rgw bucket 防盗链

最新推荐文章于 2023-01-13 23:52:01 发布
最新推荐文章于 2023-01-13 23:52:01 发布
阅读量789 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangaijuan1/article/details/96330396
版权

防盗链实现方式

https://yq.aliyun.com/articles/57931

签名URL可以和Referer白名单功能一起使用,可以增加防盗链的效果。

设置Referer

原理:https://blog.csdn.net/qq_38002337/article/details/79664251

RefererHTTP Header的一部分,当浏览器向网站Web服务器发送请求的时候,通常会带上Referer,告诉服务器此次请求的链接来源。

通过设置访问白名单,限制只有  HTTP HTTPS header 中包含referer 为白名单里的地址时的请求才能访问

校验referer

https://help.aliyun.com/knowledge_detail/39521.html?spm=a2c4g.11186631.2.1.1fb61324V6uG8e

1.设置桶的文件为public-read

2.curl http://100.69.4.118:7480/haj-1-b-1-test/file_22_8

ceph

acl

rgw_acl.h:   RGWAccessControlList+ACLOwner --> RGWAccessControlPolicy

 

type;    //canon_user,email_user,group,referer

permission;  //read,write,read_acp,write_acp,read_objs,write_objs,full_control

group;    //all_users,authenticated_users

 

 

rgw_acl_s3.cc:   ACLGrant_S3 不支持referer类型的acl设置

rgw_acl_swift.ccRGWAccessControlPolicy_SWIFT 支持referer设置

iam policy

使用s3cmd setpolicy命令设置的policy会放到bucketxattriam-policy变量里

权限关系

setpolicy可以设置的权限包括了s3:GetObjects3:DeleteBucket等等,何种命令对应这些权限查看:rgw_op.cc里各个命令的verify_permission()函数,如:

 

rados 命令

使用rados 命令查看bucketxattr属性

 

aws iam policy

policy的变量解释,写法及技巧:

https://www.infoq.cn/article/aws-iam-dive-in

比较全的实例说明:

https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-3

s3cmd

命令

设置policy: s3cmd setpolicy policy_referer.json s3://haj-1-b-1-test

查看policy: s3cmd info s3://haj-1-b-1-test

删除policy: s3cmd delpolicy s3://haj-1-b-1-test   

policy文件

测试

基本规则

policy文件如 "StringEquals":{"aws:Referer":["100.69.4.118"]}

bucket acl

http head

owner操作

http code

private

None

conn.get_bucket

403

public-read

None

conn.get_bucket

200

private/public-read

headers={"REFERER":"100.69.4.108"}

conn.get_bucket

403

private/public-read

headers={"REFERER":None}

conn.get_bucket

403

private/public-read

 

headers={"REFERER":"100.69.4.118"}

conn.get_bucket

200

 

结论:若http里不带referer则不校验,若httpreferer则校验

设置多个固定值

如下图,设置aws:Referer 只需匹配116或者118的一个即可

设置带*号的网站

不允许referer为空

需要加上“IfExists

 

参考链接

华为云对象存储s3cmd:

https://wenku.baidu.com/view/446ccd898ad63186bceb19e8b8f67c1cfad6eea7.html

ceph代码解析:

https://www.jianshu.com/p/a1aab0d3eeef

阿里云防盗链:

https://yq.aliyun.com/articles/57931

ceph官方文档:

http://docs.ceph.com/docs/master/radosgw/bucketpolicy/

boto3文档:

https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/s3.html#bucketpolicy

黑白名单设置区别:

https://support.huaweicloud.com/devg-obs/zh-cn_topic_0118383424.html

 

 

 

 

 

 

不到黄河心不死!
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ceph-Radosgw开发实践防盗链(一)
认真就赢了
01-06 1586
认识一个软件最好的方法就是在它已有的基础上进行二次开发,添加新的功能.     本系列”Ceph-Radosgw开发防盗链”文章就是在通过开发目前Ceph-RGW(Firefly版本)还没有的防盗链功能来加深对Ceph以及对象存储网管(Radosgw)地认识和理解,此过程会深入到代码细节.     注意:对于Ceph或者Radosgw(RGW)的基础知识不会过多或者特意提及.什么是防盗链
ceph rgw应用手册
03-14
ceph rgw应用部署手册,红帽官方出品,上手必备。
ceph rgw listBucket
qq_37517281的博客
09-27 364
hadoop添加白名单 以及 黑名单
热门推荐
诗水人间
10-26 14万+
白名单用在刚搭建集群的时候使用,黑名单是正常的退役服务器 注意:不允许白名单和黑名单中同时出现同一个主机名称。 白名单 (1)在NameNode的/opt/module/hadoop-3.2.1/etc/hadoop目录下创建dfs.hosts文件 vim dfs.hosts 内容不允许有其他字符包括空格 hadoop112 hadoop113 hadoop114 ...
图片防盗链
weixin_30949361的博客
08-09 61
虽然这个很多人有讲到了,一搜一大把!现在写主要是以后要用不用在去找了 新建一个类库AvoidImage 继承IHttpHandler,记得引用System.Web classAvoidImage:IHttpHandler{#regionIHttpHandler成员publicboolIsReusable{...
rgw中的数据模型
litianze99的专栏
04-16 1606
ceph集群中的pools $ rados lspools.rgw .rgw.root .rgw.control .rgw.gc .rgw.buckets .rgw.buckets.index .log .intent-log .usage .users .users.email .users.swift .users.uid .rgw.buckets.extra查看ceph rgw中注册的用户:
RGW 的GC深入解析与调优
06-20
RGW 的 GC 深入解析与调优 GC(Garbage Collection,垃圾回收)是RGW 中的一种异步磁盘空间回收操作。GC 的出现是为了释放无用的对象占用的磁盘空间,提高存储设备的利用率。在 RGW 中,GC 通常发生在以下三种情况...
rgw nfs基于nfs-ganesha的实现
10-17
### rgw nfs基于nfs-ganesha的实现 #### 概述 本文旨在总结通过nfs-ganesha实现ceph rgw nfs接口时遇到的问题及解决方案。ceph作为一个分布式存储系统,支持多种存储接口,包括对象存储接口(RADOS Gateway,简称...
CEPH的对象存储RGW更新配额的源码跟踪
06-29
利用visio软件编写的CEPH的对象存储RGW更新配额的源码跟踪,从删除和上传的动作一直跟踪到具体更新配的代码位置
临时meta同步数据,未完成
09-25
rgw meta同步,临时保存在这里,便于以后查询 、 rgw meta同步,临时保存在这里,便于以后查询 rgw meta同步,临时保存在这里,便于以后查询
对象存储-RGW
weixin_45437959的博客
05-24 940
定义 Ceph对象存储使用Ceph对象网关守护程序(radosgw),这是一个用于与Ceph存储集群交互的HTTP服务器。由于它提供了与openstackswift和amazons3兼容的接口,因此Ceph对象网关有自己的用户管理。Ceph对象网关可以在用于存储来自Ceph文件系统客户端或Ceph块设备客户端的数据的Ceph存储集群中存储数据。 桶(Bucket)是对象的载体,可理解为存放对象的“容器”,且该“容器”无容量上限。对象以扁平化结构存放在存储桶中,无文件夹和目录的概念,用户可选择将对象存放到单个
网络世界里的资源「盗与防盗」的爱恨情仇
云存储小天使的博客
01-21 204
腾讯云对象存储支持防盗链配置,用户可以对存储桶设置防盗链功能,该功能可以实现对访问来源设置黑、白名单,避免资源被盗用。本文为您详细介绍如何为存储桶配置防盗链,防止资源被盗用。 防盗链判断原理 防盗链是通过请求 Header 里的 Referer 地址来进行判断: Referer 是 Header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该请求是从...
RGW ACL分析文档
ff_gogo的博客
02-22 1227
1、描述 ACL(Access Control List)权限控制列表,用于控制用户的行为权限。RGW提供bucket和object级别的权限访问控制,RGW允许针对每个用户设置不同的权限,也可以一次性对所有用户设置权限,具体的权限值及含义如下表: 权限值 权限对访问者的限制 READ 可读。Bucket:列出bucket下的object;Object:读取object的数据; ...
部署高可用radowsgw存储网关,s3cmd实现bucket的管理,Nginx+RGW 的动静分离,基于 prometheus 监控 ceph 集群运行状态
最新发布
weixin_42896216的博客
01-13 1543
部署高可用radowsgw存储网关,s3cmd实现bucket的管理,Nginx+RGW 的动静分离,基于 prometheus 监控 ceph 集群运行状态。
ceph rgw Bucket 几类op操作
huangaijuan1的博客
07-09 790
put object: 上传对象 get object:下载对象 delete object: 删除对象 copy object:拷贝对象 post object:更新对象元数据 head obect:查询对象元数据
流媒体基础实践之——打流直播码安全保护(安全防盗链
Tinywan
09-29 1826
功能介绍      所谓安全防盗链,是一种加了防盗链签名的URL,经过签名的URL能够跟阿麦打流服务器的安全机制进行配合,可以将URL的使用权限定在您的APP上,恶意第三方拿到URL也不能使用和传播。 (1)推流 - 推流URL加防盗链的必要性极高,尤其是在直播码跟用户ID(或者DB ID)绑定的情况下,因为客户的直播码ID很容易被攻击者窃取,进而伪装客户自己进行抢占式推流,所以为推...
Ceph+RGW高可用部署方案
当你感觉累的时候,证明你正在走上坡路!
12-18 6344
基础环境准备配置主机名集群中节点采用统一命名规则即可配置hosts文件解析配置主机名与IP地址解析关系,每个配置完成后将文件拷贝到其他节点,每个节点都需要配置免秘钥登录配置ansible工具执行节点与其他节点的免秘钥登录,如果ansible执行节点也是ceph集群中的节点,也需要配置自身的免秘钥登录,配置方法不多说。Yum源配置目前使用的是阿里的源,使用起来还比较稳定,速度也还好,后期考虑把阿里源同
【aliyun oss】You are denied by bucket referer policy
sayyy的专栏
04-15 4016
前言 aliyun oss window.open打开链接 window.open 在新标签中打开链接 function detail(url) { if (url) { window.open(url, "_blank"); return; } alert("缺少资源地址"); } url 为 aliyun oss url 时,遇到错误 You are denied by bucket referer policy。经求证,aliyun oss 中开了 refer 校验。 You ar
cephRGW/RadosGW框架/源码分析
bandaoyu的note
06-15 1581
RadosGW分析。 一、RadosGW的main()函数解析。 RadosGW的main()函数位于rgw_main.cc中,该函数是RadosGW的入口函数。这里主要解析和RadosGW相关的内容,尽量省略WebServer的内容。 main()函数解析如下: 1、根据g_conf->rgw_frontends得到默认支持的前端WebServers,目前默认支持的前端WebServer包括fastcgi和civetweb。对于每一个支持的前端都有一个RGWFrontendConfig类与之
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值