专栏首页阿dai_linuxApache优化——访问控制 原

Apache优化——访问控制 原

11.25 配置防盗链

编辑虚拟主机配置文件:

[root@adailinux ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 
<VirtualHost *:80>
    DocumentRoot "/data/wwwroot/111.com"
    ServerName 111.com
    ServerAlias www.example.com
    <Directory /data/wwwroot/111.com>
        SetEnvIfNoCase Referer "http://111.com" local_ref
        SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref
        SetEnvIfNoCase Referer "^$" local_ref
        #定义referer白名单
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
            Order Allow,Deny
            Allow from env=local_ref
        #定义规则:允许变量local_ref指定的referer访问,拒绝其他所有访问。   
        </FilesMatch>
    </Directory>

    ErrorLog "logs/111.com-error_log"
    SetEnvIf Request_URI ".*\.gif$" img
    SetEnvIf Request_URI ".*\.jpg$" img
    SetEnvIf Request_URI ".*\.png$" img
    SetEnvIf Request_URI ".*\.bmp$" img
    SetEnvIf Request_URI ".*\.swf$" img
    SetEnvIf Request_URI ".*\.js$" img
    SetEnvIf Request_URI ".*\.css$" img
    CustomLog "|/usr/local/apache2.4/bin/rotatelogs -l logs/111.com-access_%Y%m%d.log 86400" combined env=!img
    #CustomLog "logs/111.com-access_log" combined env=!img
</VirtualHost>  

检测语法错误并重载:
[root@adailinux ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@adailinux ~]# /usr/local/apache2.4/bin/apachectl graceful

注: 如果在referer白名单中不加“^#”(空referer),直接访问指定内容将会被拒绝。

curl命令

curl -e 指定referer

[root@adailinux ~]# curl -e "http://ask.apelearn.com/" -x192.168.8.131:80 111.com/baidu.png -I

11.26 访问控制Directory

编辑虚拟主机配置文件:

在配置文件加入如下参数: 
[root@adailinux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

……
    <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
        #只允许IP--127.0.0.1访问“/data/wwwroot/111.com/admin/”目录中的内容
    </Directory>
……

[root@adailinux admin]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@adailinux admin]# /usr/local/apache2.4/bin/apachectl graceful

测试:
[root@adailinux admin]# curl -x127.0.0.1:80 111.com/admin/index.php
121212

更换IP访问:
[root@adailinux admin]# curl -x192.168.8.131:80 111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: Wed, 02 Aug 2017 08:48:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

#报错(403)!!!即,只有指定IP--127.0.0.1可以访问该目录。  

**说明:**本节用于设定指定IP访问指定目录的权限!

11.27 访问控制FilesMatch

使用FilesMatch参数:  

[root@adailinux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
……
    <Directory /data/wwwroot/111.com>
        <FilesMatch admin.php(.*)>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
        </FilesMatch>
    </Directory>
……

[root@adailinux admin]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@adailinux admin]# /usr/local/apache2.4/bin/apachectl graceful


[root@adailinux admin]# curl -x127.0.0.1:80 111.com/admin.php -I
HTTP/1.1 404 Not Found
Date: Wed, 02 Aug 2017 09:24:22 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

#因为访问的文件不存在,所以报错:404!  

说明: 本节内容应用于对某些请求设定权限。

扩展:

apache几种限制ip的方法

  • 禁止访问某些文件/目录 增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库: <Files~"\.inc$"> Order Allow,Deny Deny from all </Files>
  • 禁止访问某些指定的目录 可以使用<DirectoryMatch> 正则匹配: <Directory~"^/var/www/(.+/)*[0-9]{3}"> Order Allow,Deny Deny from all </Directory>

也可以使用目录全局路径

  • 通过文件匹配来进行禁止,比如禁止所有针对图片的访问: <FilesMatch \.?i:gif|jpe?g|png)$> Order Allow,Deny Deny from all <FilesMatch>
  • 针对URL相对路径的禁止访问 <Location /dir/> Order Allow,Deny Deny from all </Location>

apache设置自定义header

  1. 在设置自定义header前,需要先检测一下你的httpd(Apache)是否加载了mod_headers
[root@adailinux ~]# /usr/local/apache2/bin/apachectl -M

如果没有加载,需要进行加载配置。 2. 设置header

在Apache配置文件中加入下面参数:

Header add MyHeader "Hello"

apache的keepalive和keepalivetimeout

  在APACHE的httpd.conf中,KeepAlive指的是保持连接活跃,类似于Mysql的永久连接。换一句话说,如果将KeepAlive设置为On,那么来自同一客户端的请求就不需要再一次连接,避免每次请求都要新建一个连接而加重服务器的负担。

  KeepAlive的连接活跃时间当然是受KeepAliveTimeOut限制的。如果第二次请求和第一次请求之间超过KeepAliveTimeOut的时间的话,第一次连接就会中断,再新建第二个连接。

  所以,一般情况下,图片较多的网站应该把KeepAlive设为On。但是KeepAliveTimeOut应该设置为多少秒就是一个值得讨论的问题了。

  如果KeepAliveTimeOut设置的时间过短,例如设置为1秒,那么APACHE就会频繁的建立新连接,当然会耗费不少的资源;反过来,如果KeepAliveTimeOut设置的时间过长,例如设置为300秒,那么APACHE中肯定有很多无用的连接会占用服务器的资源,也不是一件好事。

  所以,到底要把KeepAliveTimeOut设置为多少,要看网站的流量、服务器的配置而定。

  其实,这和MySql的机制有点相似,KeepAlive相当于mysql_ connect或mysql_ pconnect,KeepAliveTimeOut相当于wait_timeout。

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • nginx负载均衡、配置ssl 原

    Nginx负载均衡即为当代理服务器将自定义的域名解析到多个指定IP时,通过upstream来保证用户可以通过代理服务器正常访问各个IP。

    阿dai学长
  • Apache和PHP的结合、虚拟主机 原

    Apache(httpd)的配置文件:/usr/local/apache2.4/conf/httpd.conf。

    阿dai学长
  • Apache用户认证、域名跳转、访问日志格式 原

    注意: 本章使用浏览器进行检测的前提是在物理机hosts文件添加虚拟机IP和虚拟主机域名。

    阿dai学长
  • 0500-使用Python2访问Kerberos环境下的Kafka

    Kafka支持多种客户端语言(C/C++、Go、Java、JMS、.NET、Python)。Fayson在前面多篇文章介绍了Java访问Kerberos和非Ke...

    Fayson
  • 【科学杂志】人工智能未来发展的 10 个最重要问题

    SCIENCE 在创刊 125 周年之际,公布了 125 个最具挑战性的科学问题。其中有 10 个和人工智能未来的发展相关,我们来看看。 提示:与人工智能未来...

    新智元
  • emlog后台管理面板主题lscale

    Youngxj
  • 安全帽识别仪在工地现场智能监控预警

      建筑业是国民经济的重要产业,近年来随着我国建筑业企业生产和经营规模的不断扩大,建筑业总产值持续增长。与此同时,建筑业安全生产面临的形势不容乐观,在建工程数量...

    倍特威视
  • 剑指Offer面试题:35.将字符串转换为数字

      (3)考虑输入的字符串是否会发生上溢或下溢(正整数的最大值是0x7FFFFFFF,最小的负整数是0x80000000)

    Edison Zhou
  • 读书笔记-JavaScript面向对象编程(一)

    前前后后大概花了两周的时间,终于把这本书大致看完了,对之前javascript高级程序设计中模糊不清的概念,有了一些新的看法和角度,整体上来说,本书还是一本比较...

    小古哥
  • javascript语言精粹(蝴蝶书)-笔记

    版权声明:本文为吴孔云博客原创文章,转载请注明出处并带上链接,谢谢。 https://blog.csdn.net/wkyseo/articl...

    空空云

扫码关注云+社区

领取腾讯云代金券