Rpa 36 号会员
  •  0 回帖  •  642 浏览  •  2018-10-03 22:56:16
 

LAMP 架构——Apache 优化之访问控制

配置防盗链

通过防盗链的方式,可以设置限制第三方的站点通过引用的方式获取服务器上的图片,数据等,如果想要获取本站点的图片数据,只能通过本站点访问获取,这样也有效的减少了服务器的资源。

referer 介绍

referer 是 http 数据包的 header 的一部分,当浏览器其向服务器发送请求时,将带上 referer,以此来告诉浏览器该请求时从什么网页链接过来的,浏览器处理该链接并显示。

配置防盗链步骤如下

1, 编辑虚拟主机配置文件

[root@dl-001 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
    <Directory /data/wwwroot/111.com>
    
        //把111.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://111.com" local_ref  
        
        //把aaa.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref  
        
        //把空referer设为白名单,对应规则Allow;空referer即直接访问的地址
        SetEnvIfNoCase Referer "^$" local_ref  
        
        //对txt、doc等格式的文件执行访问控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
            //白名单地址allow,其他deny
            //执行顺序依次为allow、deny,反过来将导致都被禁止访问
            Order Allow,Deny 
            
            //白名单为local_ref对应的地址
            Allow from env=local_ref 
        </FilesMatch>
    </Directory>

2, 重载

[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl graceful

3, 使用 Curl 进行测试

如果使用浏览器进行测试需要设置物理机的 hosts 文件 (添加 ip+ 域名)。

[root@dl-001 111.com]# curl -e "http://111.com/test.jpg" -x 127.0.0.1:80 111.com/test.jpg -I		//curl -e 指定referer
HTTP/1.1 200 OK
Date: Mon, 25 Dec 2017 14:00:46 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Last-Modified: Mon, 25 Dec 2017 12:25:50 GMT
ETag: "18652-5612a0725ed00"
Accept-Ranges: bytes
Content-Length: 99922
Content-Type: image/jpeg

访问控制 _Directory

限制用户访问部分目录,允许特定 ip 访问

1,虚拟主机配置文件

root@dl-001 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

    <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow  //设定Deny和Allow的先后顺序
        Deny from all
        Allow from 127.0.0.1  //只允许本地访问
    </Directory>

2, 重载

[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl graceful

3, 使用 Curl 进行测试

allow 的 ip 访问

[root@dl-001 ~]# curl -x 127.0.0.1:80 http://111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: Tue, 21 Nov 2017 14:40:13 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8

使用其他 ip 访问测试

[root@dl-001 ~]# curl -x 192.168.11.128:80 http://111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: Tue, 21 Nov 2017 14:45:23 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

访问控制 _FilesMatch

限制指定文件的访问

1,修改虚拟主机配置文件

[root@dl-001 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

<Directory /data/wwwroot/111.com>

    //对文件admin.php进行限制
    <FilesMatch  "admin.php(.*)"> 
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

2, 重载

[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@dl-001 ~]# /usr/local/apache2.4/bin/apachectl graceful

3, 使用 Curl 进行测试

[root@dl-001 ~]# curl -x 127.0.0.1:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 404 Not Found
Date: Tue, 21 Nov 2017 15:12:34 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1


//说明:使用允许的ip访问,由于文件不存在,返回404状态码

[root@dl-001 ~]# curl -x 192.168.65.133:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 403 Forbidden
Date: Tue, 21 Nov 2017 15:18:55 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1


//说明:使用其他ip访问,报错403 forbidden,限制访问