因為google adsense 需要在網域上訪問 ads.txt檔案，

剛好有找到一些方法提供給大家，

• 按目錄匹配 server塊內添加如下內容：

server {
    .
    location ^~ /jsonfolder/ {
        root /home/www/;
    }
    .
}

如果使用post方式將無法正確返回，需要修改nginx的源碼src/http/modules/ngx_http_static_module.c

移除以下內容

if (r->method & NGX_HTTP_POST) {
    return NGX_HTTP_NOT_ALLOWED;
}

執行make命令重新編譯，執行cp objs/nginx /usr/local/nginx/sbin/nginx，將objs目錄下生成nginx命令拷貝到nginx安裝目錄sbin目錄下，重啟即可。(此方法未驗證)

• 按文件後綴匹配

server {
    .
    location ~ \.(txt|json)$ {
        root /home/www/;
    }
    .
}

匹配txt和json的文件就會被顯示出來

Reference

https://blog.csdn.net/ocean20/article/details/80738798

當出現404 403畫面最底部就會顯示nginx版本

其實這也有告訴外面的人你所使用的server application 版本，透過此版本要查到相關漏洞是非常容易。

所以可以透過幾個步驟增加安全

# 修改nginx設定檔案 每個os路徑不一樣
$ sudo nano /etc/nginx/nginx.conf

#在http 內添加server_tokens off; 此可以擋掉版本洩漏問題
http {
   ...
   server_tokens off;
   ...
}

另外可以參考此篇Raspberry pi 安裝 Nginx及擴充module

當完成後module包裡面就有header filter模組

# 修改nginx設定檔案
$ sudo nano /etc/nginx/nginx.conf

# nginx.conf 增加以下內容

# 引用ngx_http_headers_more_filter_module
load_module modules/ngx_http_headers_more_filter_module.so;

http {
    ...
    more_clear_headers Server;
    ...
}

每次請求(request) header也會藏有Server資訊也是會產生洩漏資訊的問題

Reference

https://www.getpagespeed.com/server-setup/nginx/how-to-remove-the-server-header-in-nginx

這篇主要整理作法步驟，此圖講解非常清楚

1. Raspberry pi 安裝 Nginx及擴充module
2. Raspberry pi nginx 增加模組 nginx-module-vts
3. Raspberry pi 安裝 Nginx_vts_exporter
4. Raspberry pi 安裝 Prometheus
5. Raspberry pi 安裝 Grafana

Reference

https://medium.com/@shevtsovav/ready-for-scraping-nginx-metrics-nginx-vts-exporter-prometheus-grafana-26c14816ae7c

https://grafana.com/blog/2019/08/22/homelab-security-with-ossec-loki-prometheus-and-grafana-on-a-raspberry-pi/

直接擴充基本的module

ndk_http_module.so ngx_http_headers_more_filter_module.so
ngx_http_auth_pam_module.so ngx_http_image_filter_module.so ngx_http_xslt_filter_module.so
ngx_http_cache_purge_module.so ngx_http_lua_module.so ngx_mail_module.so
ngx_http_dav_ext_module.so ngx_http_perl_module.so ngx_nchan_module.so
ngx_http_echo_module.so ngx_http_subs_filter_module.so ngx_stream_module.so
ngx_http_fancyindex_module.so ngx_http_uploadprogress_module.so
ngx_http_geoip_module.so ngx_http_upstream_fair_module.so

建議使用此安裝指令方式

$ sudo apt-get nginx nginx-extras nginx-full

進階可以再加入使用Nginx來管控

因為有些網址有url path的管控機制跟ip網域有關

以此為例

location / {
  deny  192.168.1.1;
  allow 192.168.1.0/24;
  allow 10.1.1.0/16;
  allow 2001:0db8::/32;
  deny  all;
}

從上到下的順序，類似iptables。是否符合我們訂製的規範。如上的例子先禁止了192.16.1.1，接下來允許了3個網段，其中包含了一個ipv6，最後未匹配的IP全部禁止訪問.

deny all; 很重要如果沒有加上，上方所寫的allow 大致也不會有用。

Reference

http://www.ttlsa.com/linux/nginx-modules-ngx_http_access_module/

OS:Raspbian Buster

Version:September 2019

Release date:2019-09-26

# 先補足相關套件
$ sudo apt-get install libpcre3 libpcre3-dev openssl libssl-dev libxslt-dev libgd-dev libgeoip-dev libgd2-xpm-dev libgd2-xpm libgd2-xpm-dev libperl-dev

# 查詢nginx 版本
$ sudo nginx -v
#nginx version: nginx/1.14.2

# 下載對應版本
$ wget 'http://nginx.org/download/nginx-1.14.2.tar.gz'
# 解壓縮
$ tar -xzvf nginx-1.14.2.tar.gz

# 下載nginx_module_vts
$ git clone git://github.com/vozlt/nginx-module-vts.git

# 查詢目前nginx setting
$ sudo nginx -V
# 出現如下資訊
# ./configure --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-7du1qr/nginx-1.14.2=.
# -fstack-protector-strong -Wformat -Werror=format-security -fPIC 簡略不列出... 
# --with-stream_ssl_module --with-stream_ssl_preread_module --with-mail=dynamic --with-mail_ssl_module

#進入nginx-1.14.2目錄
$ cd nginx-1.14.2

#輸入剛剛查詢到的資訊，在最後面補上 --add-dynamic-module=../nginx-module-vts
$ ./configure --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-7du1qr/nginx-1.14.2=. 中間簡略不列出
 --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=../nginx-module-vts

#make 製作出檔案
$ make

$ cd /usr/sbin/

# 備份原本的nginx
$ sudo copy nginx nginx.old

# 把剛剛製作出來的nginx複製過來
$ sudo cp ~/nginx-1.14.2/objs/nginx .

# 重啟nginx 
$ sudo service nginx restart

#查詢是否有加入模組
$ sudo nginx -V
#正常會顯示出來最後一行有此句 --add-dynamic-module=../nginx-module-vts

# 將產生的模組放進系統預設地方
sudo cp ~/nginx-1.14.2/objs/ngx_http_vhost_traffic_status_module.so /usr/lib/nginx/modules/

$ sudo nano /etc/nginx/nginx.conf

# 在此兩句下面
# pid /run/nginx.pid;
# include /etc/nginx/modules-enabled/*.conf;
# 新增以下此句
# load_module modules/ngx_http_vhost_traffic_status_module.so;
# http{} 新增此句
# vhost_traffic_status_zone;
# 存擋離開

# 測試nginx是否設定有問題
$ sudo nginx -t

# 測試無誤後，新增網址觀看路徑
$ sudo nano /etc/nginx/sites-enabled/status.conf
# 內容如下
# server {
#	listen 9999;
#	location / {
#		vhost_traffic_status_display;
#		vhost_traffic_status_display_format html;
#	}
#}
# 完成存擋離開

# 重啟nginx
$ sudo service nginx restart

以上成功完成後

開啟 http://localhost:9999/ 網址

即可以看到nginx 狀況 如下圖