如何配置Apache实现防盗链、隐藏版本信息
这篇文章主要为大家展示了"如何配置Apache实现防盗链、隐藏版本信息",内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下"如何配置Apache实现防盗链、隐藏版本信息"这篇文章吧。
一、配置Apache实现防盗链
1.防盗链就是防止别人的网站代码里面盗用服务器的图片、文件、视频等相关资源
2.如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力
3.所以作为网站的维护人员,要杜绝我们服务器的静态资源被其他网站盗用
使用两台主机模拟盗链
两台主机配置与功能如下:
盗链模拟步骤
1.两台主机配置测试页面
2.盗链网站的测试网页page盗 用源主机目录page/image的一个logo.jpg文件
3.在Windows中访问 http://a.test2.com/page.html,并用Fiddler抓包工具的查看效果图
检查Apache是否安装了mod_ rewrite模块
1./usr/ocal/apache/bin/apachectl -t -D DUMP_MODULES
2.如果输出中没有rewrite_module (static),, 则说明编译时没有安装
mod_rewrite模块
如果没有安装则要重新编译安装
1…/configure --enable-rewrite…
2.make &&make install
配置规则变量说明
1.%{HTTP_ REFERER}: 浏览header中的链接字段,存放一一个链
接的URL,代表是从哪个链接访问所需的网页
2.!^:不以后面的字符串开头
3…*$:以任意字符结尾
4.NC:不区分大写
5.R:强制跳转
规则匹配说明
1.RewriteEngine On:打开网页重写功能
2.RewriteCond:设置匹配规则
3.RewriteRule:设置跳转动作
规则匹配
1.如果相应变量的值匹配所设置的规则,则逐条往下处理;如果不匹配,则往后的规则不再匹配
配置操作演示
修改配置文件启用防盗链功能并设置规则:
RewriteEngine OnRewriteCond %{HTTP_REFERER} !http://test.com/.*$ [NC]*RewriteCond %{HTTP_REFERER} !^http://test.com$ [NC]RewriteCond %{HTTP_ REFERER} !^http://www.test.com/.*$ [NC]RewriteCond %{HTTP_ REFERER} !^http://www.test.com$ [NC]RewriteRule .*\.(gif|jpg|swf)$ http://www.test.com/error.html [R,NC]
配置Apache隐藏版本信息
1.Apache的版本信息,透露了一定的漏洞信息,从而给网站带来安全隐患
2.生产环境d要配置Apache隐藏版本信息
3.可使用Fiddler抓包工具分析
4.配置Apache隐藏版本信息
5.将主配置文件httpd.conf以下行注释去掉
(1)#Include conf/extra/httpd-default. conf
修改httpd-default.conf文件两个地方
(1)Server Tokens Full修改为Server Tokens Prod
(2)将ServersSignature On修改为ServersSignature Off
6.重启httpd服务,访问网站,抓包测试
配置实验
1、配置DNS域名解析文件
[root@localhost ~]# yum install bind -y[root@localhost ~]# vim /etc/named.confoptions { listen-on port 53 { any; }; //括号内127.0.0.1改为any listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; recursing-file "/var/named/data/named.recursing"; secroots-file "/var/named/data/named.secroots"; allow-query { any; }; //括号内localhost改为any#修改后按Esc,输入:wq保存退出[root@localhost ~]# vim /etc/named.rfc1912.zoneszone "kgc.com" IN { type master; file "kgc.com.zone"; allow-update { none; };};#在同格式下添加以上内容后按Esc,输入:wq保存退出[root@localhost ~]# cd /var/named/[root@localhost named]# lsdata dynamic named.ca named.empty named.localhost named.loopback slaves [root@localhost named]# cp -p named.localhost kgc.com.zone[root@localhost named]# vim kgc.com.zone$TTL 1D@ IN SOA @ rname.invalid. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS @ A 127.0.0.1www IN A 192.168.18.128#做以上格式的改动,注意最后的IP地址是填自己linux主机的IP地址,修改后按Esc,输入:wq保存退出[root@localhost named]# systemctl start named[root@localhost named]# systemctl stop firewalld.service [root@localhost named]# setenforce 0
2、共享文件
[root@localhost named]# mkdir /abc[root@localhost named]# mount.cifs //192.168.124.17/LAMP-C7 /abc //在宿主机中把有压缩文件的文件夹共享出来Password for root@//192.168.124.17/rpm: //此处直接回车 [root@localhost named]# cd /abc/LAMP/[root@localhost LAMP]# ls //此时可以看到挂载文件夹中的压缩文件apr-1.6.2.tar.gz cronolog-1.6.2-14.el7.x86_64.rpm mysql-5.6.26.tar.gzapr-util-1.6.0.tar.gz Discuz_X2.5_SC_UTF8.zip php-5.6.11.tar.bz2awstats-7.6.tar.gz httpd-2.4.29.tar.bz2[root@localhost LAMP]# tar jxvf httpd-2.4.29.tar.bz2 -C /opt/[root@localhost LAMP]# tar zxvf apr-1.6.2.tar.gz -C /opt/[root@localhost LAMP]# tar zxvf apr-util-1.6.0.tar.gz -C /opt/[root@localhost LAMP]# cd /opt/[root@localhost opt]# lsapr-1.6.2 apr-util-1.6.0 httpd-2.4.29 rh[root@localhost opt]# mv apr-1.6.2/ httpd-2.4.29/srclib/apr #srclib为数据库,可解析apr[root@localhost opt]# mv apr-util-1.6.0/ httpd-2.4.29/srclib/apr-util[root@localhost opt]# yum install gcc gcc-c++ pcre pcre-devel zlib-devel expat-devel -y #expat环境包不能忘[root@localhost opt]#cd httpd-2.4.29/ [root@localhost httpd-2.4.29]# ./configure \--prefix=/usr/local/httpd \--enable-deflate \--enable-so \--enable-rewrite \--enable-charset-lite \--enable-cgi[root@localhost httpd-2.4.29]#make[root@localhost httpd-2.4.29]#make inatall[root@localhost httpd-2.4.29]# vim /usr/local/httpd/conf/httpd.conf /ServerName,搜索到网址处,把#注释去掉,内容改为如下内容ServerName www.kgc.com:80/Listen,搜索到监听端口,把IPv6注释加上,把IPv4监听IP地址改为自己linux的地址Listen 192.168.234.164:80#Listen 80#修改后按Esc,输入:wq保存退出 [root@localhost httpd-2.4.29]# ln -s /usr/local/httpd/conf/httpd.conf /etc/httpd.conf//建立软连接[root@localhost httpd-2.4.29]# cd /usr/local/httpd/bin/[root@localhost bin]# lsab apu-1-config dbmmanage fcgistarter htdigest httxt2dbmapachectl apxs envvars htcacheclean htpasswd logresolveapr-1-config checkgid envvars-std htdbm httpd rotatelogs[root@localhost bin]# vim /usr/local/httpd/htdocs/index.htmlIt works!
//需要插入图片,做以上更改,后按Esc,输入:wq保存退出[root@localhost bin]# cp /aaa/LAMP/time.jpg /usr/local/httpd/htdocs///复制图片到此目录下 [root@localhost bin]# ./apachectl start[root@localhost bin]# netstat -ntap | grep 80tcp 0 0 192.168.18.128:80 0.0.0.0:* LISTEN 93989/httpd
3、验证
win10-1作为盗链网站,win7-1作为测试客户端
在win7-1中,网络把DNS解析的地址改为自己linux系统的IP地址
4、我们进入浏览器输入: www.kgc.com, 此时可以浏览我们写好的网页:
5、我们进入win7-1盗链客户端的浏览器输入www.kgc.com,此时也可以访问这个网页,此时我们想到用这个图片,右键点击图片,选择属性,可以看到这张图片的URL:http://www.kgc.com/time.jpg
6、此时我们需要搭建盗链网站:
控制面板-程序-程序和功能-打开和关闭windows功能-选择Internet信息服务
7、我们点击左下角的图标,在搜索栏搜索iis
8、新建文档
9、看文档扩展名
10、把网页文件拖至以下路径中:C:\inetpub\wwwroot
此时就可以用测试机进行访问了
1.此处需要注意的是两台主机都需要关闭防火墙,否则会无法访问网页
2.在盗链浏览器中国输入测试主机的IP地址:192.168.234.161,就可以访问到盗链的网站
3.此时图片相同说明盗链成功,test.web是盗链网站,盗用了kgc的官方网站的图片,别人在访问test.web的时候,这张图片被自动加载,但是流量依旧被导给了kgc的官方网站
以上是盗链的过程,但是有盗链的事情出现我们需要杜绝就要用到防盗链
[root@localhost bin]# vim ../conf/httpd.conf /rewrite,将此行注释去掉LoadModule rewrite_module modules/mod_rewrite.soRequire all granted//在此行下插入以下规则 RewriteEngine OnRewriteCond %{HTTP_REFERER} !http://kgc.com/.*$ [NC]RewriteCond %{HTTP_REFERER} !^http://kgc.com$ [NC]RewriteCond %{HTTP_REFERER} !^http://www.kgc.com/.*$ [NC]RewriteCond %{HTTP_REFERER} !^http://www.kgc.com/$ [NC]RewriteRule .*\.(gif|jpg|swf)$ http://www.kgc.com/error.png #修改后按Esc,输入:wq保存退出
4、拷贝图片
[root@localhost bin]# ls ../htdocs/ha.jpg index.html[root@localhost bin]# cp /aaa/LAMP/error.png ../htdocs/[root@localhost bin]# ls ../htdocs/error.png ha.jpg index.html[root@localhost bin]# ./apachectl stop[root@localhost bin]# ./apachectl start
5、验证防盗链:
我们使用测试机再次输入192.168.234.161,此时因为设置了防盗链所以会强制弹出我们的error图片,此时说明了防盗链设置成功!
二、隐藏版本信息
基于上一个防盗链的配置不变,开始隐藏版本号的优化操作。
实验步骤
1、实验前的验证
进入Windows客户端,使用fiddler抓包,可看到版本信息
2、抓包会显示版本后缀,图谋不轨之人会针对该版本的漏洞对服务器进行attack,这是非常不安全,因此需要对版本号进行隐藏。
3、优化过程如下:
[root@localhost ~]# vim /usr/local/httpd/conf/httpd.conf/default 搜索default,进行如下修改Include conf/extra/httpd-default.conf //将开头的#删除wq保存退出
4、开启后将会在/usr/local/httpd/conf/extra/中生成httpd-default.conf配置文件用于优化
[root@localhost bin]# vim /usr/local/httpd/conf/extra/httpd-default.conf /ServerTokens 搜索ServerTokens,进行如下修改ServerTokens Prod //将Full改为Prodwq保存退出[root@localhost bin]# ./apachectl stop[root@localhost bin]# ./apachectl start //重启服务
5、验证结果:版本号被隐藏
以上是"如何配置Apache实现防盗链、隐藏版本信息"这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注行业资讯频道!