控制方式是在(2)之間直接建立數據通路進行數據的交換處理。 (2)A、CPU

王陸 2024-05-23 14:27:10

Flink雙流Join

   Flink雙流Join分爲window join、internal join、connect、維表廣播等方法,其中window join又分爲Tumbling Window Join、Sliding Window Join、Sessi

人不瘋狂枉一生 2024-05-23 14:25:50

.NET快速實現網頁數據抓取

前言 今天我們來講講如何使用.NET開源(MIT License)的輕量、靈活、高性能、跨平臺的分佈式網絡爬蟲框架DotnetSpider來快速實現網頁數據抓取功能。 注意:爲了自身安全請在國家法律允許範圍內開發網頁爬蟲功能。 網頁數據

追逐時光 2024-05-23 14:25:17

解密Prompt系列29. LLM Agent之真實世界海量API解決方案:ToolLLM & AnyTool

很早之前我們就聊過ToolFormer,Gorilla這類API調用的Agent範式,這一章我們針對真實世界中工具調用的以下幾個問題,介紹微調(ToolLLM)和prompt(AnyTool)兩種方案。 真實世界的API數量龐大且多樣:之

風雨中的小七 2024-05-23 14:25:10

第五節:基於Canal實現MySQL到Redis緩存數據同步

一.                二.                三.                  ! 作       者 : Yaopengfei(姚鵬飛) 博客地址 : http://www.cnblogs.com

Yaopengfei 2024-05-23 14:24:29

微服務下認證授權框架的探討

前言 市面上關於認證授權的框架已經比較豐富了,大都是關於單體應用的認證授權,在分佈式架構下,使用比較多的方案是--<應用網關>,網關裏集中認證,將認證通過的請求再轉發給代理的服務,這種中心化的方式並不適用於微服務,這裏討論另一種方案--<認

提伯斯 2024-05-23 14:23:09

python讀取 json文件的方法

import json with open ('ocr結構化輸出/10000.json') as f: #調用的高精度騰旭ocr tmp=f.read() tengxunjieguo=json.loads(tmp) 別使用js

張博的博客 2024-05-23 14:22:49

nodejs在typescript項目中申明全局變量

這樣做的目的是避免循環引用,編寫多餘的類型文件 //global.d.ts import type { A } from "./a"; import type { B } from "./b"; declare global {

Ajanuw 2024-05-23 14:19:09

一對多的時候,用逗號分隔,存id,還是建表存id

在數據庫設計中,處理一對多關係時,是否使用逗號分隔的ID列表(也稱爲“序列化”或“規範化不足”的方法)或創建一個新的關聯表來存儲這些ID,是一個常見的決策點。 以下是兩種方法的比較和考慮因素: 1. 使用逗號分隔的ID列表 優點: 簡單易

uper超人 2024-05-23 14:18:19