防盗链

title: 第五章 Linux实操篇 categories: Linux tags: linux typora-root-url: … abbrlink: 93414991 date: 2019-08-15 15:27:58 第五章 Linux实操篇 远程登录Linux系统 5.1 为什么要远程登录服务器 5.2 xhell5(windows)远程登录软件 需要Linux开启sshd服务 22端口 5.3 xftp 远程文件操纵 第六章 Linux实操篇 vi和vim编辑器 6.1 vi 和vim介绍 vi是系统自带的文本编辑器 vim是vi的增强版 6.2 三种模式 6.2.1 正常模式 正常模式下，我们可以使用快捷键 6.2.2 插入模式 在该模式下，程序员可以输入内容 6.2.3 命令行模式 完成读取、存盘、替换、显示行号等动作 6.3 快速入门 yy 复制 dd 删除 u撤销 set nu 设置行号 set nonu 取消行号 shift+g 定位 eg: 5 shift+g 定位到第5行 第七章 Linux实操篇 开机、重启、用户登录注销 7.1 关机和重启指令 shutdown shutdown - h now shutdown -h 1 表示1分钟后关机 shutdown -r now 立即重启 halt 直接使用，效果等价于关机 reboot 重启系统 sync

什么叫防盗链？ 两个网站A和B， A网站引用了B网站上的图片，这种行为就叫盗链。防盗链，就是要防止A引用B的图片。 如果不做防盗链那么服务器会多出来很多的带宽。开销很大。 配置conf location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 7d; valid_referers none blocked server_names *.linux.com; ##通配允许.linux.com白名单 if ($invalid_referer) { ##若不是*.linux.com return 403; ##返回403 } access_log off; ｝ 测试 # curl -x127.0.0.1:80 -e "http://bbs.centos.com/1.jpg" http://blog.linux.com/1.jpg -I HTTP/1.1 403 Forbidden Server: nginx/1.17.0 Date: Sun, 13 Oct 2019 01:29:29 GMT Content-Type: text/html Content-Length: 153 Connection: keep-alive 　　 # curl -x127.0.0.1:80

为什么要配置防盗链 A是某一网站站长，A网站中的图片和音频视频链接等静态资源都保存在对象存储OSS上或者本地。 B是另一网站的站长，B在未经A允许的情况下使用A网站的图片资源，放置在自己网站的网页中，通过这种方法盗取 空间和流量 。这样的情况下，第三方网站用户看到的是B网站，但并不清楚网站里的图片来源。 OSS是收费的，这样用户A在没有获取任何收益的情况下，反而承担了资源使用费用，并且B在没有经过允许的情况下适用这些资源也是侵害了A的合法权益。 综上，为了防止B这一类人的不法侵害，需要使用防盗链进行防护 配置防盗链的方法 要实现防盗链，需要了解HTTP协议中的请求头部的 Referer头域 和采用URL的格式表示访问当前网页或者文件的源地址。通过该头域的值，我们可以检测到访问目标资源的源地址。这样，如果我们检测到 Referer头域 中的值并不是自己站点内的URL，就采取阻止措施，实现防盗链。 Nginx的valid_referers可以配置相关防盗链的行为 **Syntax: valid_referers none | blocked | server_names | string ...; Default: — Context: server, location #搜索匹配不区分大小写 Parameters can be as follows: none

1， 在源主机设置防盗链步骤 [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf location ~* \.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv)$ { valid_referers none blocked *.source.com source.com; //valid_referers 设置信任网站 ， none 浏览器中referers为空的情况，就直接在浏览器访问图片 //referers不为空的情况，但是值被代理或防火墙删除了，这些值不以http:// 或https://开头 if ($invalid_referer) { //if 判断除了信任网站以外全部放到rewrite指定的路径去处理 rewrite ^/ http://www.source.com/error.jpg; //路径 #return 403; } } 总结：为什么需要防盗链 列如，防止我服务器上的图片被别人盗用后，别的客户机访问盗我图片的服务器，流量还是走我服务器的流量，导致我服务器流量异常偏高的危险。 来源： https://www.cnblogs.com/otherwise/p/11543182.html

企业网站绝大多数都在用CDN进行加速，其实在使用过程中，我们有很多问题，我为大家做一个简要的解释，希望有对大家有用！ 1.企业对外发布网站，无非使用公有云的PaaS服务或者服务器，一般情况下，我们都建议网站CNAME到PaaS服务的域名上或者IaaS层的服务器DNS上，我们不建议直接A记录到IP地址上，这样做是不合规和不安全的。 2.在使用和创建CDN的时候，CDN会生成一个CNMAE，这个CNAME可以提供给域名管理人员，在域名供应商哪里配置域名 3.根据业务类型，客户如果需要加速下载，那么在配置CDN的时候就选择下载加速，如果需要网站加速，那就选择web加速，根据自己的业务场景来选择 4.CND都提供防盗链功能，我们不希望自己业务域名以为的其他非正常访问来获取我们的资源，那么在使用过程中可以启用防盗链，在白名单中授权那些域名可以访问自己的数据源；防盗链功能的规则需要配置绝对路径，所以，在配置过程中需要把路径配置正确才可以起作用，这是大家要注意的。 来源： https://blog.csdn.net/elva428204358/article/details/100978505

准备两台Linux，用第二台linux主机来通过拿第一台主机的图片链接来展现图片； 因为主机2是通过主机1拿的图片链接所以当别人都通过链接访问图片时,占用的是主机一的内存空间，而不是占用主机2的内存空间 A）设定主机一为本公司的服务器，一旦非本公司人员通过链接去访问图片时，会对服务器造成内存压力。因此要设置非本公司人员不能通过链接访问 解决方法，主机一做防盗链功能可以有效的阻止非本公司人员访问图片。以造成内存压力-------》这样主机2将访问不到图片即使有图片链接 第一台Ip地址为：192.168.200.115 第二台ip地址值为：192.168.200.105 未添加图片前只有字母： 改动index.html添加图片： [root@localhost ~]# cd /usr/local/nginx/html/ [root@localhost html]# ls 50x.html index.html [root@localhost html]# vim index.html 在p段落下添加图片链接 <img src="http://192.168.200.115/linux.jpg" /> 添加图片后 在主机1中的server下添加如下命令 [root@localhost ~]# vim /usr/local/nginx/html/error.txt <h1>盗链可耻</h1

一： 针对不同的文件类型 location ~* \.(gif|jpg|png|swf|flv)$ { valid_referers none blocked www.jzxue.com jzxue.com ; if ($invalid_referer) { rewrite ^/ http://www.jzxue.com/retrun.html; #return 403; } } 第一行：gif|jpg|png|swf|flv 表示对gif、jpg、png、swf、flv后缀的文件实行防盗链 第二行： 表示对www.ingnix.com这2个来路进行判断 if{}里面内容的意思是，如果来路不是指定来思是，如果来路不是指定来路就跳转到http://www.jzxue.com/retrun.html页面，当然直接返回403也是可以的。 二： 针对不同的目录 location /images/ { alias /data/images/; valid_referers none blocked server_names *.xok.la xok.la ; if ($invalid_referer) { return 403; } } 三： 第三方模块 (推荐) nginx 的第三方模块ngx_http_accesskey_module 来实现下载文件的防盗链 安装Nginx和nginx

这里需要使用两台Linux主机（一台充当防盗链服务器，一台充当盗链服务器），下表是它们所使用的操作系统以及IP地址。 两台Linux主机所使用的操作系统以及IP地址 主机名称 操作系统 IP地址 防盗链服务器 CentOS7.5 192.168.5.23 盗链服务器 CentOS6.10 192.168.5.154 两台Linux主机的Nginx采用yum安装，版本都是1.16.1 一、nginx模块ngx_http_referer_module指令简介 nginx中ngx_http_referer_module模块允许拦截“Referer”请求头中含有非法值的请求，阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是非常容易的， 因此这个模块的预期目的不在于彻底地阻止这些非法请求，而是为了阻止由正常浏览器发出的大规模此类请求（提高了技术门槛，可以限制多数普通用户）。 还有一点需要注意，即使正常浏览器发送的合法请求，也可能没有“Referer”请求头，所以有时候不能拒绝来源头部“Referer”为空的请求。 防盗链配置语法 语法：valid_referers none | blocked | server_names | string ...; 可以配置在server或者location节点里 参数说明 none：缺少“Referer” 请求头的情况；

今天遇到一个客户，做视频站的，用的是Html5播放器，最开始想隐藏真实地址，尝试了很多办法都没办法隐藏，最后尝试CK切段处理，但是用户体验效果不好，切段多了会出现卡顿情况。 最后没办法和客户商议后决定采用防盗链，禁止非绑定的域名访问下载视频，同样看了很多教程，完全是一脸懵逼不知道怎么操作。 只能不断尝试，最后还是给解决了，方法如下 SetEnvIfNoCase Referer "^http://youer.com" local_ref=1 SetEnvIfNoCase Referer "^http://www.youer.com" local_ref=1 <FilesMatch "\.(gif|jpb|png|css|js|swf|mp4)"> Order Allow,Deny Allow from env=local_ref </FilesMatch> 只需要将以上代码粘贴之.htaccess文件中并重启Apache即可； 需要注意的是 SetEnvIfNoCase Referer 可 以无限添加，有多少域名就添加多少域名， 红色部分是需要防止盗链的文件后缀，设置比较多，建议CSS与JS还是不要屏蔽的好，屏蔽这么多属于无奈，客户要求。 重启Apache访问视频路径效果就出来了；防盗链会爆403错误，不用紧张属于正常； 有能力可以制作一个精美的403页面，或者找大搜下载一个就行。

首先，我们需要知道通过什么来实现防盗的！ 　　　　http referer 是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上referer，这是在告诉服务器是从哪个页面链接过来的，服务器借此可以获得一些信息用于处理； 1 2 3 4 5 6 location /photos/ { 　　　　valid_referers none blocked 域名/IP; 　　　　 if ($invalid_referer) { 　　　　　　 return 403; 　　　　} } 　　 Http Referer 模块的功能有： valid_referers ：该指令会根据浏览器Referer header头的内容分配一个值0或1给变量$invalid_referer ; 如果referer header 头不符合valid_referers指令设置的有效referer，变量$invalid_referer将被设置为1,那么便会执行if模块中的内容； 该指令的参数有： none ：默认值，表示没referer值（直接访问防盗链中的内容）的情况； blocked ：表示referer值被防火墙伪装； server_names ：表示一个或者多个主机名称，从nginx0.5.33版本开始，server_names中可以使用通配符*； 我们通过一个例子来更深彻的来了解一下防盗链吧