2. 程式人生 > >配置防盜鏈及訪問控制介紹

配置防盜鏈及訪問控制介紹

阿新 發佈:2018-03-08
Linux

配置防盜鏈

防盜鏈,就是不讓別人盜用你網站上的資源,這個資源,通常指的是圖片、視頻、歌曲、文檔等。


referer的概念

你通過A網站的一個頁面http://a.com/a.html 裏面的鏈接去訪問B網站的一個頁面http://b.com/b.html ,那麽這個B網站頁面的referer就是http://a.com/a.html。 也就是說,一個referer其實就是一個網址。


1.配置防盜鏈

[root@gary-tao 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

[root@gary-tao 111.com]# /usr/local/apache2.4/bin/apachectl -t

Syntax OK

[root@gary-tao 111.com]# /usr/local/apache2.4/bin/apachectl graceful


參考配置文件內容如下:

<Directory /data/wwwroot/111.com>

SetEnvIfNoCase Referer "http://111.com" local_ref

SetEnvIfNoCase Referer "http://111.com" local_ref

SetEnvIfNoCase Referer "^$" local_ref

<filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">

Order Allow,Deny

Allow from env=local_ref

</filesmatch>

</Directory>


解釋說明:

首先定義允許訪問鏈接的referer,其中^$為空referer,當直接在瀏覽器裏輸入圖片地址去訪問它時,它的referer就為空。然後又使用filesmatch來定義需要保護的文件類型,訪問txt、doc、mp3、zip、rar、jpg、gif、png格式的文件,當訪問這樣的類型文件時就會被限制。


修改後示例如下圖:

技術分享圖片



2.測試網頁訪問

瀏覽器訪問:http://111.com/qq.png

在其它網站上鏈接這個網址,還是打不開。

技術分享圖片技術分享圖片


然後在虛擬主機配置文件裏把第三方站點加入到白名單

[root@gary-tao 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf


在下面圖片上把第三方站點網址加入到白名單,然後保存退出重新加載配置。

技術分享圖片


在點擊鏈接http://111.com/qq.png 訪問就可以了,這就是referer,如下圖

技術分享圖片


3.使用curl測試

[root@gary-tao 111.com]# curl -x127.0.0.1:80 111.com/qq.png -I

HTTP/1.1 200 OK

Date: Thu, 21 Dec 2017 13:41:38 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

Last-Modified: Thu, 21 Dec 2017 06:18:31 GMT

ETag: "91ab-560d3ab3fbbc0"

Accept-Ranges: bytes

Content-Length: 37291

Cache-Control: max-age=86400

Expires: Fri, 22 Dec 2017 13:41:38 GMT

Content-Type: image/png


[root@gary-tao 111.com]# curl -e "http://wwww.qq.com/123.txt" -x127.0.0.1:80 111.com/qq.png -I //使用-e來定義referer,這個referer一定要以http://開頭,否則不管用。

HTTP/1.1 403 Forbidden

Date: Thu, 21 Dec 2017 13:42:17 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

Content-Type: text/html; charset=iso-8859-1


[root@gary-tao 111.com]# curl -e "http://111.com/123.txt" -x127.0.0.1:80 111.com/qq.png -I

HTTP/1.1 200 OK

Date: Thu, 21 Dec 2017 13:42:34 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

Last-Modified: Thu, 21 Dec 2017 06:18:31 GMT

ETag: "91ab-560d3ab3fbbc0"

Accept-Ranges: bytes

Content-Length: 37291

Cache-Control: max-age=86400

Expires: Fri, 22 Dec 2017 13:42:34 GMT

Content-Type: image/png



訪問控制Directory

對於一些比較重要的網站內容,除了可以使用用戶認證限制訪問之外,還可以通過其他一些方法做到限制,比如可以限制IP,也可以限制user_agent,限制IP指的是限制訪問網站的來源IP,而限制user_agent,通常用來限制惡意或者不正常的請求。


1.修改虛擬主機配置:

[root@gary-tao 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf


核心配置文件內容如下:

<Directory /data/wwwroot/www.123.com/admin/>

Order deny,allow

Deny from all

Allow from 127.0.0.1

</Directory>


配置示例圖:

技術分享圖片


解釋說明:

使用<Directory>來指定要限制訪問的目錄,order定義控制順序,哪個在前面就先匹配哪個規則,在本例中deny在前面,所以要先匹配Deny from all,這樣所有的來源IP都會被限制,然後匹配Allow from 127.0.0.1,這樣又允許了127.0.0.1這個IP。最終的效果是,只允許來源IP為127.0.0.1的訪問。

驗證如下:


[root@gary-tao 111.com]# mkdir /data/wwwroot/111.com/admin/ //創建admin目錄,模擬網站後臺

[root@gary-tao 111.com]# ls

123.php admin index.php qq.png

[root@gary-tao 111.com]# touch /data/wwwroot/111.com/admin/index.php //在後臺目錄下面創建文件

[root@gary-tao 111.com]# ls admin/

index.php

[root@gary-tao 111.com]# vim admin/index.php //並寫入內容

[root@gary-tao 111.com]# cat admin/index.php

123456789

[root@gary-tao 111.com]# curl -x127.0.01:80 111.com/admin/index.php -I

HTTP/1.1 200 OK

Date: Mon, 25 Dec 2017 02:34:14 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

X-Powered-By: PHP/7.1.6

Cache-Control: max-age=0

Expires: Mon, 25 Dec 2017 02:34:14 GMT

Content-Type: text/html; charset=UTF-8


[root@gary-tao 111.com]# curl -x127.0.01:80 111.com/admin/index.php

123456789

[root@gary-tao 111.com]# /usr/local/apache2.4/bin/apachectl graceful //加載配置

[root@gary-tao 111.com]# curl -x172.16.111.100:80 111.com/admin/index.php

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>

<title>403 Forbidden</title>

</head><body>

<h1>Forbidden</h1>

<p>You don't have permission to access /admin/index.php

on this server.<br />

</p>

</body></html>

[root@gary-tao 111.com]# curl -x127.0.01:80 111.com/admin/index.php

123456789

[root@gary-tao 111.com]# tail /usr/local/apache2.4/logs/111.com-access_20171225.log //查看日誌

127.0.0.1 - - [25/Dec/2017:10:34:14 +0800] "HEAD HTTP://111.com/admin/index.php HTTP/1.1" 200 - "-" "curl/7.29.0"

127.0.0.1 - - [25/Dec/2017:10:34:30 +0800] "GET HTTP://111.com/admin/index.php HTTP/1.1" 200 10 "-" "curl/7.29.0"

172.16.111.100 - - [25/Dec/2017:10:36:54 +0800] "GET HTTP://111.com/admin/index.php HTTP/1.1" 403 224 "-" "curl/7.29.0"

127.0.0.1 - - [25/Dec/2017:10:37:33 +0800] "GET HTTP://111.com/admin/index.php HTTP/1.1" 200 10 "-" "curl/7.29.0"

[root@gary-tao 111.com]# curl -x127.0.0.1:80 http://111.com/admin/adfafdafdas -I

HTTP/1.1 404 Not Found

Date: Mon, 25 Dec 2017 02:54:48 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

Content-Type: text/html; charset=iso-8859-1


[root@gary-tao 111.com]# curl -x172.16.111.100:80 http://111.com/admin/adfafdafdas -I

HTTP/1.1 403 Forbidden

Date: Mon, 25 Dec 2017 02:54:59 GMT

Server: Apache/2.4.29 (Unix) PHP/7.1.6

Content-Type: text/html; charset=iso-8859-1


解釋說明:

本機有兩個IP,一個是172.16.111.100,一個是127.0.0.1,通過這兩個IP都可以訪問到站點.而來源分別為172.16.111.110和127.0.0.1,其實和本機IP是一樣的,curl測試狀態碼為403則被限制訪問了。


使用windowo瀏覽器訪問示例圖

技術分享圖片


[root@gary-tao 111.com]# tail /usr/local/apache2.4/logs/111.com-access_20171225.log //windows瀏覽器訪問日誌

172.16.111.1 - - [25/Dec/2017:11:00:37 +0800] "GET /admin HTTP/1.1" 403 214 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0"

172.16.111.1 - - [25/Dec/2017:11:00:39 +0800] "GET /admin HTTP/1.1" 403 214 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0"

172.16.111.1 - - [25/Dec/2017:11:00:39 +0800] "GET /admin HTTP/1.1" 403 214 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0"

172.16.111.1 - - [25/Dec/2017:11:00:40 +0800] "GET /admin HTTP/1.1" 403 214 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0"


解釋說明:

瀏覽器訪問提示Forbidden,其實就是403,再來看日誌,可以查看到對應的來源IP為172.16.111.1,希望不要把來源IP和本機IP搞混了,前面實驗中之所以本機IP和來源IP一樣,就是因為它相當於自己訪問自己,而後面用瀏覽器訪問,相當於拿windows



訪問控制FilesMatch

針對某個文件來做限制。

[root@gary-tao 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf


核心配置文件內容

<Directory /data/wwwroot/www.123.com>

<FilesMatch "admin.php(.*)">

Order deny,allow

Deny from all

Allow from 127.0.0.1

</FilesMatch>

</Directory>


[root@gary-tao 111.com]# /usr/local/apache2.4/bin/apachectl -t //檢測語法

Syntax OK

[root@gary-tao 111.com]# /usr/local/apache2.4/bin/apachectl graceful //加載配置


配置示例圖:

技術分享圖片


實驗結果如下:

技術分享圖片

配置防盜鏈及訪問控制介紹

相關推薦

配置防盜訪問控制介紹

Linux配置防盜鏈防盜鏈,就是不讓別人盜用你網站上的資源,這個資源,通常指的是圖片、視頻、歌曲、文檔等。referer的概念你通過A網站的一個頁面http://a.com/a.html 裏面的鏈接去訪問B網站的一個頁面http://b.com/b.html ,那麽這個B網站頁面的referer就是http:

配置防盜訪問控制– Directory訪問控制 – FilesMatch

20180531一、配置防盜鏈 配置文件增加如下內容<Directory /data/wwwroot/11.com>SetEnvIfNoCase Referer "http://www.11.com" local_refSetEnvIfNoCase Referer "

配置防盜訪問控制Directory、訪問控制FilesMatch

lamp架構配置防盜鏈我的網站遇到最多的是兩類盜鏈,一是圖片盜鏈,二是文件盜鏈。曾經有一個訪問量極大的網站盜鏈我網站的圖片,一天竟然消耗了數G的流量。同時,我站放的不少幾十兆的大型軟件也常遭到文件盜鏈,大量消耗我站資源。1、新增內容[root@centos7 local]# vi /usr/local/apa

2018-3-6 10周5次課 配置防盜訪問控制Directory、FilesMatch

防盜鏈 訪問控制 Directory FilesMatch 11.25 配置防盜鏈·通過限制referer來實現防盜鏈的功能帶寬會異常升高,有可能是被倒鏈配置如下內容:Order Allow,Deny ##順序,先把白名單允許,把其他deny掉Allow from env=local_

配置防盜訪問控制Directory針對目錄、訪問控制FilesMatch針對

Linux學習筆記配置防盜鏈 訪問控制Directory針對目錄 訪問控制針對目錄FilesMatch針對連接 配置防盜鏈、訪問控制Directory針對目錄、訪問控制FilesMatch針對鏈接

lamp-配置防盜訪問控制Directory(針對目錄)、訪問控制(針對單文件)

lamp 訪問控制 防盜鏈 directory 配置防盜鏈 防止服務器的圖片和其他資源被非本機的站點引用,被其他網站引用後會導致流量圖片的用戶的數量暴增,而帶寬流量增加、增加站點的成本; 編輯虛擬配置文件 vim /usr/local/apache2.4/conf/extra/httpd-vh

配置防盜訪問控制

配置防盜鏈 訪問控制 不是認識的referer不能訪問 只能在A域名了訪問不能在B域名裏引用修改虛擬主機配置文件directory 定義目錄 定義rederer 的白名單 定義filesmath order 定義先允許還是先拒絕空referer 重新編輯文件 引用^$ 空referer 可以訪

配置防盜訪問控制Directory,FilesMatch

防盜鏈 訪問控制 配置防盜鏈 1.修改虛擬主機配置文件: [root@weixing01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf <Directory /data/wwwroot/111.com>

LAMP(6)靜態元素過期時間、配置防盜訪問控制Directory、訪問控制FilesMatch

訪問控制 靜態元素過期時間靜態元素:(圖片、js、css)平時我們在瀏覽器訪問網站的時候,如果裏面有這些靜態元素,瀏覽器會幫我們把它們緩存下來,再次訪問的時候訪問的速度就會快。緩存下來的靜態元素到底緩存多久?這個是可以在服務器配置文件中定義的。(定義靜

配置防盜訪問控制Directory、FilesMatch

Linux配置防盜鏈 首先來了解一下什麽是盜鏈,全稱是盜取鏈接,假如我們的網站有很多好看的圖片,別人可以查看我們網站圖片的鏈接,然後應用在他的網站上,這樣的話,去訪問他的網站,實際上消耗的是我們的流量(因為實際鏈接在我們這裏),這樣我們就不得不去配置防盜鏈,使得別人不能復制我們圖片的鏈接。 防盜鏈的實現原理就

apache配置防盜訪問控制directory、訪問控制FilesMatch

lin extra cal tor apache onf .com 訪問控制 cto 一:配置防盜鏈 打開虛擬主機配置文件#vim /usr/local/apache2/conf/extra/httpd-vhosts.conf添加以下內容SetEnvIfNoCase Ref

LAMP架構設定防盜訪問控制

11月19日任務 11.25 配置防盜鏈 11.26 訪問控制Directory 11.27 訪問控制FilesMatch   配置防盜鏈 為什麼要配置防盜鏈 第三方的站點可以通過引用的方式來獲取本伺服器上的資源如圖片等,但是相應的網路資源的使用這對

LNMP(nginx防盜訪問控制,解析php相關配置,Nginx代理,常見502問題)

端口 eal val request bmp 方案 theme lob www 一、nginx防盜鏈nginx防盜鏈:[root@lnmp ~]# vim /usr/local/nginx/conf/vhost/test.com.conf 添加以下內容location

Nginx防盜 Nginx訪問控制 Nginx解析php相關配置 Nginx代理

十二周四次課(3月15日)12.13 Nginx防盜鏈cd /usr/local/nginx/conf/vhostvi test.com.conf將以上內容復制到下圖位置測試,成功前提data/wwwroot/test.com目錄下要有1.gif12.14 Nginx訪問控制cd /usr/local/ngi

nginx防盜訪問控制,解析PHP配置,代理

nginx防盜鏈 訪問控制 解析PHP配置代理 配置防盜鏈編輯配置文件valid_referers 定義一個白名單 如果不匹配403return 403也可以定義deny all 拒絕nginx 訪問控制編輯配置文件 只要匹配到就不繼續匹配location 定義目錄allow 允許deny

2018-3-1512周4次課 Nginx防盜訪問控制配置PHP解析、代理

Nginx12.13 Nginx防盜鏈[root@localhost test.com]# vim /usr/local/nginx/conf/vhost/test.com.conf~* 表示不區分大小寫白名單 *.test.com,如果不是白名單,則返回403[root@localhost test.com

Nginx配置防盜訪問控制、解析PHP以及代理

防盜鏈 訪問控制 Nginx代理 一、Nginx防盜鏈 防盜鏈是指一個網站的資源(圖片或附件)未經允許在其它網站提供瀏覽和下載,尤其熱門資源的盜鏈,對網站帶寬的消耗非常大,設置防盜鏈以節省資源。 1、修改虛擬主機配置文件 [root@zlinux vhost]# vim linuxtest.c

Nginx防盜以及訪問控制,Nginx解析php配置和代理

NginxNginx防盜鏈 1.編輯配置文件: [root@weixing01 ~]# vim /usr/local/nginx/conf/vhost/test.com.conf location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jp

Nginx防盜訪問控制、解析php相關配置、Nginx代理

LinuxNginx防盜鏈 編輯虛擬主機配置文件vim /usr/local/nginx/conf/vhost/test.com.conf 在配置文件中添加如下的內容 location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|x

Nginx防盜 Nginx訪問控制 Nginx解析php相關配置 Nginx代理

nginx配置一、Nginx防盜鏈#vi /usr/local/nginx/conf/vhost/test.com.conf#/usr/local/nginx/sbin/nginx -t#/usr/local/nginx/sbin/nginx -s reload#curl -e "http://ww