Controlling a hozzáférést a web-szerver apache

Korábban úgy vélték, a HTTP-hozzáférést a kliens oldalon, most nézzük a másik oldalról - a szerver oldalon.

Ha azonban továbbra is szükség van, hogy adja meg a gépnevet, majd tekintsük a következő példát:

Hagyjuk az example.com

Ez nem az, amit meg kell: ez a szabály egyezik a nevek example.com, lan.example.com, sales.example.com, myexample.com sőt cracker.evilexapmle.com - vagyis az összes nevek, amelyek tartalmazzák a húr «example.com». Annak érdekében, hogy hozzáférést csak a domain (és aldomainjeid) example.com, az alábbi mondat:

Hagyjuk származó .example.com

Hozzáférés a felhasználó nevét és jelszavát.

Korábban szempont, hogy két módon azonosítja a felhasználót - Basic Authentication, és Digest Authentication. Az első módszer a leggyakrabban használt egyszerűsége miatt, hanem a nem biztonságos, mivel a jelszavak kódolása egy algoritmus Base-64, amely könnyen dekódolt egy hacker. A második módszer veszi alapul az algoritmus MD5, így sokkal biztonságosabb, de sokkal bonyolultabb beállítani.

Annak ellenére, hogy az alapvető hitelesítési hibákat, akkor továbbra is a legnépszerűbb módja a jelszavas védelem, Web-szerverek. Valószínűleg ez a legrégebbi, jól dokumentált eljárás és az adminisztrátorok csak használni. Igen, ez lehetővé teszi, hogy korlátozza a felhasználók hozzáférését az egyes kiszolgáló dokumentumokat. A felhasználók, de nem cracker.

Abban az időben, amikor a modern böngészők (IE kezdve v5.0 és a Netscape v7.0) teljes mértékben támogatja a Digest-hitelesítés, azaz a használata alapvető hitelesítés nem.

A szintaxisa e két formája hitelesítés jelentősen eltér a Deny irányelvek és engedélyezése, tárgyalt az előző példában. Ebben az esetben a négy irányelvet:

• authname <строка> - A terület nevét a védeni kívánt. Ez a név fog megjelenni az ablakban arra kéri a felhasználót a felhasználónevét és jelszavát. Ez a mező nevét azonosítására használt különböző területek (ha egynél több).
• AuthType - Ez határozza meg a használt hitelesítési eljárást.
• AuthUserFile <файл> - fájlt, amely tartalmazza a felhasználó nevét és jelszavát megfelelőek számukra. Gyakran használják a nevét a .htpasswd.
• kíván - akik számára hozzáférést kell engedélyezni: érvényes felhasználói (és a megfelelő AuthUserFile fájlt, és belépett a helyes jelszó), vagy csak bizonyos (az irányelvben felsorolt) felhasználók számára, azzal a feltétellel, hogy ők is, bevitte a helyes jelszót.

Authname „Munkavállaló menetrendek”

.htpasswd fájl ajánlott tárolni kívül DocumentRoot könyvtárat szerver, például /etc/httpd/.htpasswd könyvtárban. Természetesen a modern változata Apache hogy blokkolja a hozzáférést .htpasswd fájlokat, de jobb nem kockáztatni. Modern változatai Apache közé irányelv, amely korlátozza a hozzáférést a kezdődő fájlokat .ht:

Opciók és felhasználói hozzáférést.

Minden könyvtár a DocumentRoot rendelni egyedi lehetőséget, hogy ellenőrizzék az indexelés, CGI végrehajtás, stb Jellemzően ezek a „előírt” opciót a fő konfigurációs fájl, de ha hatalmas, és ez kényelmetlen, hogy a szabály, lehetővé tette a használatát .htaccess fájlokat. Ez a fájl kerül közvetlenül a könyvtárban, amit módosítani kell a beállításokat. Előnyösen természetesen az opció a fő konfigurációs fájl - ez lesz biztonságosabb.

Options könyvtárban elhelyezett irányelv :

Ezt a példát vett egy Apache konfigurációs fájl alapértelmezés szerint. Mert meg van öröklődik minden alkönyvtárakat, majd ezeket a lehetőségeket kell rendelni minden könyvtár DocumentRoot fa. Elhagyás opciók szükségesek az irányelv által Directory - külön-külön könyvtárban.

Biztonsági szempontból a legérdekesebb lehetőségek közül választhat:

A módszer alkalmazásának az irányelvek látszik különösebben érthetetlen. Mint említettük, melyek öröklődnek, mert indexek váltani a / var / www / htdocs eszközök és az integráció ezen irányelv és a / var / www / htdocs / képeket (kivéve persze, lehetőség a képek könyvtár nem írja felül).

Ha csak az egyik lehetőség az Options direktíva, ami azt jelenti, hogy az összes többi opció ki van kapcsolva, például:

Ez az irányelv tartalmazza FollowSymLinks opció be- és kikapcsolása az összes többi - indexek, ExecCGI, stb Ha lehet kikapcsolni csak egy lehetőség (például Tartalmazza), de egyedül maradt az összes többi, a lehetőséget kell adni, mielőtt a jel. „-”.

Hasonlóan, ha egy külön beállítást adhatunk meg előtte „+” jel. Például:

AllowOverride lehetővé teszi, hogy meghatározza, hogy milyen lehetőségeket kell újradefiniálni a használata a .htaccess fájlok, és milyen - nem. De ez lehetővé teszi a felhasználó számára, hogy felülbírálja a nagyon fontos a szempontból a biztonsági beállításokat, így a legjobb, hogy kapcsolja ki:

Szükséges létrehozni egy listát a lehetőség, hogy lehet újra:

AllowOverride ExecCGI indexek Tartalmazza

Javasoljuk, hogy a felhasználók ne kényszerítő irányelvek:

Kapcsolódó cikkek

• Konfigurálása nginx mint egy frontend a web-szerver apache