Linux中國

Linux有問必答:nginx網路伺服器上如何阻止特定用戶代理(UA)

924 views0
By
Share

Nginx中將特定用戶代理列入黑名單

要配置用戶代理阻擋列表,請打開你的網站的nginx配置文件,找到server定義部分。該文件可能會放在不同的地方,這取決於你的nginx配置或Linux版本(如,/etc/nginx/nginx.conf,/etc/nginx/sites-enabled/<your-site>,/usr/local/nginx/conf/nginx.conf,/etc/nginx/conf.d/<your-site>)。

server {
    listen       80 default_server;
    server_name  xmodulo.com;
    root         /usr/share/nginx/html;

    ....
}

在打開該配置文件並找到 server 部分後,添加以下 if 聲明到該部分內的某個地方。

server {
    listen       80 default_server;
    server_name  xmodulo.com;
    root         /usr/share/nginx/html;

    # 大小寫敏感的匹配
    if ($http_user_agent ~ (Antivirx|Arian) {
        return 403;
    }

    #大小寫無關的匹配
    if ($http_user_agent ~* (netcrawl|npbot|malicious)) {
        return 403;
    }

    ....
}

如你所想,這些 if 聲明使用正則表達式匹配了任意不良用戶字元串,並向匹配的對象返回403 HTTP狀態碼。 $http_user_agent是HTTP請求中的一個包含有用戶代理字元串的變數。『~』操作符針對用戶代理字元串進行大小寫敏感匹配,而『~*』操作符則進行大小寫無關匹配。『|』操作符是邏輯或,因此,你可以在 if 聲明中放入眾多的用戶代理關鍵字,然後將它們全部阻擋掉。

在修改配置文件後,你必須重新載入nginx以激活阻擋:

$ sudo /path/to/nginx -s reload

你可以通過使用帶有 「--user-agent」 選項的 wget 測試用戶代理阻擋。

$ wget --user-agent "malicious bot" http://<nginx-ip-address>

管理Nginx中的用戶代理黑名單

目前為止,我已經展示了在nginx中如何阻擋一些用戶代理的HTTP請求。如果你有許多不同類型的網路爬蟲機器人要阻擋,又該怎麼辦呢?

由於用戶代理黑名單會增長得很大,所以將它們放在nginx的server部分不是個好點子。取而代之的是,你可以創建一個獨立的文件,在該文件中列出所有被阻擋的用戶代理。例如,讓我們創建/etc/nginx/useragent.rules,並定義以下面的格式定義所有被阻擋的用戶代理的圖譜。

$ sudo vi /etc/nginx/useragent.rules

map $http_user_agent $badagent {
        default         0;
        ~*malicious     1;
        ~*backdoor      1;
        ~*netcrawler    1;
        ~Antivirx       1;
        ~Arian          1;
        ~webbandit      1;
}

與先前的配置類似,『~*』將匹配以大小寫不敏感的方式匹配關鍵字,而『~』將使用大小寫敏感的正則表達式匹配關鍵字。「default 0」行所表達的意思是,任何其它文件中未被列出的用戶代理將被允許。

接下來,打開你的網站的nginx配置文件,找到裡面包含 http 的部分,然後添加以下行到 http 部分某個位置。

http {
    .....
    include /etc/nginx/useragent.rules
}

注意,該 include 聲明必須出現在 server 部分之前(這就是為什麼我們將它添加到了 http 部分里)。

現在,打開nginx配置定義你的伺服器的部分,添加以下 if 聲明:

server {
    ....

    if ($badagent) {
        return 403;
    }

    ....
}

最後,重新載入nginx。

$ sudo /path/to/nginx -s reload

現在,任何包含有/etc/nginx/useragent.rules中列出的關鍵字的用戶代理將被nginx自動禁止。

via: http://ask.xmodulo.com/block-specific-user-agents-nginx-web-server.html

作者:Dan Nanni 譯者:GOLinux 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽
    Previous
    Next

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    這個站點使用 Akismet 來減少垃圾評論。了解你的評論數據如何被處理

    More in:Linux中國

    Linux中國

    捐贈 Let&apos;s Encrypt,共建安全的互聯網

    隨著 Mozilla、蘋果和谷歌對沃通和 StartCom 這兩家 CA 公司處罰落定,很多使用這兩家 CA 所簽發證書的網站紛紛尋求新的證書籤發商。有一個非盈利組織可以為大家提供了免費、可靠和安全的 SSL 證書服務,這就是 Let's Encrypt 項目。現在,它需要您的幫助
    By Rain
    Linux中國

    關於Linux防火牆iptables的面試問答

    Nishita Agarwal是Tecmint的用戶,她將分享關於她剛剛經歷的一家公司(印度的一家私人公司Pune)的面試經驗。在面試中她被問及許多不同的問題,但她是iptables方面的專家,因此她想分享這些關於iptables的問題和相應的答案給那些以後可能會進行相關面試的人。 所有的問題和相應的答案都基於Nishita Agarwal的記憶並經過了重寫。 嗨,朋友!我叫Nishita Agarwal。我已經取得了理學學士學位,我的專業集中在UNIX和它的變種(BSD,Linux)。它們一直深深的吸引著我。我在存儲方面有1年多的經驗。我正在尋求職業上的變化,並將供職於印度的P
    By Rain
    Linux中國

    Lets Encrypt 已被所有主流瀏覽器所信任

    旨在讓每個網站都能使用 HTTPS 加密的非贏利組織 Lets Encrypt 已經得了 IdenTrust的交叉簽名,這意味著其證書現在已經可以被所有主流的瀏覽器所信任。從這個裡程碑事件開始,訪問者訪問使用了Lets Encrypt 證書的網站不再需要特別配置就可以得到 HTTPS 安全保護了。 Lets Encrypt 的兩個中級證書 ...
    By Rain