# 访问控制

## deny_allow

Nginx的deny和allow指令是由ngx_http_access_module模块提供，Nginx安装默认内置了该模块。
除非在安装时有指定 --without-http_access_module。

### 语法

语法：allow/deny address | CIDR | unix: | all

它表示，允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意：unix在1.5.1中新加入的功能。

在nginx中，allow和deny的规则是按顺序执行的。

### 示例1

```
location /
{
    allow 192.168.0.0/24;
    allow 127.0.0.1;
    deny all;
}
```
说明：这段配置值允许192.168.0.0/24网段和127.0.0.1的请求，其他来源IP全部拒绝。

### 示例2：

```
location ~ "admin"
{
    allow 110.21.33.121;
    deny all
}
```
说明：访问的uri中包含admin的请求，只允许110.21.33.121这个IP的请求。

## 基于location的访问控制

在生产环境中，我们会对某些特殊的请求进行限制，比如对网站的后台进行限制访问。
这就用到了location配置。

### 示例1

```
location /aming/
{
    deny all;
}
```
说明：针对/aming/目录，全部禁止访问，这里的deny all可以改为return 403.

### 示例2

```
location ~ ".bak|\.ht"
{
    return 403;
}

测试链接举例：
1. www.centos.com/123.bak
2. www.centos.com/aming/123/.htalskdjf
```
说明：访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码。

### 示例3

```
location ~ (data|cache|tmp|image|attachment).*\.php$
{
    deny all;
}

测试链接举例：
1. www.centos.com/aming/cache/1.php
2. www.centos.com/image/123.phps
3. www.centos.com/aming/datas/1.php
```
说明：请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的，全部禁止访问。

## Nginx基于$document_uri的访问控制

这就用到了变量$document_uri，根据前面所学内容，该变量等价于$uri，其实也等价于location匹配。

### 示例1
```
if ($document_uri ~ "/admin/")
{
    return 403;
}

测试链接：
1. www.centos.com/123/admin/1.html 匹配
2. www.centos.com/admin123/1.html  不匹配
3. www.centos.com/admin.php  不匹配
```
说明：当请求的uri中包含/admin/时，直接返回403.

if结构中不支持使用allow和deny。

### 示例2
```
if ($document_uri = /admin.php)
{
    return 403;
}

测试链接：
1. www.centos.com/admin.php 匹配
2. www.centos.com/123/admin.php  不匹配
```
说明：请求的uri为/admin.php时返回403状态码。

### 示例3
```
if ($document_uri ~ '/data/|/cache/.*\.php$')
{
    return 403;
}

测试链接：
1. www.centos.com/data/123.php  匹配
2. www.centos.com/cache1/123.php 不匹配
```
说明：请求的uri包含data或者cache目录，并且是php时，返回403状态码。

## nginx基于$request_uri访问控制

$request_uri比$docuemnt_uri多了请求的参数。
主要是针对请求的uri中的参数进行控制。

### 示例
```
if ($request_uri ~ "gid=\d{9,12}")
{
    return 403;
}

测试链接：
1. www.centos.com/index.php?gid=1234567890&pid=111  匹配
2. www.centos.com/gid=123  不匹配
```
说明：\d{9,12}是正则表达式，表示9到12个数字，例如gid=1234567890就符号要求。

背景知识：
曾经有一个客户的网站cc攻击，对方发起太多类似这样的请求：/read-123405150-1-1.html
实际上，这样的请求并不是正常的请求，网站会抛出一个页面，提示帖子不存在。
所以，可以直接针对这样的请求，return 403状态码。
## Nginx基于$user_agent的访问控制
user_agent大家并不陌生，可以简单理解成浏览器标识，包括一些蜘蛛爬虫都可以通过user_agent来辨识。  
通过观察访问日志，可以发现一些搜索引擎的蜘蛛对网站访问特别频繁，它们并不友好。  
为了减少服务器的压力，其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉。  
另外，一些cc攻击，我们也可以通过观察它们的user_agent找到规律。  

### 示例
```bash
server
{
  listen 8080;
  server_name www.123.com;
  if ($http_user_agent ~ 'curl|baidu')
  {
         return 403;
  }
  location / {
         echo "www.123.com";
  }
}
```

### 验证
```bash
[root@rocky vhosts]# curl -x127.0.0.1:8080 www.123.com -I
HTTP/1.1 403 Forbidden
Server: nginx/1.23.1
Date: Thu, 25 Aug 2022 10:10:04 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

[root@rocky vhosts]# curl -x127.0.0.1:8080 -A "WINDOWS" www.123.com -I
HTTP/1.1 200 OK
Server: nginx/1.23.1
Date: Thu, 25 Aug 2022 10:10:16 GMT
Content-Type: application/octet-stream
Connection: keep-alive

[root@rocky vhosts]# curl -x127.0.0.1:8080 -A "baidu" www.123.com -I
HTTP/1.1 403 Forbidden
Server: nginx/1.23.1
Date: Thu, 25 Aug 2022 10:10:22 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
```

## 基于$http_referer的访问控制
在前面讲解rewrite时，曾经用过该变量，当时实现了防盗链功能。  
其实基于该变量，我们也可以做一些特殊的需求。  

### 示例
背景：网站被黑挂马，搜索引擎收录的网页是有问题的，当通过搜索引擎点击到网站时，却显示一个博彩网站。  
由于查找木马需要时间，不能马上解决，为了不影响用户体验，可以针对此类请求做一个特殊操作。  
比如，可以把从百度访问的链接直接返回404状态码，或者返回一段html代码。  
```bash
server
{
  listen 8080;
  server_name www.123.com;
  if ($http_referer ~* 'baidu')
  {
         return 405;
  }
  location / {
         echo "www.123.com";
  }
}
```

### 验证
```bash
[root@rocky vhosts]# curl -x127.0.0.1:8080 -e "www.bai1du.com" www.123.com
www.123.com
[root@rocky vhosts]# curl -x127.0.0.1:8080 -e "www.Baidu.com" www.123.com
<html>
<head><title>405 Not Allowed</title></head>
<body>
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.23.1</center>
</body>
</html>
```

## Nginx的限速
限速功能可以限制客户端的访问速度，以防止DDOS攻击等。  
可以通过ngx_http_limit_conn_module和ngx_http_limit_req_module模块来实现限速的功能。这两个模块默认编译有自带。

### ngx_http_limit_conn_module模块
该模块主要限制下载速度。

#### 连接并发限制
```bash
http
{
    ...
    limit_conn_zone $binary_remote_addr zone=linyi:10m;
    #limit_conn_status 503;         # 设置响应状态码
    #limit_conn_log_level error;    # 设置日志级别
    #limit_req_zone $binary_remote_addr zone=linyi:10m rate=2r/s;   # 设置速率
    ...
    server
    {
        ...
        limit_conn aming 10;
        ...   
    }
}
```
> 说明：  
> 1. 首先用limit_conn_zone定义了一个内存区块索引linyi，大小为10m，它以$binary_remote_addr作为key。(该配置只能在http里面配置，不支持在server里配置。)
> 2. 然后用limit_conn定义针对linyi这个zone的并发限制，限制为10。10指的是单个IP的并发数最多为10个。(该配置可以在server里配置，也可以在location里配置。)

#### 下载速度限制
```bash
http
{
    ...
    limit_conn_zone $binary_remote_addr zone=linyi:10m;
    limit_conn_status 503;         # 设置响应状态码
    limit_conn_log_level error;    # 设置日志级别
    ...
        location ~ /download/ {
            ...
            limit_rate_after 512k;
            limit_rate 150k;
            ...
        }
}
```
> 说明：  
> 1. limit_rate_after定义当一个文件下载到指定大小（本例中为512k）之后开始限速；
> 2. limit_rate 定义下载速度为150k/s。
> 3. 注意：这两个参数针对每个请求限速。

### ngx_http_limit_req_module模块
该模块主要用来限制请求数。  
两个模块之间有区别，一个连接中可以有多个请求。

#### limit_req_zone
```bash
语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http

设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量。 
键的值就是指定的变量（空值不会被计算）。
如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

说明：区域名称为one，大小为10m，平均处理的请求频率不能超过每秒一次,键值是客户端IP。
使用$binary_remote_addr变量， 可以将每条状态记录的大小减少到64个字节，这样1M的内存可以保存大约1万6千个64字节的记录。
如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回 503 (Service Temporarily Unavailable)错误。
速度可以设置为每秒处理请求数和每分钟处理请求数，其值必须是整数，
所以如果你需要指定每秒处理少于1个的请求，2秒处理一个请求，可以使用 “30r/m”。
```
#### limit_req
```bash
语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location

设置对应的共享内存限制域和允许被处理的最大请求数阈值。 
如果请求的频率超过了限制域配置的值，请求处理会被延迟，所以所有的请求都是以定义的频率被处理的。 
超过频率限制的请求会被延迟，直到被延迟的请求数超过了定义的阈值，
这时，这个请求会被终止，并返回503 (Service Temporarily Unavailable) 错误。

这个阈值的默认值为0。如：
limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
server {
    location /upload/ {
        limit_req zone=aming burst=5;
    }
}

限制平均每秒不超过一个请求，同时允许超过频率限制的请求数不多于5个。

如果不希望超过的请求被延迟，可以用nodelay参数,如：

limit_req zone=aming burst=5 nodelay;
```
#### 示例
```bash
http {
    limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;

    server {
        location  ^~ /download/ {  
            limit_req zone=aming burst=5;
        }
    }
}
```

### 设定白名单IP
如果是针对公司内部IP或者lo（127.0.0.1）不进行限速，如何做呢？这就要用到geo模块了。

假如，预把127.0.0.1和192.168.1.0/24网段设置为白名单，需要这样做。
```bash
# 在http { }里面增加：
geo $limited {
    default 1;
    127.0.0.1/32 0;
    192.168.1.0/24 0;
}

map $limited $limit {
	1 $binary_remote_addr;
    0 "";
}
```
原来的 “limit_req_zone $binary_remote_addr ” 改为“limit_req_zone $limit”  

完整示例：
```bash
http {
	geo $limited {
		default 1;
		127.0.0.1/32 0;
		192.168.1.0/24 0;
	}

	map $limited $limit {
		1 $binary_remote_addr;
		0 "";
	}
    
    limit_req_zone $limit zone=linyi:10m rate=1r/s;

    server {
        location  ^~ /download/ {  
            limit_req zone=aming burst=5;
        }
    }
}
```

## Nginx的用户认证

当访问一些私密资源时，最好配置用户认证，增加安全性。

### 步骤和示例

* 安装httpd

```
yum install -y httpd
```

* 使用htpasswd生产密码文件

```
htpasswd -c /usr/local/nginx/conf/htpasswd aming
```

* 配置nginx用户认证

```
    location  /admin/
    {
        auth_basic              "Auth";
        auth_basic_user_file   /usr/local/nginx/conf/htpasswd;
    }
```

* 测试

```
curl -uaming:passwd www.aminglinux.com/admin/1.html
```