https://support.qbpro.ru/index.php?action=history&feed=atom&title=Nginx_%E2%80%94_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%82%D0%B0_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0Nginx — настройка запрета доступа - История изменений2026-04-03T17:44:25ZИстория изменений этой страницы в викиMediaWiki 1.38.1https://support.qbpro.ru/index.php?title=Nginx_%E2%80%94_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%82%D0%B0_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0&diff=784&oldid=previmported>Vix: Новая страница: «== '''Как конфигурацией Nginx закрыть доступ к файлам/папке по паролю.'''== В конфигурационном …»2013-09-01T00:47:54Z<p>Новая страница: «== '''Как конфигурацией Nginx закрыть доступ к файлам/папке по паролю.'''== В конфигурационном …»</p>
<p><b>Новая страница</b></p><div>== '''Как конфигурацией Nginx закрыть доступ к файлам/папке по паролю.'''==<br />
В конфигурационном файле, в папке, которую хотим закрыть надо только указать файл, где хранятся пароли.<br />
Вот 2 примера для закрытия папки с файлами:<br />
<br />
location ^~ /files/ {<br />
root /path/to/server;<br />
autoindex on;<br />
autoindex_exact_size off;<br />
auth_basic "Hello, please login";<br />
auth_basic_user_file /usr/nginx/passwords;<br />
access_log /usr/nginx/logs/files.log download;<br />
}<br />
<br />
и админовской части c дополнительным ограничением по IP:<br />
<br />
location ^~ /admin/ {<br />
fastcgi_pass unix:/home/project/server.sock;<br />
include conf/fastcgi.conf;<br />
allow 11.11.0.0/16;<br />
allow 22.22.22.22;<br />
deny all;<br />
auth_basic "Hello, Admin, please login";<br />
auth_basic_user_file /usr/nginx/adminpassword;<br />
access_log /usr/nginx/logs/admin.log main;<br />
}<br />
<br />
Добавить пользователя можно с помощью стандартной утилиты от apache:<br />
<br />
htpasswd -b passwords NewUser NewPassword<br />
<br />
В файле запись с зашифрованным паролем имеет вид:<br />
<br />
NewUser:P47gh66kloG78: Your Can Comment Here<br />
<br />
Защиту от перебора паролей можно организовать одновременно двумя методами, основанными на использовании iptables:<br />
* Блокирование IP на время, если количество запросов в секунду превышает какое-либо разумное количество<br />
* Вести лог неудачных попыток подбора пароля и скриптом раз в минуту проверять лог и заносить IP адреса в iptables<br />
Для первого варианта достаточно создать правила:<br />
<br />
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW<br />
-m recent --name bhttp --set<br />
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -m state --state NEW<br />
-m recent --name bhttp --update --seconds 120<br />
--hitcount 360 -j DROP<br />
iptables -A INPUT -p tcp --syn --dport 80 -i eth0 -j ACCEPT<br />
<br />
Можно вместо DROP использовать TARPIT, чтобы усложнить жизнь ломателям <br />
Для второго варианта надо добавить в конфиг:<br />
<br />
location /401.html {<br />
root /usr/nginx;<br />
access_log /usr/nginx/logs/denied.log error401;<br />
}<br />
<br />
Формат error401, у меня например такой:<br />
<br />
log_format error401 '$remote_addr - $remote_user [$time_local] '<br />
'$status "$request"';<br />
<br />
[http://linux.nedze.com/nginx-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%82%D0%B0-%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/ статья тут]</div>imported>Vix