Apache目錄權(quán)限設(shè)置.doc

apache 目錄權(quán)限設(shè)置方法 可以使用和這對語句為主目錄或虛擬目錄設(shè)置權(quán)限，它們是一對容器語句，必須成對出現(xiàn)，它們之間封裝的是具體的設(shè)置目錄權(quán)限語句，這些語句僅對被設(shè)置目錄及其子目錄起作用。下面是主配置文件中設(shè)置目錄權(quán)限的例子。Options Indexes MultiViewsAllowOverride NoneOrder allow，denyAllow from all （1）定義目錄使用哪些特性O(shè)ptions Indexes MultiViews Options選項(xiàng)用于定義目錄使用哪些特性，包括Indexes、MultiViews和ExecCGI等，如表7-1所示。表7-1 目錄特性選項(xiàng)命 令說 明Indexes允許目錄瀏覽當(dāng)客戶僅指定要訪問的目錄，但沒有指定要訪問目錄下的哪個(gè)文件，而且目錄下不存在默認(rèn)文檔時(shí)，Apache以超文本形式返回目錄中的文件和子目錄列表（虛擬目錄不會出現(xiàn)在目錄列表中），如圖7-8所示MultiViews允許內(nèi)容協(xié)商的多重視圖MultiViews其實(shí)是Apache的一個(gè)智能特性。當(dāng)客戶訪問目錄中一個(gè)不存在的對象時(shí)，如訪問“77/icons/a”，則Apache會查找這個(gè)目錄下所有a.*文件。由于icons目錄下存在a.gif文件，因此Apache會將a.gif文件返回給客戶，而不是返回出錯(cuò)信息AllAll包含了除MultiViews之外的所有特性，如果沒有Options語句，默認(rèn)為AllExecCGI允許在該目錄下執(zhí)行CGI腳本FollowSymLinks可以在該目錄中使用符號連接Includes允許服務(wù)器端包含功能IncludesNoExec允許服務(wù)器端包含功能，但禁用執(zhí)行CGI腳本讓主目錄允許目錄瀏覽細(xì)心的用戶可能會發(fā)現(xiàn)雖然在主目錄設(shè)置了Indexes權(quán)限，且主目錄中并不存在默認(rèn)文檔，但訪問時(shí)并不會出現(xiàn)目錄列表，而只出現(xiàn)Apache的測試頁面。解決這個(gè)問題的方法很簡單，只要將位于/etc/httpd/conf.d/目錄下的welcome.conf文件刪除后重啟Apache即可。圖7-8 Apache返回的目錄列表 允許目錄瀏覽要小心一旦定義允許目錄瀏覽，就會將Web站點(diǎn)的文件夾和文件名結(jié)構(gòu)暴露給黑客。目錄瀏覽還會允許黑客瀏覽文件并掌握服務(wù)器配置信息，所以指定該權(quán)限往往帶來安全性上的隱患。除非有充足的理由要使用目錄瀏覽，否則應(yīng)該禁用它。（2）設(shè)置.htaccess文件中的指令類型AllowOverride None AllowOverride選項(xiàng)用于定義位于每個(gè)目錄下.htaccess（訪問控制）文件中的指令類型。基于安全和效率的原因，雖然可以通過.htaccess來設(shè)置目錄的訪問權(quán)限，但應(yīng)盡可能地避免使用.htaccess文件，所以一般將AllowOverride設(shè)置為None，即禁止使用.htaccess文件，而將目錄權(quán)限的設(shè)置放在主配置文件httpd.conf的和語句之間。（3）設(shè)置缺省的訪問權(quán)限與Allow和Deny語句的處理順序Order allow, deny Order選項(xiàng)用于定義缺省的訪問權(quán)限與Allow和Deny語句的處理順序。Allow和Deny語句可以針對客戶機(jī)的域名或IP地址進(jìn)行設(shè)置，以決定哪些客戶機(jī)能夠訪問服務(wù)器。Order語句通常設(shè)置為以下兩種值之一。allow, deny：缺省禁止所有客戶機(jī)的訪問，且Allow語句在Deny語句之前被匹配。如果某條件既匹配Deny語句又匹配Allow語句，則Deny語句會起作用（因?yàn)镈eny語句覆蓋了Allow語句）。deny, allow：缺省允許所有客戶機(jī)的訪問，且Deny語句在Allow語句之前被匹配。如果某條件既匹配Deny語句又匹配Allow語句，則Allow語句會起作用（因?yàn)锳llow語句覆蓋了Deny語句）。下面舉一些例子來說明Order、Allow和Deny語句的使用方法?！纠?】允許所有客戶機(jī)的訪問。Order allow，denyAllow from all 【例2】除了來自域和IP地址為11的客戶機(jī)外，允許所有客戶機(jī)的訪問。Order deny ，allowDeny from Deny from 11 【例3】僅允許來自網(wǎng)絡(luò)/24客戶機(jī)的訪問。Order allow，denyAllow from /24 對比：Order deny ，allowAllow from /24 這兩條語句是允許所有客戶機(jī)的訪問。【例4】僅允許來自網(wǎng)絡(luò)/24客戶機(jī)的訪問，但I(xiàn)P地址為11的客戶機(jī)除外。Order allow，denyAllow from /24Deny from 11 對比： Order deny ，allowAllow from /24Deny from 11 由于Allow語句覆蓋了Deny語句，因此這3條語句是允許所有客戶的訪問。參考：Options FollowSymLinks AllowOverride None Apache服務(wù)器可以針對目錄進(jìn)行文檔的訪問控制，然而訪問控制可以通過兩種方式來實(shí)現(xiàn)，一個(gè)是在設(shè)置文件 httpd.conf（或access.conf）中針對每個(gè)目錄進(jìn)行設(shè)置，另一個(gè)方法是在每個(gè)目錄下設(shè)置訪問控制文件，通常訪問控制文件名字為.htaccess。雖然使用這兩個(gè)方式都能用于控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動(dòng)后重新啟動(dòng)httpd守護(hù)進(jìn)程，比較不靈活，因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略，而使用每個(gè)目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便。 Directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標(biāo)準(zhǔn)語法，為一個(gè)目錄定義訪問限制。上例的這個(gè)設(shè)置是針對系統(tǒng)的根目錄進(jìn)行的，設(shè)置了允許符號連接的選項(xiàng)FollowSymLinks ，以及使用AllowOverride None表示不允許這個(gè)目錄下的訪問控制文件來改變這里進(jìn)行的配置，這也意味著不用查看這個(gè)目錄下的相應(yīng)訪問控制文件。 由于Apache對一個(gè)目錄的訪問控制設(shè)置是能夠被下一級目錄繼承的，因此對根目錄的設(shè)置將影響到它的下級目錄。注意由于AllowOverride None的設(shè)置，使得Apache服務(wù)器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級目錄下的訪問控制文件，直至httpd.conf（或access.conf ）中為某個(gè)目錄指定了 允許Alloworride，即允許查看訪問控制文件。由于Apache對目錄訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么Apache就必須一級一級的查看訪問控制文件，對系統(tǒng)性能會造成影響。而缺省關(guān)閉了根目錄的這個(gè)特性，就使得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級數(shù)，增加了系統(tǒng)性能。因此對于系統(tǒng)根目錄設(shè)置AllowOverride None不但對于系統(tǒng)安全有幫助，也有益于系統(tǒng)性能。 Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all 這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設(shè)置，設(shè)置不同的 AllowOverride選項(xiàng)，以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系，而Options選項(xiàng)用于定義該目錄的特性。 配置文件和每個(gè)目錄下的訪問控制文件都可以設(shè)置訪問限制，設(shè)置文件是由管理員設(shè)置的，而每個(gè)目錄下的訪問控制文件是由目錄的屬主設(shè)置的，因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置，這就需要使用 啊AllowOverride參數(shù)進(jìn)行設(shè)置，通常可以設(shè)置的值為： AllowOverride的設(shè)置 對每個(gè)目錄訪問控制文件作用的影響 All 缺省值，使訪問控制文件可以覆蓋系統(tǒng)配置 None 服務(wù)器忽略訪問控制文件的設(shè)置 Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項(xiàng) FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置 AuthConfig 允許訪問控制文件使用AuthName，AuthType等針對每個(gè)用戶的認(rèn)證機(jī)制，這使目錄屬主能用口令和用戶名來保護(hù)目錄 Limit 允許對訪問目錄的客戶機(jī)的IP地址和名字進(jìn)行限制每個(gè)目錄具備一定屬性，可以使用Options來控制這個(gè)目錄下的一些訪問特性設(shè)置，以下為常用的特性選項(xiàng)： Options設(shè)置 服務(wù)器特性設(shè)置 All 所有的目錄特性都有效，這是缺省狀態(tài) None 所有的目錄特性都無效 FollowSymLinks 允許使用符號連接，這將使瀏覽器有可能訪問文檔根目錄 （DocumentRoot）之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時(shí)，才允許訪問，這個(gè)設(shè)置將增加一些安全性 ExecCGI 允許這個(gè)目錄下可以執(zhí)行CGI程序 Indexes 允許瀏覽器可以生成這個(gè)目錄下所有文件的索引，使得在這個(gè)目錄下沒有index.html（或其他索引文件）時(shí)，能向?yàn)g覽器發(fā)送這個(gè)目錄下的文件列表 此外，上例中還使用了Order、Allow、Deny等參數(shù)，這是Limit語句中用來根據(jù)瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序，而Allow、Deny則針對名字或IP進(jìn)行訪問控制設(shè)置，上例使用allowfrom all，表示允許所有的客戶機(jī)訪問這個(gè)目錄，而不進(jìn)行任何限制。 UserDir public_html 當(dāng)在一臺Linux上運(yùn)行Apache服務(wù)器時(shí)，這臺計(jì)算機(jī)上的所有用戶都可以有自己的網(wǎng)頁路徑，形如 # # AllowOverride FileInfo AuthConfig Limit # Options MultiViews Indexes SymLinksIfOwn