Apache 网页与安全优化(网页压缩--缓存--防盗链等)
文章目录
- 前言
-
- 一、Apache 网页优化
-
- 1.1、网页压缩
-
- 1.1.1、gzip 介绍
- 1.1.2、Apache 的压缩模块
- 1.1.3、mod_deflate 模块
- 1.2、网页缓存
- 二、Apache 安全优化
-
- 2.1、防盗链
-
- 2.1.1、准备环境
- 2.1.2、准备图片测试页
- 2.1.3、模拟盗取图片链接
- 2.1.4、Apache 防盗链配置
- 2.2、隐藏版本信息
-
- 2.2.1、隐藏版本信息的必要性
- 2.2.2、配置详解
- 2.2.3、测试
前言
我们在使用Apache作为Web服务器的过程中,只有对Apache服务器进行适当的优化配置,才能让Apache发挥出更好的性能;反之,如果Apache的配置非常糟糕,Apache可能无法为我们正常服务。因此,针对我们的应用需求对Apache服务器的配置进行一定分优化是必不可少的。
一、Apache 网页优化
1.1、网页压缩
在企业中,部署Apache后会有默认的配置参数,如果不及时进行优化配置,在当今互联网时代,会引发网站很多问题,换言之默认位置是针对以前较低的服务器配置的,以前的配置已经不适用当今互联网时代
为了适应企业需求,就需要考虑如何提升Apache的性能与稳定性,这就是Apache的优化内容
优化内容:
配置网页压缩功能
工作模式的选择与参数优化
配置防盗链
配置隐藏版本号
…
1.1.1、gzip 介绍
配置Apache的网页压缩功能,是使用gzip压缩算法来对网页内容进行压缩后在传输到客户端浏览器
作用:
降低了网络传输的字节数,加快网页加载的速度
节省流量,改善用户的浏览体验
gzip与搜索引擎的抓取工作有着更好的关系
1.1.2、Apache 的压缩模块
Apache实现网页压缩的功能模块包括
mod_gzip模块
mod_deflate模块
Apache 1.x
没有内建网页压缩技术,但是可以使用第三方mod_gzip模块执行压缩
Apache 2.x
在开发的时候,内建了mod_deflate这个模块,取代mod_gzip
mod_gzip模块与mod_deflate模块
两者均使用gzip压缩算法,运作原理类似
mod_deflate压缩速度略快,而mod_gzip的压缩比略高
mod_gzip对服务器CPU占用要高一些
高流量的服务器,使用mod_deflate可能会比mod_gzip加载速度更快
1.1.3、mod_deflate 模块
(1)检查是否安装了mod_deflate模块
[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "deflate"
如果输出中没有deflate_module,说明编译时没有安装mod_deflate模块
(2)安装mod_deflate模块
没有安装则需要停止Apache服务,重新编译安装Apache
[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install
(3)配置mod_deflate模块启用
编译安装后,mod_deflate模块需要在httpd.conf文件中启用才能生效
[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
....... 省略内容,文件末尾加入以下内容
LoadModule deflate_module modules/mod_deflate.so
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/css text/xml text/javascript image/png image/jpg
DeflateCompressionLevel 9
SetOutputFilter DEFLATE
</IfModule>
第一行代表对什么样的内容启用gzip压缩,第二行代表压缩级别,第三行代表启用deflate模块对本站点的输出进行gzip压缩。
(4)检测http.conf语法
[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK
(5)检测模块是否安装
[root@localhost httpd-2.4.29]# apachectl -t -D DUMP_MODULES | grep "deflate"
deflate_module (shared)
然后重新启动Apache服务
[root@localhost httpd-2.4.29]# systemctl restart httpd.service
(6)测试mod_deflate压缩是否生效
先做一个测试网页
将b照片传入/usr/local/htttpd/htdocs/目录下
[root@localhost httpd-2.4.29]# cd /usr/local/httpd/htdocs/
[root@localhost htdocs]# ll
total 400
-rw-r--r-- 1 root root 405431 Sep 2 03:29 b.jpg
-rw-r--r-- 1 root root 45 Jun 11 2007 index.html
[root@localhost htdocs]# vi index.html
<html>
<head>
<title>--压缩测试页--</title>
</head>
<body><h1>这是一个测试网页内容压缩的页面!This is test Page!</h1>
<img src=b.jpg / >
</body>
</html>
~
出现乱码时在下图处添加
[root@localhost htdocs]# vi /usr/local/httpd/conf/httpd.conf
[root@localhost htdocs]# systemctl restart httpd.service
然后浏览器输入20.0.0.25 测试,并进行抓包,可以看到响应包头含有Content-Encoding:gzp,则表示压缩生效
1.2、网页缓存
通过mod_expire模块配置Apache,使网页能在客户端浏览器缓存一段时间,以避免重复请求
启用mod_expire模块后,会自动生成页面头部信息中的Expires标签和Cache-Control标签,从而降低客户端的访问频率和次数,达到减少不必要的流量和增加访问速度的目的
(1)检查是否安装了mod_expires模块
[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "expires"
如果输出中没有expires_module,说明编译时没有安装mod_expires模块
(2)安装mod_expires模块
没有安装则需要停止Apache服务,重新编译安装Apache
[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install
(3)配置mod_expires模块启用
编译安装后,mod_expires模块需要在httpd.conf文件中启用才能生效
[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
.......
LoadModule expires_module modules/mod_expires.so #号去掉 并在下面加入
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault "access plus 60 seconds"
</IfModule>
(4)检测http.conf语法
[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK
(5)检测模块是否安装
[root@localhost httpd-2.4.29]# apachectl -t -D DUMP_MODULES | grep "expires"
expires_module (shared)
然后重新启动Apache服务
[root@localhost httpd-2.4.29]# systemctl restart httpd.service
(6)测试缓存是否生效
引用之前测试页 ,浏览器输入20.0.0.25,并进行抓包,可以看到响应包头含有Expirse则表示缓存生效
二、Apache 安全优化
Apache的默认配置除了性能可以优化外,还需要对安全性进行相应的配置。默认配置能保证服务器正常提供服务,但Apache作为一个软件,必然也会存在一些漏洞,尽可能地降低潜在的风险,是管理员必须掌握的内容。
2.1、防盗链
防盗链就是防止别人的网站代码里面盗用服务器的图片,文件,视频等相关资源
如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力
作为网站的维护人员,要杜绝我们服务器的静态资源被其他网站盗用
2.1.1、准备环境
两台主机配置测试页面
盗链网站的测试网页可在网上找一张图片链接
在Windows中访问测试网页,
并且在Windows和CentOS的host文件中加入IP地址与域名的映射关系
2.1.2、准备图片测试页
引用压缩准备的测试页
2.1.3、模拟盗取图片链接
打开网站,正常访问,图片的地址是www.51xit.top/b.jpg
在20.0.0.22 仿站用到www.51xit.top/b.jpg 这个图片,20.0.0.22也已经安装过Apache服务
[root@localhost var]# vi /etc/hosts
20.0.0.25 www.51xit.top
~
[root@localhost ~]# vi /usr/local/httpd/htdocs/index.html
<html>
<head>
<title>--压缩测试页--</title>
</head>
<body><h1>这是一个测试网页内容压缩的页面!This is test Page!</h1>
<img src="http://51xit.top/b.jpg" / >
</body>
</html>
在浏览器中访问20.0.0.22 能正常访问图片出来
2.1.4、Apache 防盗链配置
Apache 防盗链需要安装mod_rewrite模块
(1)检查是否安装了mod_rewrite模块
[root@localhost conf]# apachectl -t -D DUMP_MODULES | grep "expires"
如果输出中没有rewrite_module,说明编译时没有安装mod_rewrite模块
(2)安装mod_rewrite模块
没有安装则需要停止Apache服务,重新编译安装Apache
[root@localhost conf]# systemctl stop httpd
[root@localhost conf]# yum -y install zlib-devel
[root@localhost httpd-2.4.29]# ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi --enable-deflate --enable-expires
[root@localhost httpd-2.4.29]# make && make install
(3)配置mod_rewrite模块启用
编译安装后,mod_rewrite模块需要在httpd.conf文件中启用才能生效
[root@localhost httpd-2.4.29]# vi /usr/local/httpd/conf/httpd.conf
....
LoadModule rewrite_module modules/mod_rewrite.so #去掉
..... 在htdocs目录属性后新增
<Directory "/usr/local/httpd/htdocs">
...
Require all granted
RewriteEngine On
RewriteCond %{
HTTP_REFERER} !^http://20.0.0.25/*
RewriteCond %{
HTTP_REFERER} !^http://51xit.top/.*$ [NC]
RewriteCond %{
HTTP_REFERER} !^http://51xit.top$ [NC]
RewriteCond %{
HTTP_REFERER} !^http://www.51xit.top/.*$ [NC]
RewriteCond %{
HTTP_REFERER} !^http://www.51xit.top$ [NC]
RewriteRule .*\.(gif|jpg|swf|png)$ https://www.xiaohui.com/about/nolink.png [R,NC]
</Directory>
(4)检测http.conf语法
[root@localhost httpd-2.4.29]# apachectl -t
Syntax OK
(5)检测模块是否安装
[root@localhost ~]# apachectl -t -D DUMP_MODULES | grep "rewrite"
rewrite_module (shared)
然后重新启动Apache 服务器
(6)测试
在浏览器输入20.0.0.22
会发现图片是之前我在网上找的https://www.xiaohui.com/about/nolink.png这个图片链接,而不是之前的b.jpg。测试成功
2.2、隐藏版本信息
2.2.1、隐藏版本信息的必要性
Apache的版本信息,透露了一定的漏洞信息,从而给网站带来安全隐患
生产环境中要配置Apache隐藏版本信息
2.2.2、配置详解
将主配置文件httpd.conf以下行注释去掉
#Include conf/extra/httpd-default.conf
修改httpd-default.conf文件两个地方
ServerTokens Full修改为ServerTokens Prod
将ServersSignature On 修改为ServersSignature Off
重启httpd服务,访问网站,抓包测试
2.2.3、测试
[root@localhost ~]# vi /usr/local/httpd/conf/httpd.conf
Include conf/extra/httpd-default.conf ##将“#”去掉##
[root@localhost ~]# vi /usr/local/httpd/conf/extra/httpd-default.conf
ServerTokens Prod ##找到这个。把full改成Prod##
[root@localhost ~]# systemctl restart httpd.service
浏览器输入20.0.0.25,进行抓包测试
