nginx安全规则-欢迎大佬持续补充

105次阅读

共计 4751 个字符，预计需要花费 12 分钟才能阅读完成。

原帖：

https://hostloc.com/thread-1044724-1-1.html

非常感谢大佬的分享
我再补充几条
欢迎大家持续补充

宝塔点击网站，配置文件添加即可

#请求这些敏感词时跳转下载 10g 文件
if ($request_uri ~* “(.gz)|(“)|(.tar)|(admin)|(.zip)|(.sql)|(.asp)|(.rar)|(function)|($_GET)|(eval)|(?php)|(config)|(’)|(.bak)”) {
return 301 http://lg-dene.fdcservers.net/10GBtest.zip;
}
#禁止下载以 XXX 后缀的文件
location ~ .(zip|rar|sql|bak|gz|7z)$
{
return 444;
}
#访问链接里含有 test 直接跳转到公安网
if ($request_uri ~* test=) {
return 301 https://www.mps.gov.cn;
}
#防止 SB 爬虫
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
return 444;
}
#屏蔽非常见蜘蛛爬虫配置
if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
return 444;
}
#禁止某个目录执行脚本
#uploads|templets|data 这些目录禁止执行 PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
return 444;
}

复制代码

网友回复：

注册：我来加一条防止 SB 爬虫。if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {return 444;} 复制代码

老实人二狗：禁止爬虫 if ($http_user_agent ~* “qihoobot|Censys|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|Scrapy|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Ezooms|^$”) {return 404; #禁止爬虫返回 404} 复制代码非指定域名访问 403 if ($host != ‘XX.XX.XX’){return 403; #非指定域名访问返回 403} 复制代码仅允许特定 IP 访问并加上帐号密码验证 root /opt/hostloc/www; allow xx.xx.xx.xx; allow 2xx.xx.x.xx; deny all; auth_basic“test”; auth_basic_user_file htpasswd; 复制代码禁止访问多个目录 location ~ ^/(cron|templates)/ {deny all; break;}复制代码隐藏 nginx 版本号 http 块添加 http {… server_tokens off; …}复制代码禁止非浏览器访问 if ($http_user_agent ~ ^$) {return 412;}复制代码

hpp：那么宝塔怎么用呢

丶 Silently：这才是技术网站该有的样子嘛

hdwan.net： 301 给力

wg58462130： mark 一下

蝙蝠侠： mark

whbchj233：那么宝塔怎么用呢

kn310：点击网站，配置文件

huahua23： 1024，感谢分享

注册：号的大佬 …

注册：感谢大佬

hdwan.net：自己在配置文件最底部加上去吗

飞鱼 8 ：强烈马克！已收藏！！

huahua23：总结一下 if ($request_uri ~* “(.gz)|(“)|(.tar)|(admin)|(.zip)|(.sql)|(.asp)|(.rar)|(function)|($_GET)|(eval)|(?php)|(config)|(’)|(.bak)”) {return 301 http://lg-dene.fdcservers.net/10GBtest.zip;} #禁止下载以 XXX 后缀的文件 location ~ .(zip|rar|sql|bak|gz|7z)$ {return 444;} #访问链接里含有 test 直接跳转到公安网 if ($request_uri ~* test=) {return 301 https://www.mps.gov.cn;} if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {return 444;}复制代码

dole：感谢大佬收藏了

飞鱼 8 ：总结了下 (使用把 #删掉即可 #禁止下载以 zip|rar|sql|bak|gz|7z 后缀的文件 #location ~ .(zip|rar|sql|bak|gz|7z)$ #{# return 444; #} #访问链接里含有 test 直接跳转到公安网 #if ($request_uri ~* test=) #{# return 301 https://www.mps.gov.cn; #} #防止部分所谓的攻击 #if ($request_uri ~* “(.gz)|(“)|(.tar)|(admin)|(.zip)|(.sql)|(.asp)|(.rar)|(function)|($_GET)|(eval)|(?php)|(config)|(’)|(.bak)”) #{# return 301 http://lg-dene.fdcservers.net/10GBtest.zip; #} # 防止机器人 #if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) #{# return 444; #} 复制代码

honey：顶

xieshang：怎么防止被 D 的时候跳转到指定网站呢？有没有这种办法。

老实人二狗：直接 301 到中华共和国公安部

注册： D 是在四层进行了，7 层是无法防御的。

注册：好吧，眼睛喘气去了，没看到那个

奧巴马：禁止爬虫 if ($http_user_agent ~* “qihoobot|Censys|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|Scrapy|HttpClient|MJ12bot|heritrix|EasouSpider|LinkpadBot|Ezooms|^$”) {return 404; #禁止爬虫返回 404} 复制代码非指定域名访问 403 if ($host != ‘XX.XX.XX’){return 403; #非指定域名访问返回 403} 复制代码仅允许特定 IP 访问并加上帐号密码验证 root /opt/hostloc/www; allow xx.xx.xx.xx; allow 2xx.xx.x.xx; deny all; auth_basic“test”; auth_basic_user_file htpasswd; 复制代码禁止访问多个目录 location ~ ^/(cron|templates)/ {deny all; break;}复制代码隐藏 nginx 版本号 http 块添加 http {… server_tokens off; …}复制代码禁止非浏览器访问 if ($http_user_agent ~ ^$) {return 412;}复制代码

螃蟹就得走直线：实用帖，收藏了。

丶 Silently：非指定域名访问 403，大佬多个域名咋添加呢

zidon：厉害了，收藏

皮卡丘：这 TM 才是 hostloc 啊技术贴

yesdage：好东西

seeseexiyou：这个到没试过，试试一下两个 if ($host != ‘XX1.XX.XX’,’xx2.xx.xxx’){return 403; #非指定域名访问返回 403}复制代码 if ($host != ‘XX1.XX.XX|xx2.xxxx.xx’){return 403; #非指定域名访问返回 403}复制代码如果还是不行那就再增加一个 if if ($host != ‘XX1.XX.XX’){return 403; #非指定域名访问返回 403} if ($host != ‘XX2.XX.XX’){return 403; #非指定域名访问返回 403}复制代码

pandaking：好吧，谢谢啦

注册：恶意指向可能触犯法律问题（有人被 cc，直接解析到别人网站这种）小心为上

注册：要收藏了

御坂：那就指向到麻豆

怪人：这头像

正文完