使用NGINX+LUA实现WAF功能
一、了解WAF
1.1 什么是WAF
Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。
1.2 WAF的功能
支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
支持URL白名单,将不需要过滤的URL进行定义。
支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
支持URL参数过滤,原理同上。
支持日志记录,将所有拒绝的操作,记录到日志中去
1.3 WAF的特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
1.3WAF与网络防火墙的区别
网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。
web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。
二、使用nginx配置简单实现403和404
2.1 小试身手之rerurn 403
修改nginx配置文件在server中加入以下内容
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
set $block_user_agent 0;
if ( $http_user_agent ~ "Wget|AgentBench"){
set $block_user_agent 1;
}
if ($block_user_agent = 1) {
return 403 ;
}
|
通过其他机器去wget,结果如下
2.2小试身手之rerurn 404
在nginx配置文件中加入如下内容,让访问sql|bak|zip|tgz|tar.gz的请求返回404
1
2
3
4
5
6
7
8
9
|
location ~* "\.(sql|bak|zip|tgz|tar.gz)$"{
return 404
}
|
在网站根目录下放一个tar.gz
1
2
3
|
[root@iZ28t900vpcZ www]# tar zcvf abc.tar.gz wp-content/
|
通过浏览器访问结果如下,404已生效
三、深入实现WAF
3.1 WAF实现规划
分析步骤如下:解析HTTP请求==》匹配规则==》防御动作==》记录日志
具体实现如下:
解析http请求:协议解析模块
匹配规则:规则检测模块,匹配规则库
防御动作:return 403 或者跳转到自定义界面
日志记录:记录到elk中,画出饼图,建议使用json格式
3.2安装nginx+lua
由于nginx配置文件书写不方便,并且实现白名单功能很复杂,nginx的白名单也不适用于CC攻击,所以在这里使用nginx+lua来实现WAF,如果想使用lua,须在编译nginx的时候配置上lua,或者结合OpenResty使用,此方法不需要编译nginx时候指定lua
3.2.1 编译nginx的时候加载lua
环境准备:Nginx安装必备的Nginx和PCRE软件包。
1
2
3
4
5
6
7
8
9
|
cd /usr/local/src
wget http://nginx.org/download/nginx-1.9.4.tar.gz
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.37.tar.gz
|
其次,下载当前最新的luajit和ngx_devel_kit (NDK),以及春哥编写的lua-nginx-module
1
2
3
4
5
6
7
8
9
|
wget http://luajit.org/download/LuaJIT-2.0..tar.gz
wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz
wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz
|
最后,创建Nginx运行的普通用户
1
2
3
|
useradd -s /sbin/nologin -M www
|
解压NDK和lua-nginx-module
1
2
3
4
5
6
|
tar zxvf v0.2.19.tar.gz
tar zxvf v0.9.16.tar.gz
|
安装LuaJIT Luajit是Lua即时编译器
1
2
3
4
5
6
7
8
9
|
tar zxvf LuaJIT-2.0.3.tar.gz
cd LuaJIT-2.0.3
make && make install
|
安装Nginx并加载模块
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
tar zxvf nginx-1.9.4.tar.gz
cd nginx-1.9.4
export LUAJIT_LIB=/usr/local/lib
export LUAJIT_INC=/usr/local/include/luajit-2.0
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module --add-module=../ngx_devel_kit-0.2.19/ --add-module=../lua-nginx-module-0.9.16/ --with-pcre=/usr/local/src/pcre-8.37
make -j2 && make install
ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2 #一定创建此软连接,否则报错
|
安装完毕后,下面可以测试安装了,修改nginx.conf 增加第一个配置
1
2
3
4
5
6
7
8
9
10
11
12
|
location /hello {
default_type 'text/plain';
content_by_lua 'ngx.say("hello,lua")';
}
|
1
2
3
4
5
6
|
/usr/local/nginx-1.9.4/sbin/nginx –t
/usr/local/nginx-1.9.4/sbin/nginx
|
效果如下
3.2.3 Openresty部署
安装依赖包
1
2
3
|
yum install -y readline-devel pcre-devel openssl-devel
|
下载并编译安装openresty
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
cd /usr/local/src
wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz
tar zxf ngx_openresty-1.9.3.2.tar.gz
cd ngx_openresty-1.9.3.2
./configure --prefix=/usr/local/openresty-1.9.3.2 --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit
gmake && gmake install
ln -s /usr/local/openresty-1.9.3.2/ /usr/local/openresty
|
测试openresty安装
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
vim /usr/local/openresty/nginx/conf/nginx.conf
server {
location /hello {
default_type text/html;
content_by_lua_block {
ngx.say("HelloWorld")
}
}
}
|
测试并启动nginx
1
2
3
4
5
6
7
8
9
10
11
12
|
/usr/local/openresty/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf test is successful
/usr/local/openresty/nginx/sbin/nginx
|
3.2.4WAF部署
在github上克隆下代码
1
2
3
4
5
6
|
git clone https://github.com/unixhot/waf.git
cp -a ./waf/waf /usr/local/openresty/nginx/conf/
|
修改Nginx的配置文件,加入(http字段)以下配置。注意路径,同时WAF日志默认存放在/tmp/日期_waf.log
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
#WAF
lua_shared_dict limit 50m; #防cc使用字典,大小50M
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";
/usr/local/openresty/nginx/sbin/nginx –t
/usr/local/openresty/nginx/sbin/nginx
|
根据日志记录位置,创建日志目录
1
2
3
4
5
6
|
mkdir /tmp/waf_logs
chown nginx.nginx /tmp/waf_logs
|
3.3学习模块
3.3.1学习配置模块
WAF上生产之前,建议不要直接上生产,而是先记录日志,不做任何动作。确定WAF不产生误杀
config.lua即WAF功能详解
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
|
pwd
/usr/local/nginx/conf/waf
cat config.lua
--WAF config file,enable = "on",disable = "off"
--waf status
config_waf_enable = "on" #是否开启配置
--log dir
config_log_dir = "/tmp/waf_logs" #日志记录地址
--rule setting
config_rule_dir = "/usr/local/nginx/conf/waf/rule-config"
#匹配规则缩放地址
--enable/disable white url
config_white_url_check = "on" #是否开启url检测
--enable/disable white ip
config_white_ip_check = "on" #是否开启IP白名单检测
--enable/disable block ip
config_black_ip_check = "on" #是否开启ip黑名单检测
--enable/disable url filtering
config_url_check = "on" #是否开启url过滤
--enalbe/disable url args filtering
config_url_args_check = "on" #是否开启参数检测
--enable/disable user agent filtering
config_user_agent_check = "on" #是否开启ua检测
--enable/disable cookie deny filtering
config_cookie_check = "on" #是否开启cookie检测
--enable/disable cc filtering
config_cc_check = "on" #是否开启防cc攻击
--cc rate the xxx of xxx seconds
config_cc_rate = "10/60" #允许一个ip60秒内只能访问10此
--enable/disable post filtering
config_post_check = "on" #是否开启post检测
--config waf output redirect/html
config_waf_output = "html" #action一个html页面,也可以选择跳转
--if config_waf_output ,setting url
config_waf_redirect_url = "http://www.baidu.com"
config_output_html=[[ #下面是html的内容
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>网站防火墙</title>
</head>
<body>
<h1 align="center"> # 您的行为已违反本网站相关规定,注意操作规范。详情请联微信公众号:chuck-blog。
</body>
</html>
]]
|
3.4 学习access.lua的配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
pwd
/usr/local/openresty/nginx/conf/waf
cat access.lua
require 'init'
function waf_main()
if white_ip_check() then
elseif black_ip_check() then
elseif user_agent_attack_check() then
elseif cc_attack_check() then
elseif cookie_attack_check() then
elseif white_url_check() then
elseif url_attack_check() then
elseif url_args_attack_check() then
--elseif post_attack_check() then
else
return
end
end
waf_main()
|
书写书序:先检查白名单,通过即不检测;再检查黑名单,不通过即拒绝,检查UA,UA不通过即拒绝;检查cookie;URL检查;URL参数检查,post检查;
3.5 启用WAF并测试
3.5.1模拟sql注入即url攻击
显示效果如下
日志显示如下,记录了UA,匹配规则,URL,客户端类型,攻击的类型,请求的数据
3.5.2 使用ab压测工具模拟防cc攻击
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
|
ab -c 100 -n 100 http://www.chuck-blog.com/index.php
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking www.chuck-blog.com (be patient).....done
Server Software: openresty
Server Hostname: www.chuck-blog.com
Server Port: 80
Document Path: /index.php
Document Length: 0 bytes
Concurrency Level: 100
Time taken for tests: 0.754 seconds
Complete requests: 10
Failed requests: 90 #config.lua中设置的,60秒内只允许10个请求
Write errors: 0
Non-2xx responses: 90
Total transferred: 22700 bytes
HTML transferred: 0 bytes
Requests per second: 132.65 [#/sec] (mean)
Time per request: 753.874 [ms] (mean)
Time per request: 7.539 [ms] (mean, across all concurrent requests)
Transfer rate: 29.41 [Kbytes/sec] received
Connection Times (ms)
min mean[+/-sd] median max
Connect: 23 69 20.2 64 105
Processing: 32 180 144.5 157 629
Waiting: 22 179 144.5 156 629
Total: 56 249 152.4 220 702
Percentage of the requests served within a certain time (ms)
50% 220
66% 270
75% 275
80% 329
90% 334
95% 694
98% 701
99% 702
100% 702 (longest request)
|
3.5.3 模拟ip黑名单
将请求ip放入ip黑名单中
echo “1.202.193.133” »/usr/local/openresty/nginx/conf/waf/rule-config/blackip.rule
显示结果如下
###3.5.4 模拟ip白名单
将请求ip放入ip白名单中,此时将不对此ip进行任何防护措施,所以sql注入时应该返回404
echo “1.202.193.133” »/usr/local/openresty/nginx/conf/waf/rule-config/whiteip.rule
显示结果如下
###3.5.5 模拟URL参数检测
浏览器输入www.chuck-blog.com/?a=select * from table
显示结果如下
详细规定在arg.rule中有规定,对请求进行了规范
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
|
/usr/local/openresty/nginx/conf/waf/rule-config/cat args.rule
\.\./
\:\$
\$\{
select.+(from|limit)
(?:(union(.*?)select))
having|rongjitest
sleep\((\s*)(\d*)(\s*)\)
benchmark\((.*)\,(.*)\)
base64_decode\(
(?:from\W+information_schema\W)
(?:(?:current_)user|database|schema|connection_id)\s*\(
(?:etc\/\W*passwd)
into(\s+)+(?:dump|out)file\s*
group\s+by.+\(
xwork.MethodAccessor
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
xwork\.MethodAccessor
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
java\.lang
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
(onmouseover|onerror|onload)\=
pwd
/usr/local/openresty/nginx/conf/waf/rule-config
|
四、防cc攻击利器之httpgrard
4.1 httpgrard介绍
HttpGuard是基于openresty,以lua脚本语言开发的防cc攻击软件。而openresty是集成了高性能web服务器Nginx,以及一系列的Nginx模块,这其中最重要的,也是我们主要用到的nginx lua模块。HttpGuard基于nginx lua开发,继承了nginx高并发,高性能的特点,可以以非常小的性能损耗来防范大规模的cc攻击。
4.2 httpgrard防cc特效
限制访客在一定时间内的请求次数
向访客发送302转向响应头来识别恶意用户,并阻止其再次访问
向访客发送带有跳转功能的js代码来识别恶意用户,并阻止其再次访问
向访客发送cookie来识别恶意用户,并阻止其再次访问
支持向访客发送带有验证码的页面,来进一步识别,以免误伤
支持直接断开恶意访客的连接
支持结合iptables来阻止恶意访客再次连接
支持白名单功能
支持根据统计特定端口的连接数来自动开启或关闭防cc模式
详见github地址,在后续的博文中会加入此功能
五、WAF上线
初期上线只记录日志,不开启WAF,防止误杀
WAF规则管理使用saltstack工具
要知道并不是有了WAF就安全,存在人为因素
https://www.alibabacloud.com/help/zh/doc-detail/31937.htm
目前OSS提供的防盗链方法主要有以下两种:
设置Referer。该操作通过控制台和SDK均可进行,用户可根据自身需求进行选择。
签名URL,适合习惯开发的用户。
本文将提供如下两个示例:
通过控制台设置Referer防盗链
基于PHP SDK动态生成签名URL防盗链
nginx 防盗链
nginx防盗链的方法
一般,我们做好防盗链之后其他网站盗链的本站图片就会全部失效无法显示,但是您如果通过浏览器直接输入图片地址,仍然会显示图片,仍然可以右键图片另存为下载文件!
依然可以下载?这样就不是彻底的防盗了!那么,nginx应该怎么样彻底地实现真正意义上的防盗链呢?
首先,我们来看下nginx如何设置防盗链
如果您使用的是默认站点,也就是说,您的站点可以直接输入服务器IP访问的,使用root登录,修改 /usr/local/nginx/conf/nginx.conf 这个配置文件。
修改/usr/local/nginx/conf/vhost/你的域名.conf 这个配置文件,找到:
1
2
3
|
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ expires 30d;
|
把这一段删掉,修改成:
1
2
3
|
location ~* \.(gif|jpg|png|jpeg)$ { expires 30d; valid_referers none blocke *.hugao8.com www.hugao8.com m.hugao8.com *.baidu.com *.google.com; if ($invalid_referer) { rewrite ^/ http://ww4.sinaimg.cn/bmiddle/051bbed1gw1egjc4xl7srj20cm08aaa6.jpg; #return 404; } }
|
第一行: location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
其中“gif|jpg|jpeg|png|bmp|swf”设置防盗链文件类型,自行修改,每个后缀用“|”符号分开!
第三行:valid_referers none blocked *.grabbyte.com grabbyte.com;
就是白名单,允许文件链出的域名白名单,自行修改成您的域名!*.grabbyte.com这个指的是子域名,域名与域名之间使用空格隔开!
第五行:rewrite ^/ http://www.grabbyte.com/static/images/404.jpg;
这个图片是盗链返回的图片,也就是替换盗链网站所有盗链的图片。
这个图片要放在没有设置防盗链的网站上,因为防盗链的作用,这个图片如果也放在防盗链网站上就会被当作防盗链显示不出来了,盗链者的网站所盗链图片会显示X符号。
这样设置差不多就可以起到防盗链作用了,上面说了,这样并不是彻底地实现真正意义上的防盗链!
我们来看第三行:valid_referers none blocked *.grabbyte.com grabbyte.com;
valid_referers 里多了“none blocked”
我们把“none blocked”删掉,改成
1
2
3
|
valid_referers *.grabbyte.com grabbyte.com;
|
nginx彻底地实现真正意义上的防盗链完整的代码应该是这样的:
1
2
3
|
location ~* \.(gif|jpg|png|jpeg)$ { expires 30d; valid_referers *.hugao8.com www.hugao8.com m.hugao8.com *.baidu.com *.google.com; if ($invalid_referer) { rewrite ^/ http://ww4.sinaimg.cn/bmiddle/051bbed1gw1egjc4xl7srj20cm08aaa6.jpg; #return 404; } }
|
这样您在浏览器直接输入图片地址就不会再显示图片出来了,也不可能会再右键另存什么的。
第五行:rewrite ^/ http://www.grabbyte.com/static/images/404.jpg;
这个是给图片防盗链设置的防盗链返回图片,如果我们是文件需要防盗链下载,把第五行:
1
2
3
|
rewrite ^/ http://www.grabbyte.com/static/images/404.jpg;
|
改成一个链接,可以是您主站的链接,比如把第五行改成:
1
2
3
|
rewrite ^/ http://www.grabbyte.com;
|
这样,当别人输入文件下载地址,由于防盗链下载的作用就会跳转到您设置的这个链接!
最后,配置文件设置完成别忘记重启nginx生效!
一:一般的防盗链如下:
1
2
3
|
location ~* \.(gif|jpg|png|swf|flv)$ { valid_referers none blocked www.grabbyte.com grabbyte.com ; if ($invalid_referer) { rewrite ^/ http://www.grabbyte.com/retrun.html; #return 403; } }
|
第一行:gif|jpg|png|swf|flv
表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
第二行: 表示对 www.ingnix.com 这2个来路进行判断
if{}里面内容的意思是,如果来路不是指定来思是,如果来路不是指定来路就跳转到 http://www.grabbyte.com/retrun.html 页面,当然直接返回403也是可以的。
二:针对图片目录防止盗链
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
location /images/ {
alias /data/images/;
valid_referers none blocked server_names *.xok.la xok.la ;
if ($invalid_referer) {return 403;}
}
|
三:使用第三方模块ngx_http_accesskey_module实现Nginx防盗链
实现方法如下:
-
下载NginxHttpAccessKeyModule模块文件:http://wiki.nginx.org/File:Nginx-accesskey-2.0.3.tar.gz;
-
解压此文件后,找到nginx-accesskey-2.0.3下的config文件。编辑此文件:替换其中的”$HTTP_ACCESSKEY_MODULE”为”ngx_http_accesskey_module”;
-
用一下参数重新编译nginx:
./configure –add-module=path/to/nginx-accesskey
上面需要加上原有到编译参数,然后执行: make && make install
- 修改nginx的conf文件,添加以下几行:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
location /download {
accesskey on;
accesskey_hashmethod md5;
accesskey_arg "key";
accesskey_signature "mypass$remote_addr";
}
|
其中:
accesskey为模块开关;
accesskey_hashmethod为加密方式MD5或者SHA-1;
accesskey_arg为url中的关键字参数;
accesskey_signature为加密值,此处为mypass和访问IP构成的字符串。
访问测试脚本download.PHP:
1
2
3
4
5
6
7
8
9
|
<?php
$ipkey= md5("mypass".$_SERVER['REMOTE_ADDR']); $output_add_key="<a href=http://www.grabbyte.com/download/G3200507120520LM.rar?key=".$ipkey.">download_add_key</a><br />"; $output_org_url="<a href=http://www.grabbyte.com/download/G3200507120520LM.rar>download_org_path</a><br />"; echo $output_add_key; echo $output_org_url;
?>
|
访问第一个download_add_key链接可以正常下载,第二个链接download_org_path会返回403 Forbidden错误。