Apache Web服务器访问控制机制全解析
原文请见: http://netsecurity.51cto.com/art/201102/245666.htm
Linux下的Aapche服务器提供了强大的访问控制功能,用户可以选择采用配置命令或者.htaccess文件的方式对其进行设置,本文将为大家介绍这两种方法。
一、使用访问控制常用配置指令进行访问控制
1.配置指令
Apache实现访问控制的配置指令包括如下三种:
(1)order指令:用于指定执行允许访问控制规则或者拒绝访问控制规则的顺序。order只能设置为Order allow,deny或Order deny,allow,分别用来表明用户先设置允许的访问地址还是先设置禁止访问的地址。Order选项用于定义缺省的访问权限与Allow和Deny语句的处理顺序。Allow和Deny语句可以针对客户机的域名或IP地址进行设置,以决定哪些客户机能够访问服务器。Order语句设置的两种值的具体含义如下:
◆allow, deny:缺省禁止所有客户机的访问,且Allow语句在Deny语句之前被匹配。如果某条件既匹配Deny语句又匹配Allow语句,则Deny语句会起作用(因为Deny语句覆盖了Allow语句)。
◆deny, allow:缺省允许所有客户机的访问,且Deny语句在Allow语句之前被匹配。如果某条件既匹配Deny语句又匹配Allow语句,则Allow语句会起作用(因为Allow语句覆盖了Deny语句)。
(2)allow指令:指明允许访问的地址或地址序列。如allow from all指令表明允许所有IP来的访问请求。
(3)deny指令:指明禁止访问的地址或地址序列。如deny from all指令表明禁止所有IP来的访问请求。
2.应用实例
下面举几个简单的例子对上述order、allow和deny命令的使用进行示范。
(1)在下面的例子中,admin.org域中所有主机都允许访问网站,而其他非该域中的任何主机访问都被拒绝,因为Deny在前,Allow在后,Allow语句覆盖了Deny语句:
- Order Deny,Allow
- Deny from all
- Allow from admin.org
(2)下面例子中,admin.org域中所有主机,除了db.admin.org子域包含的主机被拒绝访问以外,都允许访问。而所有不在admin.org域中的主机都不允许访问,因为缺省状态是拒绝对服务器的访问(Allow在前,Deny在后,Deny语句覆盖了Allow语句):
- Order Allow,Deny
- Allow from admin.org
- Deny from db.admin.org
二、使用.htaccess文件进行访问控制
任何出现在配置文件httpd.conf中的指令都可能出现在.htaccess文件中。该文件在httpd.conf文件的AccessFileName指令中指定,用于进行针对单一目录的配置(注意:该文件也只能设置对目录的访问控制)。作为系统管理员,可以指定该文件的名字和可以通过该文件内容覆盖的服务器配置。当站点有多组内容提供者并希望控制这些用户对他们的空间的操作时该指令非常有用。
值得特别注意的是:除了可以使用.htaccess文件针对单一目录进行访问控制配置外,该文件还可以在不重新启动Apache服务器的前提下使配置生效,因而使用起来非常方便。
使用该文件进行访问控制,需要经过如下两个必要的步骤:
(1)在主配置文件httpd.conf中启用并控制对.htaccess文件的使用。
(2)在需要覆盖主配置文件的目录下(也就是需要单独设定访问控制权限的目录)生成.htaccess文件,并对其进行编辑,设置访问控制权限。
1. 启用并控制对.htaccess文件的使用
启用并控制对.htaccess文件的使用,首先需要使用AccessFileName参数在主配置文件中配置如下配置语句方可:
- AccessFileName .htaccess
- <Files ~ “^\.htaccess”>
- Order allow,deny
- Deny from all
- </Files>
2. 在.htaccess文件中使用指令进行控制
要限制.htaccess文件能够覆盖的内容,须要使用AllowOverride指令。该指令可以进行全局设置或者单个目录设置。要配置默认可以使用的选项,须要使用Options指令。例如,在httpd.conf文件中,可以采用上述指令建立的对/var/www/icons目录的访问控制权限的清单,如下所示:
- <Directory "/var/www/icons">
- Options Indexes MultiViews
- AllowOverride None
- Order allow,deny
- Allow from all
- </Directory>
以下为各种指令的使用介绍:
(1)AllowOverrides指令
AllowOverrides指令指定.htaccess文件可以覆盖的选项。可以对每个目录进行设置。例如,可以对主要文档root和UserDir目录的覆盖有不同的标准。该功能对于用户目录特别有用,在这些目录中用户没有访问主服务器配置文件的权限。
AllowOverrides可以设置为All、None或者Option、FileInfo、AuthConfig、Indexes以及Limit.选项的组合。这些选项含义如下:
◆Options:文件可以为该目录添加没有在Options指令中列出的选项。
◆FileInfo:.htaccess文件包含修改文档类型信息的指令。
◆AuthConfig:.htaccess文件可能包含验证指令。
◆Limit:.htaccess文件可能包含allow、deny、order指令。
◆Indexes:控制目录列表方式。
◆None:禁止处理.htaccess文件。
◆All:表示读取以上所有指令内容。
Options指令
Options可以为None、All或者任何Indexes、Includes、FollowSymLinks、ExecCGI或者MultiViews的组合。MultiViews不包含在All中,必须显式指定。这些选项解释如下:
◆ None:该目录没有启用任何可用的选项。
◆All:该目录启用了所有选项,除了MultiViews。
◆Indexes:当Index.html文件或者另一个DirectoryIndex文件不存在时,目录中的文件列表将作为HTML页产生,显示给用户。
◆Includes:该目录允许服务器侧包含(SSI)。如果允许包含但是不允许在包含中有exec选项,则可以写为IncludesNoExec。基于安全的原因,对于没有完全控制权限的目录,如UserDir目录,该选项是一个很好的主意。
◆FollowSymLinks:允许访问符号链接到文档目录的目录。这种方法不好,不要将整个服务器全部设置为该选项。对某个目录可以这样设置,但是在仅当有足够的理由时才这样设置。该选项是一个潜在的安全隐患,因为允许Web用户跳出文档目录以外,并且可能潜在地允许用户访问文件系统的分区,而这些地方是不希望其他人访问的。
◆ExecCGI:即使该目录不是ScriptAlias化的目录,也在其中允许CGI程序。
◆MultiViews:该选项是mod_negotiation模块的一部分。当客户请求的文档没有找到时,服务器试图计算最适合客户请求的文档。
3. 使用.htaccess文件实例
下面以一个简单的例子来示范如何使用.htaccess文件:
(1)在Apache服务器的文档根目录下生成一个测试目录,并创建测试文件,使用如下命令即可:
- #cd /var/www/html
- #mkdir rhel5
- #cd rhel5
- #touch rhel5.a
- #touch rhel5.b
(2)修改Apache服务器的主配置文件如下,添加如下语句:
- <Directory “/var/www/html/rhel5”>
- AllowOverride Options
- </Directory>
(3)在生成的测试目录/var/www/html/rhel5下生成.htaccess文件,并添加如下语句:
- Options –Indexes
(4)重新启动Apache服务器即可,可以看到在未配置.htaccess文件前用户可以使用客户端浏览器浏览文件,而配置文件后用户无法浏览,如图1和2所示。另外,值得注意的是:这里的重启Apache服务器是因为步骤(2)中对主配置文件进行了修改,而不是因为修改了.htaccess文件,因为前面提到过,.htaccess文件的配置修改并不需要重新启动Apache服务器。
图1 未使用访问控制前访问目录情况示意
图2 使用访问控制后访问目录情况
本文出自 “卓越始于足下” 博客,谢绝转载!