![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 應用技術 > Apache > 正文 |
 |
| Apache服務器配置全攻略(四) |
| http://www.oso.com.cn 作者:王波 (2001-04-15 20:29:55) |
Options FollowSymLinks
AllowOverride None
Apache服務器可以針對目錄進行文檔的訪問控制,然而訪問控制可以通過兩
種方式來實現,一個是在設置文件 httpd.conf(或access.conf)中針對每個目
錄進行設置,另一個方法是在每個目錄下設置訪問控制文件,通常訪問控制文件
名字為.htaccess。雖然使用這兩個方式都能用控制瀏覽器的訪問,然而使用配置文件的方法要求每次改動重新啟動httpd守護進程,比較不靈活,因此主要用配置服務器系統的整體安全控制策略,而使用每個目錄下的.htaccess文件設置具體目錄的訪問控制更為靈活方便。
Directory語句就是用來定義目錄的訪問限制的,這裡可以看出它的標準語法,為一個目錄定義訪問限制。上例的這個設置是針對系統的根目錄進行的,設置了允許符號連接的選項FollowSymLinks ,以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這裡進行的配置,這也意味著不用查看這個目錄下的相應訪問控制文件。
由Apache對一個目錄的訪問控制設置是能夠被下一級目錄繼承的,因此對
根目錄的設置將影響到它的下級目錄。注意由AllowOverride None的設置,使
得Apache服務器不需要查看根目錄下的訪問控制文件,也不需要查看以下各級目
錄下的訪問控制文件,直至httpd.conf(或access.conf )中為某個目錄指定了
允許Alloworride,即允許查看訪問控制文件。由Apache對目錄訪問控制是採用的繼承方式,如果從根目錄就允許查看訪問控制文件,那Apache就必須一級一級的查看訪問控制文件,對系統性能會造成影響。而缺省關閉了根目錄的這個特性,就使得Apache從httpd.conf中具體指定的目錄向下搜尋,減少了搜尋的級數,增加了系統性能。因此對系統根目錄設置AllowOverride None不但對系統安全有幫助,也有益系統性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
這裡定義的是系統對外發布文檔的目錄的訪問設置,設置不同的 AllowOverride選項,以定義配置文件中的目錄設置和用戶目錄下的安全控制文件的關系,而Options選項用定義該目錄的特性。
配置文件和每個目錄下的訪問控制文件都可以設置訪問限制,設置文件是由
管理員設置的,而每個目錄下的訪問控制文件是由目錄的屬主設置的,因此管理
員可以規定目錄的屬主是否能覆蓋系統在設置文件中的設置,這就需要使用 啊AllowOverride參數進行設置,通常可以設置的值為:
AllowOverride的設置 對每個目錄訪問控制文件作用的影響
All 缺省值,使訪問控制文件可以覆蓋系統配置
None 服務器忽略訪問控制文件的設置
Options 允許訪問控制文件中可以使用Options參數定義目錄的選項
FileInfo 允許訪問控制文件中可以使用AddType等參數設置
AuthConfig 允許訪問控制文件使用AuthName,AuthType等針對每個用戶的認証機制,這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許對訪問目錄的客戶機的IP地址和名字進行限制
每個目錄具備一定屬性,可以使用Options來控制這個目錄下的一些訪問特性設置,以下為常用的特性選項:
Options設置 服務器特性設置
All 所有的目錄特性都有效,這是缺省狀態
None 所有的目錄特性都無效
FollowSymLinks 允許使用符號連接,這將使瀏覽器有可能訪問文檔根目錄 (DocumentRoot)之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時,才允許訪問,這個設置將增加一些安全性
ExecCGI 允許這個目錄下可以執行CGI程序 Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引,使得在這個目錄下沒有index.html(或其他索引文件)時,能向瀏覽器發送這個目錄下的文件列表
此外,上例中還使用了Order、Allow、Deny等參數,這是Limit語句中用來根據瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序,而Allow、Deny則針對名字或IP進行訪問控制設置,上例使用allowfrom all,表示允許所有的客戶機訪問這個目錄,而不進行任何限制。
UserDir public_html
當在一台Linux上運行Apache服務器時,這台計算機上的所有用戶都可以有自己的網頁路徑,形如 http://example.org.cn/~user,使用波浪符號加上用戶名就可以映射到用戶自己的網頁目錄上。映射目錄為用戶個人主目錄下的一個子目錄,其名字就用UseDir這個參數進行定義,缺省為public_html。如果不想為正式的用戶提供網頁服務,使用DISABLED作UserDir的參數即可。
#
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
#
# Order allow,deny
# Allow from all
#
#
# Order deny,allow
# Deny from all
#
#
這裡可以看到Directory的另一個用法,即可以通過簡單的模式匹配方法,針對分布在不同目錄下的子目錄定義訪問控制權限。這樣設置就需要Apache服務器對每個路徑進行額外的處理,因此就會降低服務器的性能,所以缺省情況並沒有打開這種訪問限制。
原作者:王波
來源:Linux自由空間
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
Apache服務器配置全攻略(八) (2001-04-15 20:38:41)
Apache服務器配置全攻略(七) (2001-04-15 20:37:24)
Apache服務器配置全攻略(六) (2001-04-15 20:36:22)
Apache服務器配置全攻略(五) (2001-04-15 20:35:45)
Apache服務器配置全攻略(四) (2001-04-15 20:29:55)
Apache服務器配置全攻略(三) (2001-04-15 20:28:42)
Apache服務器配置全攻略(二) (2001-04-15 20:25:49)
Apache服務器配置全攻略(一) (2001-04-15 20:22:22)
|
|
|
|
|
★ 樊強制作 歡迎分享 ★ |