网站最近不知道为什么?被人刷流量了,为了保证可访问性,以及故障的及时排查,于是接入了百度云观测。
接下来的几天里,给我发送了网站有漏洞的通知,我就郁闷了,该封的漏洞不都解决了吗?于是,查看了下详情,原来是:.htaccess可被下载,其实,对于nginx来说,无所谓了,基本上里面的伪静态规则都是我手写的。没涉及到密码等绝对路径的泄密。但是,做过站的都有通病,就是强迫症,没办法,慢慢解决吧。
首先,尝试在.htaccess里面加上通用的
<FilesMatch ".(zip|htaccess|htpasswd|ini|php|sh)$">
Order Allow,Deny
Deny from all事实证明,不行。于是想了下,直接在nginx里面定义下呢?
于是在nginx的规则里加上
location ~ ^.*\.(zip|htaccess|htpasswd|ini|php|sh)$ {
deny all;
}
然后重启了下服务器,果然问题解决了,大家有遇到问题的可以参考下,不懂的可以回复,本人协助解决。
