配置段容器的類型
相關模塊 core mod_proxy
相關指令 <Directory> <DirectoryMatch> <Files> <FilesMatch> <IfDefine> <IfModule> <Location> <LocationMatch> <Proxy> <ProxyMatch> <VirtualHost>
主要講解 <Directory> <Files> <Location>
1.文件系統容器 <Directory>
<Directory>和<Files>是針對文件系統的指令。<Directory>段中的指令作用於指定的文件系統目錄及其所有子目錄,.htaccess 文件可以達到同樣的效果。下例中,/var/web/dir1及其所有子目錄被允許目錄列表。
<Directory /var/web/dir1>
Options +Indexes 允許目錄列表(加號允許、減號禁止)
</Directory>
<Directory /var/web/dir1>
Options FollowSysLinks 允許符號鏈接(在當前目錄下文件 test.html 鏈接至其它目錄文件test.html)
</Directory> (正常情況無法訪問)
2.<Files>
作用域 server config, virtual host, directory, .htaccess
覆蓋項 All
狀態 核心(C)
模塊 core
<Files>段中的指令作用於特定的文件名,而無論這個文件實際存在於哪個目錄。
<Files>段將根據它們在配置文件中出現的順序被處理,在<Directory>段和.htaccess文件被處理之後,但在<Location>段之前。請注意:<Files>能嵌入到<Directory>段中以限制它們作用的文件系統範圍
下例中的配置指令如果出現在配置文件的主服務器段,則會拒絕對位於任何目錄下的private.html的訪問。
<Files private.html>
Order allow,deny
Deny from all
</Files>
下例中的配置指令 會拒絕對任何目錄下 以 .ht 類型結尾的文件。
<Files ".ht*">
Require all denied
</Files>
<Files "cat.html">
# Insert stuff that applies to cat.html here 任何配置會對cat.html 造成影響
</Files>
<Files "?at.*">
# 這裏的配置會應用於 cat.html, bat.html, hat.php 等文件
</Files>
請注意與<Directory>和<Location>配置段不同的是:<Files>配置段可用於.htaccess文件當中。這將允許用戶在文件層面上控制對它們自己文件的訪問。
3.<Files>和<Directory>段的組合可以作用於文件系統中的特定文件。
<Files>可以嵌套在<Directory>中,只限制此目錄中的特定文件
下例中的配置會拒絕對
/var/web/dir1/private.html,
/var/web/dir1/subdir2/private.html,
/var/web/dir1/subdir3/private.html
等任何/var/web/dir1/目錄下的private.html的訪問。
<Directory /var/web/dir1>
<Files private.html>
Order allow,deny
Deny from all
</Files>
</Directory>
4. <Location> 網絡空間容器
說明 將封裝的指令作用於匹配的URL
語法 <Location URL-path|URL> ... </Location>
作用域 server config, virtual host
狀態 核心(C)
模塊 core
<Location>是針對網絡空間的指令。下例中的配置會拒絕任何對以/private開頭的URL的訪問,如
http://yoursite.example.com/private,
http://yoursite.example.com/private123,
http://yoursite.example.com/private/dir/file.html
等所有以/private開頭的URL。
<Location /private>
Order Allow,Deny
Deny from all
</Location>
<Location>指令無須文件系統的支持,下例演示瞭如何映射特定的URL到由mod_status提供的Apache內部處理器,而並不要求文件系統中確實存在server-status。
<Location /server-status>
SetHandler server-status
</Location>
5.通配符和正則表達式
<Directory>,<Files>, 和<Location>指令可以使用類似C標準庫中的fnmatch的外殼通配符。符號"*"匹配任何字符串,"?"匹配任何單個的字符,"[seq]" 匹配seq序列中的任何字符,符號"/"不匹配爲任何通配符所匹配,所以不能顯式使用。
這些指令都有一個正則的配對指令,<DirectoryMatch>, <FilesMatch>和<LocationMatch>,可以使用與perl一致的正則表達式,以提供更復雜的匹配。但是還須注意下文配置的合併中有關使用正則表達式會如何作用於配置指令的內容。
下例使用非正則表達式的通配符來改變所有用戶目錄的配置:
<Directory /home/*/public_html> Options Indexes </Directory>
下例使用正則表達式一次性拒絕對多種圖形文件的訪問:
<FilesMatch .(?i:gif|jpe?g|png)$> Order allow,deny Deny from all </FilesMatch>
6.什麼情況下用什麼
選擇使用文件系統容器還是使用網絡空間容器其實很簡單。當指令應該作用於文件系統時,總是用<Directory>或者<Files>;
而當指令作用於不存在於文件系統的對象時,就用<Location>。比如一個由數據庫生成的網頁。
不要試圖用<Location>去限制對文件系統中對象的訪問,因爲許多不同的網絡空間路徑可能會映射到同一個文件系統目錄,導致你的訪問限制被突破。比如:
<Location /dir/> Order allow,deny Deny from all </Location>
上述配置對http://yoursite.example.com/dir/請求的確起作用。但是設想在一個不區分大小寫的文件系統中,這個訪問限制會被http://yoursite.example.com/DIR/請求輕易突破。而<Directory>指令纔會真正作用於對這個位置的任何形式的請求。(但是有一個例外,就是Unix文件系統中的連接,符號連接可以使同一個目錄出現在文件系統中的多個位置。<Directory>指令能不經過重置路徑名而跟隨符號連接,因此,對於安全要求最高的,應該用Options指令禁止對符號連接的跟隨。)
不要認爲使用大小寫敏感的文件系統就無所謂了,因爲有很多方法會將不同的網絡空間路徑映射爲同一個文件系統路徑,所以,能使用文件系統容器時就應該使用。但是,也有一個例外,就是,把訪問限制放在<Location/>段中可以很安全地作用於除了某些特定的以外所有的URL。
7.htaccess文件
如果一臺主機分爲十個空間賣給多個用戶,各用戶怎樣控制自己目錄和文件的訪問權限呢?
這裏就可以使用每個目錄下的.htaccess文件來實現。
開啓目錄的.htaccess功能:
<Directory /var/web/> AllowOverride All/none (開啓/關閉) </Directory>
一定注意不能讓網友直接訪問.htaccess 文件,這個要在主配置文件中做出限制:
例如:
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ".ht*"> Require all denied </Files>
或者
<FilesMatch "^\.ht*"> Order allow,deny Deny from All <FilesMatch>
這個.htaccess文件中可以寫正常配置中的各種語句
比如 列出目錄列表、可以訪問符號鏈接、控制訪問權限
一、.htaccess簡介
1.什麼是.htaccess
.htaccess是一個純文本文件,裏面存放着Apache服務器配置相關的一些指令,它類似於Apache的站點配置文件,如httpd.conf(Apache2已經支持多站點,因此你的站點配置文件可能在/etc/apache2/conf.d/目錄下)。
.htaccess與httpd.conf配置文件不同的是,它只作用於當前目錄。另外httpd.conf是在Apache服務啓動的時候就加載的,而.htaccess只有在用戶訪問目錄時加載,開銷大、速度慢。
既然如此,爲什麼我們還要用.htaccess呢?因爲它配置起來簡單,它還支持重定向、URL重寫以及訪問驗證,另外它管理起來很方便,可以很好適應網站遷移。總之,各有優缺點,主要就看你是要從全局考慮還是隻配置單個目錄。
2.AllowOverride All
通常情況下,Apache是默認啓用.htaccess的,但是爲了以防萬一,請檢查一下自己站點的配置文件,如httpd.conf,是否有這行:
AllowOverride All
這行允許重寫配置文件。也就是如果能夠從.htaccess加載配置文件,那麼就以.htaccess爲配置文件對其所在目錄進行配置。
3.500錯誤
如果你租用了雲服務提供商的主機或者空間,那麼他們可能不會給你讀寫httpd.conf文件的權限,你也不可能檢查AllowOverride命令參數是否爲All,這時,你可以新建一個目錄,在裏面寫一個.htaccess文件,文件中隨意寫入一些服務器看不懂的東西,然後訪問該目錄裏的一個頁面,耐心等待500錯誤的出現。
如果沒有出現,那麼.htaccess沒有被啓用,你需要向你的服務供應商尋求幫助;如果出現了,那麼恭喜你,你可以對當前目錄重寫Apache配置。
/!\注意:.htaccess語法錯誤可能會影響整個站點,如果你不確定這樣做是否安全,請聯繫你的雲服務供應商。
4.有用的文檔
二、.htaccess訪問控制(Allow/Deny)
1.訪問控制基礎:Order命令
爲了限制用戶訪問一些關鍵目錄,.htaccess可以提供目錄訪問限制。你只需要在要限制的目錄中,加入如下.htaccess文件:
# no one gets in here! deny from all
這會限制所有用戶通過瀏覽器訪問該目錄,這太一刀切了,因此我們還可以增加一些特定的條件,如允許指定IP地址的訪問:
Order Allow,Deny Deny from All Allow from 192.168.0.0/24
Order命令
Order命令是一個難點,也是配置apache的基礎,它決定了Apache處理訪問規則的順序。
通過Allow,Deny參數,Apache首先找到並應用Allow命令,然後應用Deny命令,以阻止所有訪問。
通過Deny,Allow參數,Apache首先找到並應用Deny命令,然後應用Allow命令,以允許所有訪問。
瞭解Order的用法後,再仔細考慮下上面的例子,你或許能夠發現Deny命令是多餘的,以下用法和之前的描述語義相同:
Order Allow,Deny Allow from 192.168.0/24
2.利用.htaccess過濾域名或網絡主機(Allow/Deny)
下例可以限制所有含有“domain.com”的網絡主機訪問網站:
Order Allow,Deny Allow from all Deny from .*domain\.com.*
{!}Info:有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
3.利用.htaccess禁止訪問指定文件(Files)
Files命令可以用於過濾指定文件:
# secure htaccess file <Files .htaccess> order allow,deny deny from all </Files>
4.利用.htaccess禁止訪問指定文件類型(FilesMatch)
下面的代碼將限制訪問所有.log和.exe文件:
<FilesMatch ".(log|exe)$"> Order allow,deny Deny from all </FilesMatch>
我們還可以通過Files命令描述文件類型,但是需要在命令後面加一個波浪線(~),該符號啓用Files命令的正則表達解析功能:
<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])"> Order allow,deny Deny from all Satisfy All </Files>
有以下幾點需要讀者注意:
Files之後的波浪線用於開啓“正則表達式”分析。請注意,這是個過時的用法,Apache更推薦使用<FilesMatch>指令[3]
正則表達式必須在雙引號之間,有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
雙引號中的“管道符”(|)用於將兩種文件類型(.log和.exe)分開,相當於邏輯“或”
Order命令必須嵌在Files節(Section)中,否則將會應用到所有文件
Satisfy All表示必須同時滿足主機級別(Allow/Denay)和用戶級別(Require)的限制,All是默認值,該行可以省略。
5.高級訪問控制(Rewrite)
我們還可以通過運用Rewrite實現更強大的訪問控制,但是Rewrite不是本文討論的內容。讀者可以參看:利用RewriteCond和RewriteRule進行訪問控制一文。
三、利用.htaccess進行密碼保護與驗證
1.配置.htaccess
AuthType Basic AuthName "restricted area" AuthUserFile /usr/local/var/www/html/.htpasses require valid-user
這個配置文件可以保護.htaccess所在的整個目錄,簡單說明下參數:
AuthType:驗證類型爲基本類型,密碼以明文方式傳輸到服務器上
AuthName:驗證提示,會出現在驗證對話框中
AuthUserFile:驗證配置文件,用於匹配用戶名與密碼,該密碼是加密保存的
require valid-user:只有在AuthUserFile中出現的用戶纔可以通過驗證
如果驗證失敗,則會出現401錯誤。
2.生成.htpasses文件
如何生成.htpasses文件呢?我們通過htpasswd
命令生成密碼文件:
htpasswd -c /usr/local/var/www/html/.htpasses lesca
它會提示你輸入密碼,並確認。之後將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下。
3.對文件進行密碼保護
保護與.htaccess在同一目錄下的文件secure.php:
# password-protect single file <Files secure.php> AuthType Basic AuthName "Prompt" AuthUserFile /home/path/.htpasswd Require valid-user </Files>
保護.htaccess所在目錄下的多個文件:
# password-protect multiple files <FilesMatch "^(execute|index|secure|insanity|biscuit)*$"> AuthType basic AuthName "Development" AuthUserFile /home/path/.htpasswd Require valid-user </FilesMatch>
4.對指定IP進行密碼保護
僅允許IP地址爲99.88.77.66的主機直接訪問該目錄,其他IP需要驗證。
AuthType Basic AuthName "Personal" AuthUserFile /home/path/.htpasswd Require valid-user Allow from 99.88.77.66 Satisfy Any
5.安全性
出於安全考慮,將.htpasses文件存放在WEB目錄樹之外也許是個好方法,但是由於.htpasses是隱藏文件,而且Apache不會輸出隱藏文件,因此可以滿足基本的安全要求。這是通過在主配置文件中加入如下限制實現的:
<Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy All </Files>
一般而言,這是默認設置,用戶無需手動添加。我們唯一需要擔心的是密碼在網絡傳輸過程中是明文形式,這很容易被×××破譯。Coz[1]提供了一個開源項目Pajamas可以在本地利用JS對密碼進行MD5加密,有興趣的讀者可以前去研究一下。
四、目錄瀏覽與主頁
如果你打開本站的下載頁面http://download.lesca.me/,就會發現你可以看見這個站點下的所有文件。像這樣的特性也可以通.htaccess來設置用戶是否有權限瀏覽服務器目錄。
1.啓用目錄瀏覽
# enable directory browsing Options All +Indexes
2.禁用目錄瀏覽
# disable directory browsing Options All -Indexes
我們還可以通過IndexIgnore指令來禁用目錄瀏覽。
# prevent folder listing IndexIgnore *
通過IndexIgnore指令,我們可以禁止對指定類型的文件瀏覽:
# prevent display of select file types IndexIgnore *.wmv *.mp4 *.avi *.etc
3.自定義目錄瀏覽
如果你希望Apache在展示你的WEB目錄時看起來與衆不同,那麼你需要啓用FancyIndexing選項:
<IfModule mod_autoindex.c> IndexOptions FancyIndexing </ifModule>
通過這個選項,你可以實現自定義圖標、添加文件類型描述、按日期排序等。但是這些已經超過了本文的討論範圍,Lesca可以給你一個做好的例子,你可以在這頁查看效果。
4.配置目錄主頁文件
即使啓用了目錄瀏覽,Apache未必會展示該目錄的內容,因爲該目錄可能存在像index.htm這樣的默認主頁文件。Apache會有限展示主頁文件,我們可以通過.htaccess設置:
DirectoryIndex index.html index.php index.htm
5.配置錯誤頁面
如果Apache遇到錯誤,就會輸出錯誤頁面。配置自定義的錯誤頁面,也許可以挽留即將離開的用戶。
# custom error documents ErrorDocument 401 /err/401.php ErrorDocument 403 /err/403.php ErrorDocument 404 /err/404.php ErrorDocument 500 /er