博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Apache优化——访问控制
阅读量:5879 次
发布时间:2019-06-19

本文共 3629 字,大约阅读时间需要 12 分钟。

11.25 配置防盗链

编辑虚拟主机配置文件:

[root@centos-01inux ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

<VirtualHost *:80>
DocumentRoot "/data/wwwroot/111.com"
ServerName 111.com
ServerAlias www.example.com
<Directory /data/wwwroot/111.com>
SetEnvIfNoCase Referer "" local_ref
SetEnvIfNoCase Referer "" local_ref
SetEnvIfNoCase Referer "^$" local_ref
#定义referer白名单
<FilesMatch ".(txt|doc|mp3|zip|rar|jpg|gif|png)">
Order Allow,Deny
Allow from env=local_ref
#定义规则:允许变量local_ref指定的referer访问,拒绝其他所有访问。
</FilesMatch>
</Directory>

Apache优化——访问控制

检测语法错误并重载:

[root@centos-01inux ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@centos-01inux ~]# /usr/local/apache2.4/bin/apachectl graceful
注: 如果在referer白名单中不加“^#”(空referer),直接访问指定内容将会被拒绝。

curl命令

curl -e 指定referer

[root@centos-01inux ~]# curl -e "" -x192.168.239.187:80 111.com/567.jpg -I

11.26 访问控制Directory

编辑虚拟主机配置文件:

在配置文件加入如下参数:

[root@centos-01inux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

……

<Directory /data/wwwroot/111.com/admin/>
Order deny,allow
Deny from all
Allow from 127.0.0.1
#只允许IP--127.0.0.1访问“/data/wwwroot/111.com/admin/”目录中的内容
</Directory>
……

[root@centos-01inux admin]# /usr/local/apache2.4/bin/apachectl -t

Syntax OK
[root@centos-01inux admin]# /usr/local/apache2.4/bin/apachectl graceful

测试:

[root@centos-01inux admin]# curl -x127.0.0.1:80 111.com/admin/index.php
121212

更换IP访问:

[root@centos-01inux admin]# curl -x192.168.239.187:80 111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: Wed, 02 Aug 2017 08:48:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

#报错(403)!!!即,只有指定IP--127.0.0.1可以访问该目录。

说明:本节用于设定指定IP访问指定目录的权限!

11.27 访问控制FilesMatch

使用FilesMatch参数:

[root@centos-01inux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

……
<Directory /data/wwwroot/111.com>
<FilesMatch admin.php(.*)>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</FilesMatch>
</Directory>
……

[root@centos-01inux admin]# /usr/local/apache2.4/bin/apachectl -t

Syntax OK
[root@centos-01inux admin]# /usr/local/apache2.4/bin/apachectl graceful

[root@centos-01inux admin]# curl -x127.0.0.1:80 111.com/admin.php -I

HTTP/1.1 404 Not Found
Date: Thu, 22 Mar 2018 13:23:04 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

#因为访问的文件不存在,所以报错:404!

说明: 本节内容应用于对某些请求设定权限。

扩展:

apache几种限制ip的方法

禁止访问某些文件/目录

增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库:

<Files~".inc$">

Order Allow,Deny
Deny from all
</Files>
禁止访问某些指定的目录

可以使用<DirectoryMatch> 正则匹配:

<Directory~"^/var/www/(.+/)*[0-9]{3}">

Order Allow,Deny
Deny from all
</Directory>
也可以使用目录全局路径

通过文件匹配来进行禁止,比如禁止所有针对图片的访问:

<FilesMatch .?i:gif|jpe?g|png)$>

Order Allow,Deny
Deny from all
<FilesMatch>
针对URL相对路径的禁止访问

<Location /dir/>

Order Allow,Deny
Deny from all
</Location>
apache设置自定义header

在设置自定义header前,需要先检测一下你的httpd(Apache)是否加载了mod_headers

[root@centos-01inux ~]# /usr/local/apache2/bin/apachectl -M
如果没有加载,需要进行加载配置。

  1. 设置header

在Apache配置文件中加入下面参数:

Header add MyHeader "Hello"

apache的keepalive和keepalivetimeout

  在APACHE的httpd.conf中,KeepAlive指的是保持连接活跃,类似于Mysql的永久连接。换一句话说,如果将KeepAlive设置为On,那么来自同一客户端的请求就不需要再一次连接,避免每次请求都要新建一个连接而加重服务器的负担。

  KeepAlive的连接活跃时间当然是受KeepAliveTimeOut限制的。如果第二次请求和第一次请求之间超过KeepAliveTimeOut的时间的话,第一次连接就会中断,再新建第二个连接。

  所以,一般情况下,图片较多的网站应该把KeepAlive设为On。但是KeepAliveTimeOut应该设置为多少秒就是一个值得讨论的问题了。

  如果KeepAliveTimeOut设置的时间过短,例如设置为1秒,那么APACHE就会频繁的建立新连接,当然会耗费不少的资源;反过来,如果KeepAliveTimeOut设置的时间过长,例如设置为300秒,那么APACHE中肯定有很多无用的连接会占用服务器的资源,也不是一件好事。

  所以,到底要把KeepAliveTimeOut设置为多少,要看网站的流量、服务器的配置而定。

  其实,这和MySql的机制有点相似,KeepAlive相当于mysql connect或mysql pconnect,KeepAliveTimeOut相当于wait_timeout。

转载于:https://blog.51cto.com/13242922/2083696

你可能感兴趣的文章
django数据库中的时间格式与页面渲染出来的时间格式不一致的处理
查看>>
Python学习笔记
查看>>
java String
查看>>
renhook的使用
查看>>
Linux学习笔记(十二)--命令学习(用户创建、删除等)
查看>>
DOCKER windows 7 详细安装教程
查看>>
养眼美女绿色壁纸
查看>>
U盘启动盘制作工具箱 v1.0
查看>>
增强myEclipse的提示功能
查看>>
Zabbix汉化方法
查看>>
Java I/O系统基础知识
查看>>
Java多线程设计模式(2)生产者与消费者模式
查看>>
对象并不一定都是在堆上分配内存的
查看>>
刘宇凡:罗永浩的锤子情怀只能拿去喂狗
查看>>
php晚了8小时 PHP5中的时间相差8小时的解决办法
查看>>
JS(JavaScript)的初了解7(更新中···)
查看>>
svn文件管理器的使用
查看>>
Ansible playbook 使用
查看>>
for/foreach/linq执行效率测试
查看>>
js /jquery停止事件冒泡和阻止浏览器默认事件
查看>>