当前位置: 首页 > news >正文

访问控制、用户认证、https - 实践

访问控制、用户认证、https - 实践

访问控制、用户认证、https

一、访问控制

用于location

allow # 设定允许哪台或哪些主机访问,多个参数间用空格隔开
 deny # 设定禁止哪台或哪些主机访问,多个参数间空格隔开
# 仅允许192.168.100.20访问
  server {
         listen       80;
         server_name  localhost;
 ​
         #charset koi8-r;
 ​
         #access_log  logs/host.access.log  main;
 ​
         location / {
             echo "Hellow World";
             allow 192.168.100.20;
             deny all;
         }
# 192.168.100.20主机访问
 curl 192.168.100.10
 Hellow World
 # 本机cmd访问(192.168.100.1)
 curl 192.168.100.10
 
 403 Forbidden
 
 

403 Forbidden

 
nginx/1.24.0
   

stub-status模块

stub_status模块主要作用于查看nginx的一些状态信息

server {
         listen       80;
         server_name  localhost;
 ​
         #charset koi8-r;
 ​
         #access_log  logs/host.access.log  main;
 ​
         location /status {
             echo "Hellow World";
             stub_status on;
         }
curl 192.168.100.10/status
 ​
 Active connections: 1
 server accepts handled requests
  4 4 4
 Reading: 0 Writing: 1 Waiting: 0
Active connections: # 当前nginx正在处理的活动连接数
 server accepts handled requests
  4 4 4    # nginx总共处理了4个连接,成功创建4次握手,总共处理了4个请求
 Reading: # nginx读取到客户端的Header信息数
 Writing: # nginx返回给客户端的Header信息数
 Waiting: # 开启keep-alive的情况下,这个值等于active-(reading+writing),意思就是nginx已经处理完成,正在等候下一次请求指令的驻留连接。所以,在访问效率高、请求很快就被处理完毕的情况下,waiting数比较多是正常的。如果reading+writing数较多,则说明并发访问量非常大,正在处理过程中。

二、用户认证

auth_basic "欢迎信息";
 auth_basic_user_file "/path/to/user_auth_file";
 # user_auth_file内容格式
 username:password
 # 这里的密码为加密后的密码串,建议用htpasswd来创建文件
 htpasswd -c -m /path/to/.user_auth_file USERNAME

2.1 安装httpd-tools软件包

yum -y install httpd-tools

2.2 创建用户密钥文件

cd /usr/local/nginx/conf/
 htpasswd -c -m .user_auth_file ldh

2.3 配置nginx

# auth_basic_user_file必须用绝对路径
 server {
         listen       80;
         server_name  localhost;
 ​
         #charset koi8-r;
 ​
         #access_log  logs/host.access.log  main;
 ​
         location /status {
             stub_status on;
             auth_basic "Hello World";
             auth_basic_user_file "/usr/local/nginx/conf/.user_auth_file";
         }
         
 nginx -s reload

2.4 验证

浏览器访问192.168.100.10/status

三、https配置

环境说明:

nginx服务器 192.168.100.10

CA服务器 192.168.100.20

3.1 在CA服务器生成一对密钥

# 生成私钥
 cd /etc/pki/CA/
 (umask 077;openssl genrsa -out private/cakey.pem 2048)
 # 生成公钥
 openssl rsa -in private/cakey.pem -pubout

3.2 在CA服务器生成自签名证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 1024
CN HB WH LQ linux ca root@example.com

3.3 在nginx服务器生成证书,并发送给CA

cd /usr/local/nginx/conf/
(umask 077;openssl genrsa -out httpd.key 2048)openssl req -new -key httpd.key -days 1024 -out httpd.csr
CN HB WH LQ linux nginx root@example.comscp httpd.csr root@192.168.100.20:/etc/pki/CA/

3.4 在CA服务器上签署证书并发送给nginx

cd /etc/pki/CA/
touch index.txt
echo 10 > serial
openssl ca -in httpd.csr -out ./httpd.crt -days 1024scp httpd.crt root@192.168.100.10:/usr/local/nginx/conf/
scp cacert.pem root@192.168.100.10:/usr/local/nginx/conf/

3.5 nginx服务器配置https

server {listen       443 ssl;server_name  localhost;ssl_certificate httpd.crt;ssl_certificate_key httpd.key;ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers  HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers  on;location / {root   html;index  index.html index.htm;echo "Hello Hello" > /usr/local/nginx/html/index.htmlnginx -s reload
http://www.hskmm.com/?act=detail&tid=24220

相关文章:

  • GO_基础
  • sg.完整布局演示
  • sg.justification用法
  • Set
  • SCCPC2021重现赛
  • Ros2_control浅析——一个机器人开发通用框架的结构(1)
  • 图的计数问题没做
  • 11_linux镜像下载
  • CF2152 Squarepoint Challenge (Codeforces Round 1055, Div. 1 + Div. 2) 游记
  • 框架系统在自然语言处理深度语义分析中的作用、挑战与未来展望 - 实践
  • 10_windows11安装virtualbox
  • 9_windows11安装docker
  • 英语语法填空
  • 从涌现到戏台:AI元人文构想的演进历程
  • 题解:P14124 [SCCPC 2021] Nihongo wa Muzukashii Desu
  • QBXT2025S Day3题
  • python+vue在线视频课程学习系统设计(源码+文档+调试+基础修改+答疑) - 详解
  • pdf翻译
  • 【做题记录】CF2600左右有趣的思维题1
  • 【Android】RuntimeShader 应用
  • 【Rive】rive-android源码分析
  • zkSync Era主网上线:首个zkEVM全面开放的技术突破
  • Microsoft Access SQL 查询中的通配符 - 详解
  • 洛谷P11738 [集训队互测 2015] 未来程序改
  • mcp 面试题
  • 【开题答辩过程】以《基于SpringBoot+Vue+uni-app的智慧校园服务系统的设计与搭建》为例,不会开题答辩的可能进来看看
  • 6_什么是知识图谱
  • 微信ipad协议个微机器人开发API
  • 学习方法
  • ai提交消息常用的 chore,原来是个单词(琐事/零散任务)+约定,用于非功能性提交