Nginxのアクセス制限とセキュリティ設定

Nginx は、軽量、高い同時実行性、柔軟な構成などの特徴を備えた高性能 Web サーバーおよびリバース プロキシであり、実稼働環境で広く使用されています。ただし、構築プロセスが比較的簡単な分、セキュリティ上の問題があり、Nginxにはアクセス制限やセキュリティ設定が必要です。

1. アクセス制限

1. IP 制限

Nginx は、allow ディレクティブと Deny ディレクティブを構成することで IP アドレスへのアクセスを制限できます。たとえば、特定の IP アドレスのみに Nginx へのアクセスを許可するには、次のコードを nginx.conf ファイルに追加します。

location / {
    deny all;
    allow 192.168.1.100;
    allow 10.0.0.0/8;
    allow 172.16.0.0/12;
    allow 192.168.0.0/16;
}

上記のコード スニペットは、すべてのリクエストを拒否し、IP アドレス 192.168 を許可することを意味します。 .1.100 と 10.0 の連続した .0.0/8、172.16.0.0/12、192.168.0.0/16 リクエスト。設定ファイルの http ディレクティブを使用して、グローバルな許可ルールと拒否ルールを設定することもできます。

2. ユーザー エージェントの制限

ユーザー エージェントは、ブラウザなどの HTTP クライアントによって送信される識別文字列で、訪問者であるかどうかを判断するために使用できます。彼自身、または自動化されたプログラム。 Nginx は、if ディレクティブと $http_user_agent 変数を設定することでユーザー エージェントを制限できます。例:

if ($http_user_agent ~* (wget|curl))
{
    return 403;
}

このコードは、ユーザー エージェントに wget またはcurl 文字列が含まれている場合、403 エラー コードが返されることを意味します。 。

3. リファラーの制限

リファラーは HTTP リクエスト ヘッダーのフィールドで、現在のリクエストの送信元アドレスを示します。 Nginx は、if ディレクティブと $http_referer 変数を設定することでリファラーを制限できます。例:

if ($http_referer ~* (baidu.com|google.com))
{
    return 403;
}

このコードの意味は、リファラーに baidu.com または google.com 文字列が含まれている場合、403 エラーが発生するということです。コードが返されます。

2. セキュリティ設定

1. HTTPS 保護

HTTPS は、データが送信プロセス中に SSL/TLS 暗号化アルゴリズムが使用されます。 HTTPS を有効にするには、次のコードを Nginx 構成ファイルに追加します。

server {
    listen 443 ssl;
    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;
    ...
}

ここで、 ssl_certificate と ssl_certificate_key は、SSL 証明書と秘密キーを使用して暗号化を実装します。 HTTPSプロトコルの機能。

2. ファイル ディレクトリへのアクセスを制限

Nginx は、デフォルトで /etc/nginx/html にあるすべてのファイルとサブディレクトリを Web サイトのルート ディレクトリに公開します。 , そのため、ファイル ディレクトリへのアクセスを制限する必要があります。次のコードを nginx.conf 構成ファイルに追加して、ディレクトリ アクセスを制限できます。

location / {
    root /path/to/root;
    index index.html;
    autoindex off;
    location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
        expires 1d;
        add_header Cache-Control "public";
    }
}

上記のコードは、Web サイトのルート ディレクトリを /path/to/root に指定し、autoindex 機能をオフにすることを意味します。ファイル タイプとキャッシュ ポリシーを設定します。

3. セキュリティ ログ

攻撃を適時に検出するために、Nginx のログ機能を有効にすることをお勧めします。次のコードを nginx.conf 構成ファイルに追加して、アクセス ログを記録できます。

http {
    access_log /var/log/nginx/access.log;
    ...
}

ここで、access_log は、Nginx アクセス ログのストレージ パスです。ログはローカル ファイルに保存したり、ELK などのログ分析ツールを使用して分析したりできます。

概要

Nginx のアクセス制限とセキュリティ設定は、Web アプリケーションのセキュリティにとって非常に重要です。アクセスは、IP 制限、ユーザー エージェント制限、リファラー制限などの手段によって制限できます。 Web アプリケーションのセキュリティは、HTTPS を有効にし、ファイル ディレクトリおよびセキュリティ ログへのアクセスを制限することによって向上できます。ただし、これらの対策はWebアプリケーションのセキュリティを向上させるだけであり、安全性を完全に保証するものではないため、ソフトウェアの定期的なバージョンアップや脆弱性への適時修正などの対策がWebアプリケーションのセキュリティを確保するために必要となります。

以上がNginxのアクセス制限とセキュリティ設定の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。