11.25 配置防盗链
11.26 访问控制Directory
11.27 访问控制FilesMatch
配置防盗链
盗链一般是为了节省流量、提高访问速度。对于被盗链者来说一点益处没有,所以许多网站都做了防盗链设置。apache通过限制referer来实现防盗链的功能。
虚拟主机配置文件增加如下内容
<Directory /data/wwwroot/www.123.com>
SetEnvIfNoCase Referer "http://www.123.com" local_ref
SetEnvIfNoCase Referer "http://123.com" local_ref
SetEnvIfNoCase Referer "^$" local_ref
<filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
Order Allow,Deny
Allow from env=local_ref
</filesmatch>
</Directory>
order定义了访问控制的顺序,上例是先allow后deny,不关顺序怎样都会执行完下面的所有规则。local_ref类似标签。上面例子定义了三个标签,第三个是空referer,就是直接访问。不容易理解空referer就先思考referer的定义:跳转前的网址。空referer就是没有跳转前的网址,即直接访问。
可以某一论坛发一帖子然后在浏览器测试。也可以用curl来试验。curl使用-e参数来指定referer。
访问控制Directory
用户认证还是存在风险,比如密码泄漏。如果访问者ip固定,可以通过ip的访问控制来降低风险。
ip控制核心配置文件内容
<Directory /data/wwwroot/www.123.com/admin/>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>
order定义控制顺序,下面的语句一句order定义的顺序执行。127.0.0.1指的是来源ip。
curl测试状态码为403则被限制访问了。
访问控制FilesMatch
directory控制目录,filesmatch匹配相应文件。这和用户认证中设置类似。
核心配置文件内容
<Directory /data/wwwroot/www.123.com>
<FilesMatch "admin.php(.*)">
Order deny,allow
Deny from all
Allow from 127.0.0.1
</FilesMatch>
</Directory>
filesmatch不严格区分大小写。
