O anti-hotlinking evita que os códigos de outros sites desviem fotos, arquivos, vídeos e outros recursos relacionados em nosso próprio servidor.
Ocultar as informações da versão é evitar que os invasores varram as informações da versão do software e, em seguida, conduzam ataques direcionados.
Artigo Diretório
Um: serviço de rede anti-roubo Apache
1: O que é anti-sanguessuga
- O anti-hotlinking evita que códigos de sites de terceiros desviem fotos, arquivos, vídeos e outros recursos relacionados em nosso próprio servidor
- Se outros desviarem esses recursos estáticos do site, obviamente aumentará a pressão de largura de banda do servidor
- Como mantenedores do site, devemos evitar que os recursos estáticos do servidor sejam desviados por outros sites
2: introdução ambiental
| endereço de IP | nome do domínio | usar |
|---|---|---|
| 192.168.158.30 | www. | servidor |
| 192.168.158.10 | www | Site Hotlink |
| Cliente | Windows 10 | Computador cliente |
3: Imite o processo de hotlink
- Página de teste de configuração de dois hosts
- A página de teste do site de hotlink, roubando um arquivo logo.jpg no diretório do site de host de origem
- Verificação de acesso no Windows
[root@server1 html]# cat index.html
<html><body><h1>apache</h1><img src="http://192.168.158.30/20201013120035500.png"/></body></html>
A imagem não é local
5: O host abre a função de link anti-roubo
[root@server3 htdocs]# vi /etc/httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so #去注释
6: Modifique o arquivo de configuração
#再合适位置添加以下内容
RewriteEngine On
RewriteCond %{
HTTP_REFERER} !^http://192.168.158.30$ [NC]
RewriteCond %{
HTTP_REFERER} !^http://192.168.158.30/* [NC]
RewriteCond %{HTTP_REFERER} !^http://192.168.158.30/.*$ [NC]
RewriteRule .*\.(gif|png|swf)$ http://192.168.158.30/error.jpg [R,NC] #重写为网址的error图片
Apenas o acesso ao IP 192.168.158.30 pode obter recursos
7: Verifique o arquivo de configuração e reinicie o serviço
[root@server3 htdocs]# httpd -t
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::9a22:5aea:2642:6dff. Set the 'ServerName' directive globally to suppress this message
Syntax OK
[root@server3 htdocs]# apachectl -t
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::9a22:5aea:2642:6dff. Set the 'ServerName' directive globally to suppress this message
Syntax OK
[root@server3 htdocs]# netstat -anpt | grep httpd
tcp6 0 0 :::80 :::* LISTEN 110626/httpd
- Efeito de teste
Não consigo obter os recursos do meu servidor através de outros sites usando o teste de hospedagem do Windows
.
Dois: ocultar informações de versão
1: A função de ocultar informações de versão do Apache
Os invasores geralmente verificam as informações da versão do software e, em seguida, conduzem ataques direcionados. Normalmente, cada versão não é perfeita, portanto, se você conhece a versão, pode realizar ataques direcionados. Você deve ocultá-la assim que a instalação do apache for concluída. Versão informação
2: Configure o Apache para ocultar informações de versão
As informações de versão do Apache revelam certas informações de vulnerabilidade, o que
traz riscos de segurança para o site da Web. No ambiente de produção, configure o Apache para ocultar informações de versão
3: Modificar informações de versão
Comente as seguintes linhas no arquivo de configuração principal httpd.conf
[root@server3 conf]# pwd
/usr/local/httpd/conf
[root@server3 conf]# vi /etc/httpd.conf
Include conf/extra/httpd-default.conf ##去注释
[root@server3 conf]# vi extra/httpd-default.conf
ServerTokens Prod
Serversignature Off
| Opções | Formato de saída |
|---|---|
| ServerTokens Prod | ServerTokens Major |
| ServerTokens Minor | Servidor: Apache / 2.0 |
| ServerTokens Min | Servidor: Apache / 2.0.41 |
| ServerTokens OS | Servidor: Apache / 2.0.41 (Unix) |
| ServerTokens Full | Servidor: Apache / 2.0.41 (Unix) PHP / 4.2.2 MyMod / 1.2 |
4: Verificação de acesso
Três: imagens usadas neste experimento
