2018年9月13日第二十节课笔记——LAMP架构 (3)
内容摘要:
一、配置防盗链
- 防盗链,用于防止链接被其他网站盗用导致占用服务器的流量,此时可以通过限制referer来防止链接被盗用。
- 修改httpd虚拟主机配置文件/usr/local/apache2.4/conf/extra/httpd-vhosts.conf ,增加以下内容:
<Directory /data/wwwroot/abc.com> 指定网站的目录
SetEnvIfNoCase Referer "http://abc.com" local_ref 指定白名单referer
SetEnvIfNoCase Referer "http://www.abc.com" local_ref
SetEnvIfNoCase Referer "^$" local_ref 将空referer加入白名单
<filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)"> 定义规则(针对这些文件设置防盗链)
Order Allow,Deny order定义规则顺序,allow表示同意,deny表示拒绝。
二、访问控制Directory
<Directory /data/wwwroot/abc.com/admin/> 指定需要限制的目录
Order deny,allow Order确定执行顺序,整个语句都会执行一遍。
Deny from all 如果先deny,后allow,则会先执行deny的操作,再执行允许的动作,后面的动作会覆盖前面的操作。如果先allow,后deny all,则最后的结果会是deny。
- 将hosts指向192.168.157.128时,使用游览器访问时,显示报错403
三、访问控制FilesMatch
<Directory /data/wwwroot/abc.com>
四、限定某个目录禁止解析php
有些目录是存放静态文件的目录,如图片目录,本身不需要允许php的解析。如果没有注意,允许了php解析,而且又开放了该目录的文件上传权限。很可能被别有用心的人利用上传木马,导致服务器被攻破。除了开发人员在程序开发过程中要注意安全的设计,也可以通过apache限制某些目录的php解析。
<Directory /data/wwwroot/abc.com/upload>
<Directory /data/wwwroot/abc.com/upload>
<FilesMatch (.*)\.php(.*)> 添加filesmatch规则,禁止访问php的文件
五、限制user_agent
有时候网站可能会遭受CC攻击,这可以通过限制user—agent来减小攻击压力
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR] 限制curl,baidu.com代理的访问,其中OR表示或者,NC表示忽略大小写。
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
六、PHP相关配置
修改php配置文件后,都要使用apachectl测试并重新加载配置文件
- 使用命令的方式查看php配置文件(不太准确):/usr/local/php/bin/php -i|grep -i "loaded configuration file"
- 建立一个phpinfo()函数的页面来查看(最准确)
- 复制配置文件:cp php.ini-development /usr/local/php7/etc/php.ini
- 其中该目录下有两个php-ini的配置文件,development(开发)和production(生产)。
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
- 修改php配置文件开启错误日志:log_errors = On (默认开启状态)
- 修改php配置文件设置错误日志路径:error_log =/tmp/php7_errors.log
- 修改php配置文件,定义记录日志的错误级别:error_reporting = E_ALL & ~E_NOTICE (生产环境中使用该错误等级,默认为E_ALL会记录所有的错误,但是不会记录通知和一般性的警告。)
- 修改php.ini文件:open_basedir= /data/wwwroot/abdc.com:/tmp 将访问限制在abdc.com和tmp目录下
- 使用curl访问测试abc.com/index.php,状态码500:
- 修改apache虚拟主机配置文件/usr/local/apache2.4/conf/extra/httpd-vhosts.conf 增加如下内容:php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp/"
- 使用curl访问测试abc.com/index.php,状态码200访问正确:
七、PHP扩展模块安装
有时候php安装编译完成后,这时候发现缺少了一个模块,但又不想重新编译php模块,可以使用扩展模块编译。
- 移动到src目录下:cd /usr/local/src
- 下载源码包:wget https://codeload.github.com/phpredis/phpredis/zip/develop
- 变更文件名称:mv develop phpredis-develop.zip
- 解压文件:unzip phpredis-develop.zip
- 进入解压后的目录:cd phpredis-develop
- 生成configure文件:/usr/local/php/bin/phpize (可能会提示报错,缺少autoconf,使用yum安装即可)
- 生成安装目录和配置:./configure --with-php-config=/usr/local/php7/bin/php-config
- 安装编译:make && make install
- 查看扩展模块存放目录,我们可以在php.ini中去自定义该路径 :/usr/local/php7/bin/php -i |grep extension_dir
- 在php.ini配置文件中添加一行配置:extension = redis.so
- 查看模块是否加载成功:/usr/local/php7/bin/php -m | grep redis
八、扩展
- 使用php自带的pecl工具快速安装PHP扩展模块: /usr/local/php7/bin/pecl install redis
- Apache访问控制相关:https://coding.net/u/aminglinux/p/apache/git/blob/master/access.md?tdsourcetag=s_pcqq_aiomsg
- 几种限制ip的方法 http://ask.apelearn.com/question/6519
- apache 自定义header http://ask.apelearn.com/question/830
- apache的keepalive和keepalivetimeout http://ask.apelearn.com/question/556
- apache开启压缩 http://ask.apelearn.com/question/5528
- apache2.2到2.4配置文件变更 http://ask.apelearn.com/question/7292
- apache options参数 http://www.365mini.com/page/apache-options-directive.htm
- apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
- apache 配置https 支持ssl http://ask.apelearn.com/question/1029
- apache rewrite教程 http://coffeelet.blog.163.com/blog/static/13515745320115842755199或http://www.cnblogs.com/top5/archive/2009/08/12/1544098.html
- apache rewrite 出现死循环 http://ask.apelearn.com/question/1043
- php错误日志级别参考 http://ask.apelearn.com/question/6973
- php开启短标签 http://ask.apelearn.com/question/120
- php.ini详解 http://legolas.blog.51cto.com/2682485/493917