KeyWeb
1111111111Rating 5.00 (2 Votes)
Nginx не «понимает» .htaccess файлов и выдает их как текстовые файлы. Мой блок всю жизнь работал в связке Nginx + Apache, в какой то момент я перевел его на чистый Nginx, а про .htaccess запамятовал, о чем мне не преминул напомнить один из коллег (Stas), с которым мы познакомились на последнем Def Con в Алматы. Соответственно этот момент быстренько был мною прикрыт, о чем расскажу ниже.

Блокировка скрытых файлов в Nginx

Заблокировать такого типа файлы можно правилом:

location ~ /\. {
	deny all;
}

Исключения

Такое правило будет блокировать все запросы к файлам, начинающимся с «.», например .git, .htaccess, .htpasswd, но есть одно НО, для тех кто использует free SSL сертификаты, генерируется каталог (для верификации), именуемый .well-known, для него делаем исключение вторым правилом:

location ~ /\.well-known\/acme-challenge {
	allow all;
}

Как я когда то защищал .git в Apache описано здесь.

Добавить комментарий


Обновить
Защитный код

KeyWeb

Сейчас 118 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз