平时上传到网站目录,可能会不小心上传了.开头文件(可能是隐藏文件,例如.DS_Store/.htaccess等)有些类似.文件可能会有我们电脑的敏感信息,传到网站造成隐私泄露,当然最可靠的办法是彻底检查下网站目录,然后删除,如何批量检查并删除,请查看我的博客:https://blog.terrynow.com/2021/02/08/linux-shell-find-files-by-pattern-and-process-ie-delete/
但是以防不小心上传,最好还要在nginx配置里设置下不允许访问这类文件,配置如下:
server {
## 其他配置省略
## 不允许访问 .htaccess .DS_Store等 dotFiles
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
}
如果你的网站还需要LetsEncrypt获得SSL证书,可能需要开放.well-known 这个文件夹,可以这样写:
server {
## 其他配置省略
## 不允许访问 .htaccess .DS_Store等 dotFiles
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
}
或者在禁止.文件的前面,再加一个允许.well-known的,如下:
server {
## 其他配置省略
## 允许.well-known
location ~ /\.well-known {
allow all;
}
## 不允许访问 .htaccess .DS_Store等 dotFiles
location ~ /\. {
deny all;
access_log off;
log_not_found off;
}
}
文章评论