配置Apache實現防盜鏈、隱藏版本信息(防盜祕笈)
1、配置Apache實現防盜鏈
1.防盜鏈就是防止別人的網站代碼裏面盜用服務器的圖片、文件、視頻等相關資源
2.若是別人盜用網站的這些靜態資源,明顯的是會增大服務器的帶寬壓力
3.因此做爲網站的維護人員,要杜絕咱們服務器的靜態資源被其餘網站盜用php
使用兩臺主機模擬盜鏈
兩臺主機配置與功能以下:
html
盜鏈模擬步驟
1.兩臺主機配置測試頁面
2.盜鏈網站的測試網頁page盜 用源主機目錄page/image的一個logo.jpg文件
3.在Windows中訪問 http://a.test2.com/page.html,並用Fiddler抓包工具的查看效果圖mysql
檢查Apache是否安裝了mod_ rewrite模塊
1./usr/ocal/apache/bin/apachectl -t -D DUMP_MODULES
2.若是輸出中沒有rewrite_module (static),, 則說明編譯時沒有安裝
mod_rewrite模塊linux
若是沒有安裝則要從新編譯安裝
1…/configure --enable-rewrite…
2.make &&make installc++
配置規則變量說明
1.%{HTTP_ REFERER}: 瀏覽header中的連接字段,存放一一個鏈
接的URL,表明是從哪一個連接訪問所需的網頁
2.!^:不之後面的字符串開頭
3…*$:以任意字符結尾
4.NC:不區分大寫
5.R:強制跳轉web
規則匹配說明
1.RewriteEngine On:打開網頁重寫功能
2.RewriteCond:設置匹配規則
3.RewriteRule:設置跳轉動做sql
規則匹配
1.若是相應變量的值匹配所設置的規則,則逐條往下處理;若是不匹配,則日後的規則再也不匹配數據庫
配置操做演示
修改配置文件啓用防盜鏈功能並設置規則:apache
RewriteEngine On
RewriteCond %{HTTP_REFERER} !http://test.com/.*$ [NC]*
RewriteCond %{HTTP_REFERER} !^http://test.com$ [NC]
RewriteCond %{HTTP_ REFERER} !^http://www.test.com/.*$ [NC]
RewriteCond %{HTTP_ REFERER} !^http://www.test.com$ [NC]
RewriteRule .*\.(gif|jpg|swf)$ http://www.test.com/error.html [R,NC]
配置Apache隱藏版本信息
1.Apache的版本信息,透露了必定的漏洞信息,從而給網站帶來安全隱患
2.生產環境d要配置Apache隱藏版本信息
3.可以使用Fiddler抓包工具分析
4.配置Apache隱藏版本信息
5.將主配置文件httpd.conf如下行註釋去掉
(1)#Include conf/extra/httpd-default. conf
修改httpd-default.conf文件兩個地方
(1)Server Tokens Full修改成Server Tokens Prod
(2)將ServersSignature On修改成ServersSignature Off
6.重啓httpd服務,訪問網站,抓包測試vim
配置實驗
一、配置DNS域名解析文件
[root@localhost ~]# yum install bind -y
[root@localhost ~]# vim /etc/named.conf
options {
listen-on port 53 { any; }; //括號內127.0.0.1改成any
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; }; //括號內localhost改成any
#修改後按Esc,輸入:wq保存退出
[root@localhost ~]# vim /etc/named.rfc1912.zones
zone "kgc.com" IN {
type master;
file "kgc.com.zone";
allow-update { none; };
};
#在同格式下添加以上內容後按Esc,輸入:wq保存退出
[root@localhost ~]# cd /var/named/
[root@localhost named]# ls
data dynamic named.ca named.empty named.localhost named.loopback slaves
[root@localhost named]# cp -p named.localhost kgc.com.zone
[root@localhost named]# vim kgc.com.zone
$TTL 1D
@ IN SOA @ rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS @
A 127.0.0.1
www IN A 192.168.18.128
#作以上格式的改動,注意最後的IP地址是填本身linux主機的IP地址,修改後按Esc,輸入:wq保存退出
[root@localhost named]# systemctl start named
[root@localhost named]# systemctl stop firewalld.service
[root@localhost named]# setenforce 0
二、共享文件
[root@localhost named]# mkdir /abc [root@localhost named]# mount.cifs //192.168.124.17/LAMP-C7 /abc //在宿主機中把有壓縮文件的文件夾共享出來 Password for root@//192.168.124.17/rpm: //此處直接回車 [root@localhost named]# cd /abc/LAMP/ [root@localhost LAMP]# ls //此時能夠看到掛載文件夾中的壓縮文件 apr-1.6.2.tar.gz cronolog-1.6.2-14.el7.x86_64.rpm mysql-5.6.26.tar.gz apr-util-1.6.0.tar.gz Discuz_X2.5_SC_UTF8.zip php-5.6.11.tar.bz2 awstats-7.6.tar.gz httpd-2.4.29.tar.bz2 [root@localhost LAMP]# tar jxvf httpd-2.4.29.tar.bz2 -C /opt/ [root@localhost LAMP]# tar zxvf apr-1.6.2.tar.gz -C /opt/ [root@localhost LAMP]# tar zxvf apr-util-1.6.0.tar.gz -C /opt/ [root@localhost LAMP]# cd /opt/ [root@localhost opt]# ls apr-1.6.2 apr-util-1.6.0 httpd-2.4.29 rh [root@localhost opt]# mv apr-1.6.2/ httpd-2.4.29/srclib/apr #srclib爲數據庫,可解析apr [root@localhost opt]# mv apr-util-1.6.0/ httpd-2.4.29/srclib/apr-util [root@localhost opt]# yum install gcc gcc-c++ pcre pcre-devel zlib-devel expat-devel -y #expat環境包不能忘 [root@localhost opt]#cd httpd-2.4.29/ [root@localhost httpd-2.4.29]# ./configure \ --prefix=/usr/local/httpd \ --enable-deflate \ --enable-so \ --enable-rewrite \ --enable-charset-lite \ --enable-cgi [root@localhost httpd-2.4.29]#make [root@localhost httpd-2.4.29]#make inatall [root@localhost httpd-2.4.29]# vim /usr/local/httpd/conf/httpd.conf /ServerName,搜索到網址處,把#註釋去掉,內容改成以下內容 ServerName www.kgc.com:80 /Listen,搜索到監聽端口,把IPv6註釋加上,把IPv4監聽IP地址改成本身linux的地址 Listen 192.168.234.164:80 #Listen 80 #修改後按Esc,輸入:wq保存退出 [root@localhost httpd-2.4.29]# ln -s /usr/local/httpd/conf/httpd.conf /etc/httpd.conf //創建軟鏈接 [root@localhost httpd-2.4.29]# cd /usr/local/httpd/bin/ [root@localhost bin]# ls ab apu-1-config dbmmanage fcgistarter htdigest httxt2dbm apachectl apxs envvars htcacheclean htpasswd logresolve apr-1-config checkgid envvars-std htdbm httpd rotatelogs [root@localhost bin]# vim /usr/local/httpd/htdocs/index.html <html><body><h1>It works!</h1> <img src="time.jpg"/> </body></html> //須要插入圖片,作以上更改,後按Esc,輸入:wq保存退出 [root@localhost bin]# cp /aaa/LAMP/time.jpg /usr/local/httpd/htdocs/ //複製圖片到此目錄下 [root@localhost bin]# ./apachectl start [root@localhost bin]# netstat -ntap | grep 80 tcp 0 0 192.168.18.128:80 0.0.0.0:* LISTEN 93989/httpd
三、驗證
win10-1做爲盜鏈網站,win7-1做爲測試客戶端
在win7-1中,網絡把DNS解析的地址改成本身linux系統的IP地址
四、咱們進入瀏覽器輸入: www.kgc.com, 此時能夠瀏覽咱們寫好的網頁:
五、咱們進入win7-1盜鏈客戶端的瀏覽器輸入www.kgc.com,此時也能夠訪問這個網頁,此時咱們想到用這個圖片,右鍵點擊圖片,選擇屬性,能夠看到這張圖片的URL:http://www.kgc.com/time.jpg
六、此時咱們須要搭建盜鏈網站:
控制面板—程序—程序和功能—打開和關閉windows功能—選擇Internet信息服務
七、咱們點擊左下角的圖標,在搜索欄搜索iis
八、新建文檔
九、看文檔擴展名
十、把網頁文件拖至如下路徑中:C:\inetpub\wwwroot
此時就能夠用測試機進行訪問了
1.此處須要注意的是兩臺主機都須要關閉防火牆,不然會沒法訪問網頁
2.在盜鏈瀏覽器中國輸入測試主機的IP地址:192.168.234.161,就能夠訪問到盜鏈的網站
3.此時圖片相同說明盜鏈成功,test.web是盜鏈網站,盜用了kgc的官方網站的圖片,別人在訪問test.web的時候,這張圖片被自動加載,可是流量依舊被導給了kgc的官方網站
以上是盜鏈的過程,可是有盜鏈的事情出現咱們須要杜絕就要用到防盜鏈
[root@localhost bin]# vim ../conf/httpd.conf
/rewrite,將此行註釋去掉
LoadModule rewrite_module modules/mod_rewrite.so
Require all granted
//在此行下插入如下規則
RewriteEngine On
RewriteCond %{HTTP_REFERER} !http://kgc.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://kgc.com$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.kgc.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.kgc.com/$ [NC]
RewriteRule .*\.(gif|jpg|swf)$ http://www.kgc.com/error.png
#修改後按Esc,輸入:wq保存退出
四、拷貝圖片
[root@localhost bin]# ls ../htdocs/ ha.jpg index.html [root@localhost bin]# cp /aaa/LAMP/error.png ../htdocs/ [root@localhost bin]# ls ../htdocs/ error.png ha.jpg index.html [root@localhost bin]# ./apachectl stop [root@localhost bin]# ./apachectl start
五、驗證防盜鏈:
咱們使用測試機再次輸入192.168.234.161,此時由於設置了防盜鏈因此會強制彈出咱們的error圖片,此時說明了防盜鏈設置成功!
2、隱藏版本信息
基於上一個防盜鏈的配置不變,開始隱藏版本號的優化操做。
實驗步驟
一、實驗前的驗證
進入Windows客戶端,使用fiddler抓包,可看到版本信息
二、抓包會顯示版本後綴,圖謀不軌之人會針對該版本的漏洞對服務器進行attack,這是很是不安全,所以須要對版本號進行隱藏。
三、優化過程以下:
[root@localhost ~]# vim /usr/local/httpd/conf/httpd.conf /default 搜索default,進行以下修改 Include conf/extra/httpd-default.conf //將開頭的#刪除 wq保存退出
四、開啓後將會在/usr/local/httpd/conf/extra/中生成httpd-default.conf配置文件用於優化
[root@localhost bin]# vim /usr/local/httpd/conf/extra/httpd-default.conf /ServerTokens 搜索ServerTokens,進行以下修改 ServerTokens Prod //將Full改成Prod wq保存退出 [root@localhost bin]# ./apachectl stop [root@localhost bin]# ./apachectl start //重啓服務
五、驗證結果:版本號被隱藏
- 1. Apache配置與應用-防盜鏈及隱藏版本信息
- 2. apache 防盜鏈和隱藏版本
- 3. Apache配置防盜鏈
- 4. apache配置防盜鏈
- 5. LAMP--Apache 配置防盜鏈
- 6. centos 7.6 —— Apache 網頁防盜鏈和隱藏Apache版本號
- 7. apache 防盜鏈
- 8. Apache防盜鏈
- 9. 優化Apache安全方面(二)——防盜鏈、隱藏版本信息
- 10. Apache網頁優化之防盜鏈和隱藏版本號
- 更多相關文章...
- • netwox顯示網絡配置信息 - TCP/IP教程
- • MySQL的版本以及版本號 - MySQL教程
- • ☆基於Java Instrument的Agent實現
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
-
每一个你不满意的现在,都有一个你没有努力的曾经。