86.Apache(httpd)配置--防盗链配置和访问控制

一、配置防盗链

通过防盗链的方式,可以设置限制第三方的站点通过引用的方式获取服务器上的图片,数据等,如果想要获取本站点的图片数据,只能通过本站点访问获取,这样也有效的减少了服务器的资源。
什么是referer?

referer是http数据包的header的一部分,当浏览器其向服务器发送请求时,将带上referer,以此来告诉浏览器该请求时从什么网页链接过来的,浏览器处理该链接并显示。
比如:在A网站的某个也页面http://aaa.com/a.html里面的链接去访问B站的某个页面http://bbb.com/b.html,那么B网站的reffer就是http://aaa.com/a.html

步骤1:修改虚拟主机配置文件

[[email protected] ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 

    <Directory /data/wwwroot/123test>
#       把linuxtest.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://linuxtest.com" local_ref
#       把某个ip设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http:http://120.78.56.104/" local_ref
#       把空referer设为白名单,对应规则Allow;空referer即直接访问的地址
        SetEnvIfNoCase Referer "^$" local_ref
#       对txt、doc等格式的文件执行访问控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
#           白名单地址allow,其他deny
#           执行顺序依次为allow、deny,反过来将导致都被禁止访问
            Order Allow,Deny
#           白名单为local_ref对应的地址
            Allow from env=local_ref
        </FilesMatch>
    </Directory>

[[email protected] ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[[email protected] ~]# /usr/local/apache2/bin/apachectl graceful

二、访问控制(Directory)

限制用户访问部分目录,允许特定ip访问
步骤1:修改虚拟主机配置文件

[[email protected] ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf  //添加以下内容

    <Directory /data/wwwroot/123test/admin/>
        Order deny,allow
#       设定Deny和Allow的先后顺序
        Deny from all
        Allow from 127.0.0.1
#       只允许本地访问
    </Directory>

[[email protected] ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[[email protected] ~]# /usr/local/apache2/bin/apachectl graceful
步骤2:测试是否生效

[[email protected] ~]# curl -x 127.0.0.1:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
HTTP/1.1 200 OK
Date: Tue, 06 Mar 2018 09:40:48 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Cache-Control: max-age=0
Expires: Tue, 06 Mar 2018 09:40:48 GMT
Content-Type: text/html; charset=UTF-8
//来源IP:127.0.0.1访问成功

[[email protected] ~]# curl -x 192.168.204.128.1:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
curl: (5) Could not resolve proxy: 192.168.204.128.1; 未知的名称或服务
[[email protected] ~]# curl -x 192.168.204.128:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
HTTP/1.1 403 Forbidden
Date: Tue, 06 Mar 2018 09:41:41 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
//非来源IP则被阻止访问

三、访问控制(FilesMatch)

限制指定文件的访问
步骤1:修改配置文件

[[email protected] ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf    //加入以下内容

<Directory /data/wwwroot/123test>

    //对文件admin.php进行限制
    <FilesMatch  "admin.php(.*)">
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

[[email protected] ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[[email protected] ~]# /usr/local/apache2/bin/apachectl graceful
步骤2:测试

[[email protected] ~]# curl -x 127.0.0.1:80 http://linuxtest.com/admin/admintest.php?123 -I
HTTP/1.1 404 Not Found
Date: Tue, 21 Nov 2017 15:12:34 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

//说明:使用允许的ip访问,由于文件不存在,返回404状态码

四、访问控制(user_agent)

user_agent(用户代理):是指浏览器(搜索引擎)的信息包括硬件平台、系统软件、应用软件和用户个人偏好。
有时候网站受到CC攻击,其原理是:攻击者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装。CC攻击的一个特点就是其useragent是一致的,所以,可以通过限制攻击者useragent的方法来阻断其攻击。
步骤1:修改配置文件

[[email protected] 123test]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf

    <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]
#      NC表示忽略大小写,OR选项表示或者(不加任何选项表并且)连接下一个条件,F=forbidden禁止。
    </IfModule>

[[email protected] 123test]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[[email protected] 123test]# /usr/local/apache2/bin/apachectl graceful
步骤2:测试

[[email protected] 123test]# curl -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 403 Forbidden
Date: Wed, 07 Mar 2018 07:01:54 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

[[email protected] 123test]# curl -A "www.baidu.com" -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 403 Forbidden
Date: Wed, 07 Mar 2018 07:02:20 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
//-A指定user_agent
[[email protected] 123test]# curl -A "www" -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 200 OK
Date: Wed, 07 Mar 2018 07:02:29 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Cache-Control: max-age=0
Expires: Wed, 07 Mar 2018 07:02:29 GMT
Content-Type: text/html; charset=UTF-8
第一个和第二个分别匹配对应条件,所以状态码是403。

原文地址:http://blog.51cto.com/sdwaqw/2085287

时间: 2024-10-25 01:57:29

86.Apache(httpd)配置--防盗链配置和访问控制的相关文章

11.25 配置防盗链 11.26 访问控制Directory 11.27 访问控制FilesMat

11.25 配置防盗链 11.26 访问控制Directory 11.27 访问控制FilesMatch 11.25 配置防盗链 11.26 访问控制Directory 11.27 访问控制FilesMatch 原文地址:http://blog.51cto.com/wbyyy/2083777

11.25 配置防盗链11.26 访问控制Directory11.27 访问控制FilesMatch

11.25 配置防盗链vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf检查与加载配置文件测试在浏览打开图片站点提示错误这时候在第三方站点(ask.apelearn.com)发布超链接,将第三方站点加入白名单就可以访问了点击超链接就可以打开网站图片了再模拟成111.com就状态码变成200注意referer不能随便写一定要写成http://11.26 访问控制Directory这种访问控制是用目录来做的vim /usr/local/apac

Apache和Nginx防盗链的几种配置方法

要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫 referer,采用URL的格式来表示从哪儿链接到当前的网页或文件.换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源 文件,则可以跟踪到显示它的网页地址.有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返 回指定的页面. Nginx防盗链的配置 1.nginx针对文件类型的防盗链配置

Apache网页优化 ---配置防盗链

防盗链概述 防盗链就是防止别人的网站代码里面盗用服务器的图片文件.视频等相关资源.如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力.所以作为网站的维护人员,要杜绝我们服务器的静态资源被其他网站盗用. 配置规则变量说明 %{HTTP_ REFERER}:浏览header中的链接字段,存放一一个链接的URL,代表是从哪个链接访问所需的网页!^:不以后面的字符串开头.*$: 以任意字符结尾NC:不区分大写R:强制跳转 规则匹配说明 RewriteEngine On:打开网页重写功能Rew

Apache 防盗链配置

盗链 网站内有许多的图片地址,或一些我们可以用到的资源,在这种情况下,我可以通过赋值其他图片链接地址,到我自己的平台上,这样相当于盗取了一张图片的链接,那么盗链会有什么危害呢? 当我们盗取一张图片链接放入我们自己的平台时,我们每次访问平台也会连带 链接图片一起访问,要知道我们访问的图片是不在我们自己平台服务调去的资源,而是在获取链接图片的那台服务上边调用的,耗费的自然是它的资源请求,如果我们使用的平台访问量特别大,那会间接的导致盗取的链接服务一起被消耗资源,消耗带宽,所以为了避免这样的事情发生我

LAMP搭建12:Apache配置防盗链

为了防止别人盗用或者下载我们网站上的资源比如图片,音乐,视频等等,占用我们的带宽,我们可以配置防盗链. 1.编辑虚拟主机配置文件: [[email protected] logs]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 2.加入如下内容: -- <IfModule mod_expires.c> ExpiresActive on ExpiresByType image/gif "access plus 1 days&q

apache配置防盗链、访问控制directory、访问控制FilesMatch

一:配置防盗链 打开虚拟主机配置文件#vim /usr/local/apache2/conf/extra/httpd-vhosts.conf添加以下内容SetEnvIfNoCase Referer "^http://.*\.abc\.com" local_ref SetEnvIfNoCase Referer ".*.aminglinux.com" local_ref SetEnvIfNoCase Referer "^$" local_ref #没

11.25 配置防盗链;11.26 访问控制Directory;11.27 访问控制FilesMatch

扩展: 几种限制ip的方法 http://www.lishiming.net/thread-6519-1-1.html apache 自定义header  http://www.aminglinux.com/bbs/thread-830-1-1.html apache的keepalive和keepalivetimeout http://www.aminglinux.com/bbs/thread-556-1-1.html 1. 更改虚拟主机配置文件:网站设定防盗链(非白名单网站不可引用): 给11

配置防盗链,访问控制Directory,FilesMatch

配置防盗链 1.修改虚拟主机配置文件: [[email protected] ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf <Directory /data/wwwroot/111.com> SetEnvIfNoCase Referer "http://111.com" local_ref SetEnvIfNoCase Referer "http://aaa.com" local_re