2. 程式人生 > >2018.3.6 11周1次課

2018.3.6 11周1次課

阿新 發佈:2018-03-06
Linux學習

十一周一次課(3月6日)

11.25 配置防盜鏈 11.26 訪問控制Directory 11.27 訪問控制FilesMatch

11.25 配置防盜鏈

通過限制referer來實現防盜鏈的功

防盜鏈,通俗講,就是不讓別人盜用你網站上的資源。這個資源,通常指的是圖片、視頻、歌曲、文檔等。referer是指:你通過A網站的一個頁面http://a.com/a.html裏面的鏈接去訪問B網站的的一個頁面http://b.com/b.html,那麽這個B網站頁面的referer就是http://a.com/a.html。也就是說,一個referer其實就是一個網址,即前一個被訪問頁面的 URL,是來源網址

編輯虛擬機主機配置文件:vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

<Directory /data/wwwroot/111.com> //定義防盜鏈目錄:本站點

SetEnvIfNoCase Referer "http://111.com" local_ref //定義Referer白名單:111.com

SetEnvIfNoCase Referer "http://aaa.com" local_ref

SetEnvIfNoCase Referer "^$" local_ref //"^$"表示空,當直接在瀏覽器裏輸入圖片地址去訪問它時,它的referer就為空。定義空也是白名單

<filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)"> //定義需要保護的文件類型,當訪問這些類型的文件時就會被限制。

Order Allow,Deny //定義訪問控制的順序,先允許後拒絕

Allow from env=local_ref //允許白名單的referer,其它deny

</filesmatch>

</Directory>

技術分享圖片

測試:用curl命令

-e/--referer <URL> 為 HTTP 數據包指定 Referer Page 信息,即前一個被訪問頁面的 URL。通常這個信息被服務器用於判斷自己是否被盜鏈,如果發現服務器端有這樣的檢測機制,則可以使用該參數繞過檢測。

使用-e來定義referer,這個referer一定要以http://開頭,否則不管用

-I/--head 只接收 response數據包中 header 字段的內容。即只顯示 HTTP 頭,而不顯示文件內容

技術分享圖片

不在白名單裏網址:使用非允許的referer會返回403的狀態碼

技術分享圖片

在白名單裏網址:

技術分享圖片

查看日誌:tail /usr/local/apache2.4/logs/111.com-access_20180306.log

技術分享圖片

11.26 訪問控制Directory

対於一些比校重要的網站內容,除了可以使用用戶認證限制訪同之外,込可以通其他一些方法做到限制,比如可以限制IP ,也可以限制user_agent。限制IP指的是限制訪問網站的來源IP ,而限制 user-agent ,通常用來限制惡意或者不正常的請求。

<Directory /data/wwwroot/111.com/admin/>

Order deny,allow

Deny from all

Allow from 127.0.0.1

</Directory>

使用くDirectory>來指定要限制訪問的目錄。order定義控制順序,哪個在前面就先匹配哪個規則。在本例中deny在前面,所以先匹配Deny from all ,這樣所有的來源IP都會被限制,然後匹配Allow from 127.0.0.1 ,這祥又允許了127.0.0.1這個IP。最終的效果是,只允許來源IPカ127.0.0.1的訪問。

技術分享圖片

測試環境:

技術分享圖片

用curl命令:我們限制的是源IP,而-x後面是目標IP

技術分享圖片

技術分享圖片

訪問日誌

技術分享圖片

本機有兩個IP,一個是192.168.37.101,一個是127.0.0.1,通過這兩個IP都可以訪問到站點。 而來源IP分別為192.168.37.101和127.0.0.1, 其實和本機IP是一樣的。

瀏覽器訪問提示Forbidden, 其實就是403。再來看日誌,可以查看到對應的來源IP,192.168.37.1,希望你不要把來源IP和本機IP搞混了。前面的實驗中之所以本機IP和來源一樣,就是因為它相當於自己訪問 自己。而後面用瀏覽器訪問,相當於拿Windows機器訪問Linux服務器

curl測試狀態碼為403則被限制訪問了

11.27 訪問控制FilesMatch

可以單獨針對某個文件來做限制

核心配置文件內容

<Directory /data/wwwroot/111.com>

<FilesMatch "admin.php(.*)">

Order deny,allow

Deny from all

Allow from 127.0.0.1

</FilesMatch>

</Directory>

技術分享圖片

狀態碼:404 //沒有對admin做限制,所以允許訪問,但找不到網頁

技術分享圖片

狀態碼:403 //無法訪問,因為做了限制

技術分享圖片

上圖因為有特殊符號?,所有http://111.com/admin.php?要加上單引號

狀態碼:404 //127.0.0.1是允許的訪問

技術分享圖片


2018.3.6 11周1次課

相關推薦

2018.3.6 111

Linux學習十一周一次課(3月6日)11.25 配置防盜鏈 11.26 訪問控制Directory 11.27 訪問控制FilesMatch11.25 配置防盜鏈通過限制referer來實現防盜鏈的功防盜鏈,通俗講,就是不讓別人盜用你網站上的資源。這個資源,通常指的是圖片、視頻、歌曲、文檔等。referer

2018-3-6 105 配置防盜鏈、訪問控制Directory、FilesMatch

防盜鏈 訪問控制 Directory FilesMatch 11.25 配置防盜鏈·通過限制referer來實現防盜鏈的功能帶寬會異常升高,有可能是被倒鏈配置如下內容:Order Allow,Deny ##順序,先把白名單允許,把其他deny掉Allow from env=local_

2018-3-7 112 限定某個目錄禁止解析php、限制user_agent、php相關配置

user_agent 禁止解析php php相關配置 11.28 限定某個目錄禁止解析php禁止php解析:防止被上傳有害php文件,而被執行,php中可能有危險的函數,如果開放了上傳權限,肯定會被上傳惡意木馬文件,會被拿到服務器權限,root權限,非常危險。更可以在加上FilesMatch訪問限

2018.3.12 121

Linux學習十二周一次課(3月12日)12.1 LNMP架構介紹12.2 MySQL安裝12.3/12.4 PHP安裝12.5 Nginx介紹12.1 LNMP架構介紹和LAMP唯一不同的是,LNMP中的N指的是Nginx(類似於Apache的一種web服務軟件 )。目前這種環境的應用也非常多。Nginx設

2018-3-12 121 LNMP下的MySQL、PHP安裝和配置

LNMP MySQL PHP 12.1 LNMP架構介紹和LAMP不同的是,提供web服務的是Nginx並且php是作為一個獨立服務存在的,這個服務叫做php-fpmNginx直接處理靜態請求,動態請求會轉發給php-fpm用戶並發支持很大,可以上好幾萬,Apache做不到12.2 MySQL安裝

2018-3-19 131 php-fpm的pool、慢日誌、進程、open_basedir

php-fpm12.21 php-fpm的poolphp-fpm支持定義多個pool,每個pool可以監聽不同的socket或者不同的tcp/ip;如果nginx有多個不同的站點,那麽每個站點都可以使用一個pool;如果所有網站都使用了同一個pool,當其中給一個php資源不夠了,或者其他原因導致502了,網

2018.3.19 131

Linux學習十三周一次課(3月19日)12.21 php-fpm的pool12.22 php-fpm慢執行日誌12.23 open_basedir12.24 php-fpm進程管理12.21 php-fpm的pool和LAMP不同的是,在LNMP架構中,php-fpm作為獨立的一個服務存在。既然是獨立服務,

2018-3-26 141 NFS服務端安裝、配置

NFS14.1 NFS介紹·NFS是Network File System的縮寫·NFS最早由Sun公司開發,分2,3,4三個版本,2和3由Sun起草開發,4.0開始Netapp公司參與並主導開發,最新為4.1版本·NFS數據傳輸基於RPC協議,RPC為Remote Procedure Call的簡寫。·NF

2018.3.26 141

Linux學習十四周一次課(3月26日)14.1 NFS介紹14.2 NFS服務端安裝配置14.3 NFS配置選項14.1 NFS介紹NFS是Network File System的縮寫NFS最早由Sun公司開發,分2,3,4三個版本,2和3由Sun起草開發,4.0開始Netapp公司參與並主導開發,最新為4

2018.2.28 101

Linux學習十周第一次課(2月28日)11.10/11.11/11.12 安裝PHP5 11.13 安裝PHP711.10/11.11/11.12 安裝PHP5關於PHP版本,目前大多企業都會使用5.4及更高版本,甚至越來越多的企業使用PHP7版本。7和5兩個版本還是有很大差異的,據說7版本有很大的性能提升

,2018-2-28 101 PHP5、PHP7的安裝

php5 php7 11.10、11.11、1.12 安裝PHP5[root@localhost ~]# cd /usr/local/src [root@localhost src]# wget http://cn2.php.net/distributions/php-5.6.30.tar.bz2 (

2018-2-28 101

11.13 安裝PHP7 11.10/11.11/11.12 安 11.10/11.11/11.12 安裝PHP5 進入 /usr/local/str/如下 下載php安裝包 查看PHP安裝包的大小 解壓縮php安裝包 進入解壓縮好的php目錄 安裝php ./co

2018-3-5 104 訪問日誌不記錄靜態文件、訪問日誌切割、靜態元素過期時間

訪問日誌 靜態元素 11.22 訪問日誌不記錄靜態文件·網站大多元素為靜態文件,如圖片、css、js等,這些元素可以不用記錄原因:如果不去限制,那麽會消耗大量的磁盤空間和IO,而且這些文件無意義。編輯http-vhost配置文件:[root@localhost ~]# vim /usr/local/a

2018.3.5 104

Linux學習十周四次課(3月5日)11.22 訪問日誌不記錄靜態文件11.23 訪問日誌切割11.24 靜態元素過期時間11.22 訪問日誌不記錄靜態文件一個網站會有很多元素,尤其是圖片、js、css等靜態的文件非常多,用戶每請求一個頁面就會訪問諸多的圖片、js等靜態元素,這些元素的請求都會被記錄在日誌中。

2018-3-5 104

11.22 訪問日誌不記錄靜態文件 11.23 訪問日誌切割 11.24 靜態元素過期時間 擴展 11.22 訪問日誌不記錄靜態文件 11.23 訪問日誌切割 11.24 靜態元素過期時間 擴展 apache日誌記錄代理IP以及真實客戶端IP http://ask.apele

2018.3.13 122

Linux學習十二周二次課(3月13日)12.6 Nginx安裝12.7 默認虛擬主機12.8 Nginx用戶認證12.9 Nginx域名重定向12.6 Nginx安裝下載和解壓:cd /usr/local/srcwget http://nginx.org/download/nginx-1.13.9.tar.

2018-3-13 122 Nginx安裝、默認虛擬主機、用戶認證、域名重定向

Nginx12.6 Nginx安裝[root@localhost ~]# cd /usr/local/src/ [root@localhost src]# wget http://nginx.org/download/nginx-1.12.2.tar.gz (過程省略) [root@localhost src

2018.3.16 125

Linux學習十二周五次課(3月16日)12.17 Nginx負載均衡12.18 ssl原理12.19 生成ssl密鑰對12.20 Nginx配置ssl12.17 Nginx負載均衡後端web服務器可以有多臺,就可以實現負載均衡upstream來指定多個web server查看解析域名的ip命令:dig安裝d

2018-3-16 125 Nginx負載均衡、ssl原理、秘鑰、配置

Nginx12.17 Nginx負載均衡在upstream下定義多個ip如何查到網站解析的ip?——使用dig命令 需要安裝bind-utils[root@localhost ~]# yum install -y bind-utils (過程省略) [root@localhost ~]# dig qq.co

2018.3.20 一第二

linux配置IP1.6/1.7 配置IP 因為是最小化安裝,是沒有圖形界面的。 用戶名:root 密碼:ABC123, 如果不可以使用ifconfig,那就需要安裝一個包 yum install -y net-tools 在命令行模式下,**默認有6個終端**,即tty1至tty6; 以圖形形式登錄會顯