Apache优化——访问控制
2017-08-02 00:00
246 查看
摘要: 合理分权是提升管理效率的有效方法,通过本讲内容所讲而已对Apache进行合理配置,进行针对性的授权,从而提升对Apache的管理以及安全性。
注: 如果在referer白名单中不加“^#”(空referer),直接访问指定内容将会被拒绝。
**说明:**本节用于设定指定IP访问指定目录的权限!
说明: 本节内容应用于对某些请求设定权限。
增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库:
禁止访问某些指定的目录
可以使用<DirectoryMatch> 正则匹配:
也可以使用目录全局路径
通过文件匹配来进行禁止,比如禁止所有针对图片的访问:
针对URL相对路径的禁止访问
如果没有加载,需要进行加载配置。
2. 设置header
在Apache配置文件中加入下面参数:
KeepAlive的连接活跃时间当然是受KeepAliveTimeOut限制的。如果第二次请求和第一次请求之间超过KeepAliveTimeOut的时间的话,第一次连接就会中断,再新建第二个连接。
所以,一般情况下,图片较多的网站应该把KeepAlive设为On。但是KeepAliveTimeOut应该设置为多少秒就是一个值得讨论的问题了。
如果KeepAliveTimeOut设置的时间过短,例如设置为1秒,那么APACHE就会频繁的建立新连接,当然会耗费不少的资源;反过来,如果KeepAliveTimeOut设置的时间过长,例如设置为300秒,那么APACHE中肯定有很多无用的连接会占用服务器的资源,也不是一件好事。
所以,到底要把KeepAliveTimeOut设置为多少,要看网站的流量、服务器的配置而定。
其实,这和MySql的机制有点相似,KeepAlive相当于mysql_ connect或mysql_ pconnect,KeepAliveTimeOut相当于wait_timeout。
11.25 配置防盗链
编辑虚拟主机配置文件:[root@adailinux ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf <VirtualHost *:80> DocumentRoot "/data/wwwroot/111.com" ServerName 111.com ServerAlias www.example.com <Directory /data/wwwroot/111.com> SetEnvIfNoCase Referer "http://111.com" local_ref SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref SetEnvIfNoCase Referer "^$" local_ref #定义referer白名单 <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)"> Order Allow,Deny Allow from env=local_ref #定义规则:允许变量local_ref指定的referer访问,拒绝其他所有访问。 </FilesMatch> </Directory> ErrorLog "logs/111.com-error_log" SetEnvIf Request_URI ".*\.gif$" img SetEnvIf Request_URI ".*\.jpg$" img SetEnvIf Request_URI ".*\.png$" img SetEnvIf Request_URI ".*\.bmp$" img SetEnvIf Request_URI ".*\.swf$" img SetEnvIf Request_URI ".*\.js$" img SetEnvIf Request_URI ".*\.css$" img CustomLog "|/usr/local/apache2.4/bin/rotatelogs -l logs/111.com-access_%Y%m%d.log 86400" combined env=!img #CustomLog "logs/111.com-access_log" combined env=!img </VirtualHost> 检测语法错误并重载: [root@adailinux ~]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@adailinux ~]# /usr/local/apache2.4/bin/apachectl graceful
注: 如果在referer白名单中不加“^#”(空referer),直接访问指定内容将会被拒绝。
curl命令
curl -e 指定referer[root@adailinux ~]# curl -e "http://ask.apelearn.com/" -x192.168.8.131:80 111.com/baidu.png -I
11.26 访问控制Directory
编辑虚拟主机配置文件:在配置文件加入如下参数: [root@adailinux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf …… <Directory /data/wwwroot/111.com/admin/> Order deny,allow Deny from all Allow from 127.0.0.1 #只允许IP--127.0.0.1访问“/data/wwwroot/111.com/admin/”目录中的内容 </Directory> …… [root@adailinux admin]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@adailinux admin]# /usr/local/apache2.4/bin/apachectl graceful 测试: [root@adailinux admin]# curl -x127.0.0.1:80 111.com/admin/index.php 121212 更换IP访问: [root@adailinux admin]# curl -x192.168.8.131:80 111.com/admin/index.php -I HTTP/1.1 403 Forbidden Date: Wed, 02 Aug 2017 08:48:49 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1 #报错(403)!!!即,只有指定IP--127.0.0.1可以访问该目录。
**说明:**本节用于设定指定IP访问指定目录的权限!
11.27 访问控制FilesMatch
使用FilesMatch参数: [root@adailinux admin]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf …… <Directory /data/wwwroot/111.com> <FilesMatch admin.php(.*)> Order deny,allow Deny from all Allow from 127.0.0.1 </FilesMatch> </Directory> …… [root@adailinux admin]# /usr/local/apache2.4/bin/apachectl -t Syntax OK [root@adailinux admin]# /usr/local/apache2.4/bin/apachectl graceful [root@adailinux admin]# curl -x127.0.0.1:80 111.com/admin.php -I HTTP/1.1 404 Not Found Date: Wed, 02 Aug 2017 09:24:22 GMT Server: Apache/2.4.27 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1 #因为访问的文件不存在,所以报错:404!
说明: 本节内容应用于对某些请求设定权限。
扩展:
apache几种限制ip的方法
禁止访问某些文件/目录增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库:
<Files~"\.inc$"> Order Allow,Deny Deny from all </Files>
禁止访问某些指定的目录
可以使用<DirectoryMatch> 正则匹配:
<Directory~"^/var/www/(.+/)*[0-9]{3}"> Order Allow,Deny Deny from all </Directory>
也可以使用目录全局路径
通过文件匹配来进行禁止,比如禁止所有针对图片的访问:
<FilesMatch \.?i:gif|jpe?g|png)$> Order Allow,Deny Deny from all <FilesMatch>
针对URL相对路径的禁止访问
<Location /dir/> Order Allow,Deny Deny from all </Location>
apache设置自定义header
在设置自定义header前,需要先检测一下你的httpd(Apache)是否加载了mod_headers[root@adailinux ~]# /usr/local/apache2/bin/apachectl -M
如果没有加载,需要进行加载配置。
2. 设置header
在Apache配置文件中加入下面参数:
Header add MyHeader "Hello"
apache的keepalive和keepalivetimeout
在APACHE的httpd.conf中,KeepAlive指的是保持连接活跃,类似于Mysql的永久连接。换一句话说,如果将KeepAlive设置为On,那么来自同一客户端的请求就不需要再一次连接,避免每次请求都要新建一个连接而加重服务器的负担。KeepAlive的连接活跃时间当然是受KeepAliveTimeOut限制的。如果第二次请求和第一次请求之间超过KeepAliveTimeOut的时间的话,第一次连接就会中断,再新建第二个连接。
所以,一般情况下,图片较多的网站应该把KeepAlive设为On。但是KeepAliveTimeOut应该设置为多少秒就是一个值得讨论的问题了。
如果KeepAliveTimeOut设置的时间过短,例如设置为1秒,那么APACHE就会频繁的建立新连接,当然会耗费不少的资源;反过来,如果KeepAliveTimeOut设置的时间过长,例如设置为300秒,那么APACHE中肯定有很多无用的连接会占用服务器的资源,也不是一件好事。
所以,到底要把KeepAliveTimeOut设置为多少,要看网站的流量、服务器的配置而定。
其实,这和MySql的机制有点相似,KeepAlive相当于mysql_ connect或mysql_ pconnect,KeepAliveTimeOut相当于wait_timeout。
相关文章推荐
- LAMP架构——Apache优化之访问控制
- windows xp下设置apache目录访问身份验证(目录访问控制)
- 理解和优化apache并发控制参数prefork
- Apache中目录权限访问控制配置
- Apache基础服务之Web访问控制(身份验证、虚拟目录、虚拟主机)
- apache基于用户和组的访问控制
- Linux系统Apache用户授权和访问控制
- Apache访问控制之虚拟主机配置
- LAMP - Apache访问控制
- Apache2.4和Apache2.2访问控制配置比较
- RHEL6.3配置Apache服务器(4) 基于用户的访问控制
- 网站访问优化(二):开启apache服务器gzip压缩
- Apache2.4使用require指令进行访问控制--允许或限制IP访问/通过User-Agent禁止不友好网络爬虫
- 怎样控制不让外部用户访问发布在apache上的phpMyAdmin
- apache配置优化 - 解决apache环境下网站访问速度慢的问题
- apache目录的访问控制
- Apache访问控制---模块
- Apache 访问控制
- 提升Apache网站访问速度的优化方法
- apache基于第三层的访问控制和基于用户的web