Nginx 访问控制及安全配置文档

一、文档说明

本文档用于记录 Nginx 服务的访问控制、密码认证及版本隐藏配置,实现指定网段免密访问、其他网段密码验证,同时隐藏 Nginx 版本号以提升安全性,所有配置可直接复制使用,适配主流 Linux 系统(CentOS、Ubuntu 等)。

二、核心配置需求

  • 192.168.34.0/24 网段:免密码直接访问网站根目录
  • 非 192.168.34.0/24 网段(含 192.168.35.*、外网 IP 等):需输入账号密码验证,验证失败/未输入则返回 403 禁止访问
  • 隐藏 Nginx 版本号,避免版本漏洞泄露,提升服务安全性
  • 网站根目录:/data/www,默认索引页为 index.html、index.htm,支持单页应用路由(try_files 配置)

三、详细配置步骤

3.1 密码文件生成(/etc/nginx/.htpasswd)

3.1.1 安装密码生成工具
  • Debian / Ubuntu 系统:
bash 复制代码
apt update && apt install -y apache2-utils
  • CentOS / RHEL / RockyLinux 系统:
bash 复制代码
yum install -y httpd-tools
3.1.2 生成密码文件

执行以下命令,用户名为 admin,按提示输入两次密码:

bash 复制代码
htpasswd -c /etc/nginx/.htpasswd admin
3.1.3 修正密码文件权限
bash 复制代码
chown nginx:nginx /etc/nginx/.htpasswd
chmod 644 /etc/nginx/.htpasswd

3.2 Nginx 核心配置(访问控制+密码认证)

编辑站点配置文件(如 /etc/nginx/conf.d/default.conf),替换 location / 块:

nginx 复制代码
location / {
    # 满足任一条件即可访问(免密网段 或 密码验证)
    satisfy any;

    # 允许指定网段免密访问
    allow 192.168.34.0/24;

    # 禁止其他未验证 IP
    deny all;

    # 基础认证配置
    auth_basic "Restricted Access";
    auth_basic_user_file /etc/nginx/.htpasswd;

    # 站点根目录与首页
    root   /data/www;
    index  index.html index.htm;

    # SPA 路由支持
    try_files $uri $uri/ /index.html last;
}

3.3 隐藏 Nginx 版本号

编辑主配置 /etc/nginx/nginx.conf,在 http {} 中添加:

nginx 复制代码
http {
    # 隐藏版本号
    server_tokens off;

    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    # 其他原有配置不变
}

进阶(彻底隐藏 Server 标识):

nginx 复制代码
http {
    server_tokens off;
    more_set_headers "Server: My-Server";
}

四、配置生效命令

bash 复制代码
# 检查配置语法
nginx -t

# 重启生效
systemctl restart nginx

五、效果验证

访问IP/网段 预期效果 验证方法
192.168.34.* 直接访问,不弹密码框 该网段电脑/服务器访问站点
非 192.168.34.* 弹出密码框,验证失败返回 403 手机热点/其他网段设备访问
任意IP 响应头无 Nginx 版本号 浏览器 F12 Network 查看 Server 头

六、注意事项

  • 密码文件必须使用绝对路径 /etc/nginx/.htpasswd
  • 新增免密网段:追加 allow x.x.x.x/24; 即可
  • 新增用户:htpasswd /etc/nginx/.htpasswd 新用户名(不加 -c)
  • 确保 /data/www 存在且权限正常

七、常见问题排查

  1. 非 34 网段直接 403,不弹密码框 → 缺少 satisfy any;
  2. 密码验证失败 403 → 密码错误或文件权限/路径错误
  3. Nginx 启动失败 → 执行 nginx -t 查看语法错误
  4. 版本号仍显示 → 未在 http{} 配置 server_tokens off; 或未重启
相关推荐
Promise微笑7 分钟前
红外分辨率 160×120、320×240、384×288 与 640×480实战选型指南
大数据·运维·人工智能·物联网
长风2301 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
云飞云共享云桌面1 小时前
单机建模卡顿运维繁琐!中小型机械制造厂云飞云 3D 云桌面落地
运维·服务器·网络·3d·自动化·电脑·负载均衡
donoot1 小时前
一次 Nginx 502 问题的深度排查:从 SELinux 到容器网络
nginx·docker·selinux·反向代理·502 bad gateway
zandy10112 小时前
体验家 XMPlus 批量操作与自动化工作流引擎:让大规模运营从手动执行走向规则驱动
大数据·运维·自动化
技术不好的崎鸣同学3 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*3 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
孟郎郎3 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患
iDao技术魔方4 小时前
Node.js v26.5.0 深度解读:import Text、流式 ReadableStreamTee、以及隐藏的安全加固浪潮
安全·node.js
阿米亚波5 小时前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发