Ubuntu Apache中如何实现防盗篡改

Ubuntu Apache防盗篡改实用方案

一 目标与总体思路

• 目标是降低静态资源被盗链、页面被未授权篡改的风险，并提升篡改后的可追溯性与恢复速度。
• 总体思路：先做访问控制与防篡改（Referer 防盗链、WAF 规则、文件权限与完整性校验），再做可观测性（日志与告警），最后对高价值内容叠加水印/DRM等增强手段。

二 站点层防护 防盗链与访问控制

• 启用并配置 mod_rewrite 做Referer 防盗链（仅允许本站与白名单域名直链图片等静态资源）：
  1. 启用模块：sudo a2enmod rewrite && sudo systemctl restart apache2
  2. 在站点根目录或对应 Directory 配置中放置规则：

     RewriteEngine On
     # 允许本站与白名单
     RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com [NC]
     RewriteCond %{HTTP_REFERER} !^https?://(www\.)?cdn\.yourdomain\.com [NC]
     # 允许空 Referer（浏览器直接访问、移动端等）
     RewriteCond %{HTTP_REFERER} ^$
     # 对图片等静态资源阻断或跳转
     RewriteRule \.(jpg|jpeg|png|gif|webp|svg)$ - [F,L]
     # 或跳转至提示页：RewriteRule \.(jpg|jpeg|png|gif|webp|svg)$ /anti-hotlink.html [R=301,L]
     

  3. 注意：Referer 可被客户端伪造，属于“尽力而为”的防护，应与其它措施组合使用。

三 应用层与传输层加固

• 启用 WAF（ModSecurity + CRS）拦截常见攻击向量（SQLi、XSS、RFI 等），降低被篡改入口风险：
  1. 安装与启用：sudo apt-get install libapache2-mod-security2 && sudo a2enmod security2 && sudo systemctl restart apache2
  2. 启用拦截模式：编辑 /etc/modsecurity/modsecurity.conf，将 SecRuleEngine 设为 On
  3. 引入规则集（CRS）：在 /etc/apache2/mods-available/security2.conf 中包含 CRS 目录，例如： IncludeOptional /usr/share/modsecurity-crs/.conf IncludeOptional /usr/share/modsecurity-crs/activated_rules/.conf
  4. 观察拦截日志：tail -f /var/log/apache2/modsec_audit.log，按需微调规则避免误报。
• 强制 HTTPS 并禁用弱协议/套件，防止明文传输被劫持篡改：
  • 在虚拟主机 80 端口配置 301 跳转至 443；在 443 配置中： SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5
  • 可使用 certbot 自动申请与部署 Let’s Encrypt 证书，减少配置失误。

四 文件与进程层防护 完整性校验与最小权限

• 文件与目录权限最小化：
  • Web 内容目录（如 /var/www/html）建议属主为专用用户（如 www-data），权限 750；上传目录禁止脚本执行（如 Options -ExecCGI，或分离存放并使用后端处理）。
  • 禁止目录浏览：在需要保护的目录配置 Options -Indexes。
  • 限制 .ht* 访问：在公开目录设置 AllowOverride None，避免被 .htaccess 绕过。
• 完整性校验与快速恢复：
  • 对关键文件（如 index.html、.htaccess、核心脚本）生成校验值并定期复核；可用 sha256sum 建立基线清单，配合定时任务或配置管理工具（Ansible/Salt）校验与告警。
  • 结合版本控制系统（如 git）管理站点代码，出现篡改可快速回滚；静态资源与发布包使用只读发布与分离发布目录策略，减少线上被直接修改的机会。

五 监控取证与内容增强

• 日志与告警：
  • 实时查看与轮转分析：tail -f /var/log/apache2/access.log、tail -f /var/log/apache2/error.log；对异常状态码（如 403/404 突增）、可疑 UA/Referer 建立告警。
  • 结合 ELK 或 Splunk 做集中化日志分析与可视化，便于追溯来源与模式。
• 内容增强（提高盗版难度与可追溯性）：
  • 对图片/视频添加显性水印（站点标识/用户ID），便于溯源取证。
  • 对音视频类高价值内容引入 DRM（如 Widevine/PlayReady/FairPlay），在播放侧实施授权与许可证校验，服务器端按提供商文档集成。