LAMP架構設置防盜鏈及訪問控制

11月19日任務

11.25 配置防盜鏈

11.26 訪問控制Directory

11.27 訪問控制FilesMatch

 

配置防盜鏈

爲何要配置防盜鏈

第三方的站點能夠經過引用的方式來獲取本服務器上的資源如圖片等，可是相應的網絡資源的使用這對於本機而言每每是多餘的、浪費的。所以咱們須要限制這方面的資源訪問，經過設置防盜鏈的方式。

什麼是referer

referer是http數據包的header的一部分，當瀏覽器其向服務器發送請求時，將帶上referer，以此來告訴瀏覽器該請求時從什麼網頁連接過來的，瀏覽器處理該連接並顯示。

設置了防盜鏈後，一些站點將沒法經過引用的方式來獲取服務器的資源，只能經過直接訪問本機來獲取，這樣就將有效的流量訪問限定到了本機，不被不法站點所利用。

如何配置

編輯虛擬主機配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 插入下面的內容：
    <Directory /data/wwwroot/111.com>
        # 將111.com設爲白名單，對應規則Allow
        SetEnvIfNoCase Referer "http://111.com" local_ref  
        
        # 將aaa.com設爲白名單，對應規則Allow
        SetEnvIfNoCase Referer "http://aaa.com" local_ref  
        
        # 將空referer設爲白名單，對應規則Allow；空referer即直接訪問的地址
        SetEnvIfNoCase Referer "^$" local_ref  
        
        # 對txt、doc等格式的文件執行訪問控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
            # 白名單地址allow，其餘deny
            # 執行順序依次爲allow、deny，反過來將致使都被禁止訪問
            Order Allow,Deny 
            
            # 白名單爲local_ref對應的地址
            Allow from env=local_ref 
        </FilesMatch>
    </Directory>

效果驗證

使用windows瀏覽器測試時，前提須要設置hosts文件！

我主機內的設置爲

192.168.65.133 111.com

• 訪問空referer（直接訪問） 註釋掉空referer行

不註釋空referer行

 

• 第三方站點訪問(引用)

// 將第三方的域名加入白名單,我這裏使用的是猿課論壇
SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref
// 空referer行註釋掉
#SetEnvIfNoCase Referer "^$" local_ref

保存後重啓訪問訪問

效果以下：

成功獲取到了圖片

 

• 使用curl命令模擬referer：-e參數

[root@localhost 111.com]# curl -e "http://111.com/test.jpg" -x 127.0.0.1:80 111.com/test.jpg -I
HTTP/1.1 200 OK
Date: ..., ... 14:14:43 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Last-Modified: ..., ... 13:20:20 GMT
ETag: "18652-5612a0725ed00"
Accept-Ranges: bytes
Content-Length: 99922
Content-Type: image/jpeg

訪問控制Directory

限制用戶訪問部分目錄，容許特定ip訪問

虛擬主機配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加以下內容：
    <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow  # 決定規則的前後順序
        Deny from all
        Allow from 127.0.0.1  # 只容許本地訪問
    </Directory>

效果驗證

• allow的ip訪問，200 ok

[root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: ..., ... 12:58:07 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8

• 經過其餘ip訪問，403 forbidden，限制訪問

[root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: ..., ... 12:59:11 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

訪問控制--FilesMatch

除了可以限制訪問目錄，還能夠限制某些文件的訪問

修改虛擬主機配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
修改目錄訪問控制的語段：
<Directory /data/wwwroot/111.com>
    # 對文件admin.php進行限制
    <FilesMatch  "admin.php(.*)"> 
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

效果驗證

• 經過容許的ip訪問，因爲文件不存在，返回404狀態碼

[root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 404 Not Found
Date: ..., ... 13:11:42 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

• 經過其餘ip訪問，返回403 forbidden，限制訪問

[root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 403 Forbidden
Date: ..., ... 13:12:05 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1