10-3 11 防盜鏈 訪問控制

11.25 配置防盜鏈

什麼是盜鏈？ 案例：網站服務器流量忽然飆升，經過抓包（Tshark）排查發現有大量圖片訪問請求。並且來源固定。多是由於公司的服務器上傳的圖片能夠引用。而對方的目的是提高訪問速度，節省帶寬資源。因此借用你的服務器爲他的網站提供圖片連接服務

配置文件增長以下內容

[ctrl-r] -v // 快速查找相關歷史命令
...
	<Directory /data/wwwroot/ddd.com>
    SetEnvIfNoCase Referer "http://ddd.com" local_ref
    SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref
    SetEnvIfNoCase Referer "^$" local_ref  //表示直接全url訪問
    <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
        Order Allow,Deny  //容許定義，其餘來源禁止
        Allow from env=local_ref
    </FilesMatch>
</Directory>
...
bin/apachectl graceful 
curl -e "http://www.qq.com" -x127.0.0.1:80 ddd.com/aming.png2 -I  //curl自定義referer

如圖，403表明訪問被禁止

11.26 訪問控制Directory

核心配置文件內容
<Directory /data/wwwroot/ddd.com/admin/> //控制admin目錄
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1 //對admin目錄，只經過127的訪問
</Directory>

bin/apachectl graceful 
curl -x127.0.0.1:80 ddd.com/admin/index.php -I
curl -x192.168.83.138:80 ddd.com/admin/index.php -I

如圖，針對目錄作IP源的訪問控制

11.27 訪問控制FilesMatch

改成對目錄下單個文件訪問控制

核心配置文件內容
<Directory /data/wwwroot/ddd.com/admin/>
<FilesMatch index.php(.*)>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</FilesMatch>
</Directory>
...
curl -x192.168.83.138:80 ddd.com/admin/index.php -I
curl -x192.168.83.138:80 ddd.com/admin/2.php -I

擴展

幾種限制ip的方法 http://www.lishiming.net/thread-6519-1-1.html

apache 自定義header http://www.aminglinux.com/bbs/thread-830-1-1.html

apache的keepalive和keepalivetimeout http://www.aminglinux.com/bbs/thread-556-1-1.html