WordPress极简博客 WordPress极简博客
  • 新鲜事
  • 战疫情
  • UI素材
    • UI素材
    • 电商/节日
    • PPT
      • 节日庆典
      • 工作汇报
      • 商业计划书
    • word
      • 简历竞聘
      • 合同/公文
  • 创客头条
    • 音乐分享
    • 初创文章
    • 极客头条
    • 生活趣事
    • 生活日记
    • 防骗指南
  • 编程教学
    • API日记
    • Linux安全栏目
      • Linux运维安全汇总
      • DDOS攻击防护
      • XSS攻击防护
      • SQL安全防护
    • Python技术栏目
      • Python基础入门
      • Python基础结构
    • WordPress技术栏目
      • WP主题
      • WordPress技术教程
      • RIPRO主题美化
    • WordPress漏洞发布
    • 技术教程汇总
    • 严选源码
  • 专题
  • 基友
  • 隐私
  • 注册
    登录
立即登录
  • 首页
  • 云优化
  • 新疫情
  • 新鲜事
    • 热文
    • 极客
    • 生活
  • 技术篇
    • WP主题
    • 技术教程
    • Python入门
    • Python基础
  • 专题篇
  • 友链君
首页 Linux安全 nginx动态添加访问白名单

nginx动态添加访问白名单

夏柔 7月 1, 2020

本文实现的功能是:网站启用访问白名单,对于不在白名单中又需要访问的客户,只需打开一个不公开的网址,然后自动获得2小时的访问权限,时间达到后自动删除访问权限

实现此功能需要以下几个步骤:

  1. nginx启用访问白名单
  2. 客户打开指定网址自动添加访问白名单
  3. 为网址添加简单的认证
  4. 每两个小时自动恢复默认白名单,删除临时IP访问权限

一、nginx配置访问白名单

这个就比较简单了,简单贴一下配置:

............nginx.conf...........
geo $remote_addr $ip_whitelist {
default 0;
include ip_white.conf;
}
............server段............
location / {
if ($ip_whitelist = 1) {
break;
}
return 403;
}

二、使用LUA自动添加白名单

nginx需配合lua模块才能实现这个功能,新建一个location,客户访问这个location时,使用lua拿到客户IP并调用shell脚本写入ip_white.conf中,写入后自动reload nginx使配置生效,lua代码:

location /addip {
content_by_lua '

CLIENT_IP = ngx.req.get_headers()["X_real_ip"]
if CLIENT_IP == nil then
    CLIENT_IP = ngx.req.get_headers()["X_Forwarded_For"]
end
if CLIENT_IP == nil then
    CLIENT_IP  = ngx.var.remote_addr
end
if CLIENT_IP == nil then
    CLIENT_IP  = "unknown"
end
    ngx.header.content_type = "text/html;charset=UTF-8";
    ngx.say("你的IP : "..CLIENT_IP.."<br/>");
    os.execute("/opt/ngx_add.sh "..CLIENT_IP.."")
    ngx.say("添加白名单完成,有效时间最长为2小时");
';
}

/opt/ngx_add.sh shell脚本内容:

#!/bin/bash
ngx_conf=/usr/local/nginx/conf/52os.net/ip_white.conf
ngx_back=/usr/local/nginx/conf/52os.net/ip_white.conf.default
result=`cat $ngx_conf |grep $1`

case $1 in

rec)
    rm -rf $ngx_conf 
    cp $ngx_back $ngx_conf
     /usr/local/nginx/sbin/nginx -s reload
 ;;

*)
    if [ -z "$result" ]
       then
         echo  "#####add by web #####" >>$ngx_conf
         echo "$1 1;" >> $ngx_conf
         /usr/local/nginx/sbin/nginx -s reload
     else
         exit 0
     fi
;;
esac

该脚本有两个功能:

  1. 自动加IP并reload nginx
  2. 恢复默认的ip_white.conf文件,配合定时任务可以取消非默认IP的访问权限

nginx主进程使用root运行,shell脚本reload nginx需设置粘滞位:

chown root.root  /usr/local/nginx/sbin/nginx
chmod 4755 /usr/local/nginx/sbin/nginx

nginx需启用lua模块

三、添加简单的认证

使用base auth 添加简单的用户名密码认证,防止非授权访问,生成密码文件:

printf "wpon.cn:$(openssl passwd -crypt 123456)\n" >>/usr/local/nginx/conf/pass

账号:wpon.cn
密码:123456

在刚刚的location中加入:

location /addip {

            auth_basic "nginx auto addIP  for 52os.net";
            auth_basic_user_file /usr/local/nginx/conf/pass; 
            autoindex on;
......Lua代码略......

四、自动恢复默认IP白名单

通过web获得访问权限的IP,设置访问有效期为两小时,我是通过每两小时恢复一次默认的IP白名单文件实现。把ip_white.conf文件复制一份作为默认的白名单模版:

 cp /usr/local/nginx/conf/52os.net/ip_white.conf /usr/local/nginx/conf/52os.net/ip_white.conf.default

使用定时任务每两小时通用上面的shell脚本来恢复,定时任务为:

1 */2 *  *  * root /opt/ngx_add.sh rec
#nginx#shell脚本#不公开网址#限制访问IP#黑名单
1
等 1 人赞过
J2dcg1.png
猜你喜欢
  • 【高危】fastcdn用户数据库表存在明文,修改用户数据无鉴权限制即可增删改
  • fastcdn删除节点数据缺乏身份验证机制
  • fastcdn之SSH列表数据接口
  • fastcdn系统昨日上线发现两个未经身份验证接口
  • 关于宝塔新面板(真实性为止)
  • Nginx添加跨域限制规则
  • 手机号-社交媒体-地理位置开源情报
  • 防止SQL注入的五种方法
  • WordPress去除index.php的方法
  • xss攻击入门
24 4月, 2025
04月24日,星期四, 每天60秒读懂世界!
夏柔
站长
夏山如碧 - 怀柔天下
1724
文章
25
评论
58145K
获赞
版权声明

文章采用创作共用版权 CC BY-NC-ND/2.5/CN 许可协议,与本站观点无关。

如果您认为本文侵犯了您的版权信息,请与我们联系修正或删除。
投诉邮箱wpsite@aliyun.com

栏目推荐
Python基础入门33
WordPress技术教程267
前沿技术情报所22
城市创新——新消费11
最近有哪些不可错过的热文23
程序员的养生之道0
节
春
  • 新鲜事
  • 疫情实况
  • UI素材
  • 技术教程
  • 音乐分享
  • 专题
  • 友情
  • 隐私
  • 云优化
Copyright © 2019-2025 WordPress极简博客. Designed by 夏柔. 辽公网安备21010502000474号 辽ICP备19017037号-2