86.Apache(httpd)配置--防盗链配置和访问控制

时间：2018-03-12 01:04:23 阅读：236 评论：0 收藏：0 [点我收藏+]

一、配置防盗链

通过防盗链的方式，可以设置限制第三方的站点通过引用的方式获取服务器上的图片，数据等，如果想要获取本站点的图片数据，只能通过本站点访问获取，这样也有效的减少了服务器的资源。
什么是referer？

referer是http数据包的header的一部分，当浏览器其向服务器发送请求时，将带上referer，以此来告诉浏览器该请求时从什么网页链接过来的，浏览器处理该链接并显示。
比如：在A网站的某个也页面http://aaa.com/a.html里面的链接去访问B站的某个页面http://bbb.com/b.html，那么B网站的reffer就是http://aaa.com/a.html

步骤1：修改虚拟主机配置文件

[root@zlinux ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 

    <Directory /data/wwwroot/123test>
#       把linuxtest.com设为白名单，对应规则Allow
        SetEnvIfNoCase Referer "http://linuxtest.com" local_ref
#       把某个ip设为白名单，对应规则Allow
        SetEnvIfNoCase Referer "http:http://120.78.56.104/" local_ref
#       把空referer设为白名单，对应规则Allow；空referer即直接访问的地址
        SetEnvIfNoCase Referer "^$" local_ref
#       对txt、doc等格式的文件执行访问控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
#           白名单地址allow，其他deny
#           执行顺序依次为allow、deny，反过来将导致都被禁止访问
            Order Allow,Deny
#           白名单为local_ref对应的地址
            Allow from env=local_ref
        </FilesMatch>
    </Directory>

[root@zlinux ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[root@zlinux ~]# /usr/local/apache2/bin/apachectl graceful

二、访问控制(Directory)

限制用户访问部分目录，允许特定ip访问
步骤1：修改虚拟主机配置文件

[root@zlinux ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf  //添加以下内容

    <Directory /data/wwwroot/123test/admin/>
        Order deny,allow
#       设定Deny和Allow的先后顺序
        Deny from all
        Allow from 127.0.0.1
#       只允许本地访问
    </Directory>

[root@zlinux ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[root@zlinux ~]# /usr/local/apache2/bin/apachectl graceful
步骤2：测试是否生效

[root@zlinux ~]# curl -x 127.0.0.1:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
HTTP/1.1 200 OK
Date: Tue, 06 Mar 2018 09:40:48 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Cache-Control: max-age=0
Expires: Tue, 06 Mar 2018 09:40:48 GMT
Content-Type: text/html; charset=UTF-8
//来源IP：127.0.0.1访问成功

[root@zlinux ~]# curl -x 192.168.204.128.1:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
curl: (5) Could not resolve proxy: 192.168.204.128.1; 未知的名称或服务
[root@zlinux ~]# curl -x 192.168.204.128:80 -e "http://linuxtest.com" linuxtest.com/admin/admintest.php -I
HTTP/1.1 403 Forbidden
Date: Tue, 06 Mar 2018 09:41:41 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
//非来源IP则被阻止访问

三、访问控制(FilesMatch）

限制指定文件的访问
步骤1：修改配置文件

[root@zlinux ~]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf    //加入以下内容

<Directory /data/wwwroot/123test>

    //对文件admin.php进行限制
    <FilesMatch  "admin.php(.*)"> 
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

[root@zlinux ~]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[root@zlinux ~]# /usr/local/apache2/bin/apachectl graceful
步骤2：测试

[root@zlinux ~]# curl -x 127.0.0.1:80 http://linuxtest.com/admin/admintest.php?123 -I
HTTP/1.1 404 Not Found
Date: Tue, 21 Nov 2017 15:12:34 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

//说明：使用允许的ip访问，由于文件不存在，返回404状态码

四、访问控制(user_agent)

user_agent（用户代理）：是指浏览器（搜索引擎）的信息包括硬件平台、系统软件、应用软件和用户个人偏好。
有时候网站受到CC攻击，其原理是：攻击者借助代理服务器（肉机）生成指向受害主机的合法请求，实现DDOS和伪装。CC攻击的一个特点就是其useragent是一致的，所以，可以通过限制攻击者useragent的方法来阻断其攻击。
步骤1：修改配置文件

[root@zlinux 123test]# vim /usr/local/apache2/conf/extra/httpd-vhosts.conf

    <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]
#      NC表示忽略大小写，OR选项表示或者（不加任何选项表并且）连接下一个条件，F=forbidden禁止。
    </IfModule>

[root@zlinux 123test]# /usr/local/apache2/bin/apachectl -t
Syntax OK
[root@zlinux 123test]# /usr/local/apache2/bin/apachectl graceful
步骤2：测试

[root@zlinux 123test]# curl -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 403 Forbidden
Date: Wed, 07 Mar 2018 07:01:54 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

[root@zlinux 123test]# curl -A "www.baidu.com" -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 403 Forbidden
Date: Wed, 07 Mar 2018 07:02:20 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
//-A指定user_agent
[root@zlinux 123test]# curl -A "www" -x 192.168.204.128:80 linuxtest.com/ -I
HTTP/1.1 200 OK
Date: Wed, 07 Mar 2018 07:02:29 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Cache-Control: max-age=0
Expires: Wed, 07 Mar 2018 07:02:29 GMT
Content-Type: text/html; charset=UTF-8
第一个和第二个分别匹配对应条件，所以状态码是403。

86.Apache(httpd)配置--防盗链配置和访问控制

标签：Apache(httpd)配置--防盗链

原文地址：http://blog.51cto.com/sdwaqw/2085287

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行