• [转载]apache目录的访问控制


    1.根目录的访问控制

    1. DocumentRoot "/var/www/html"  
    2.  
    3. <Directory /> 
    4.     Options FollowSymLinks  
    5.     AllowOverride None  
    6. </Directory> 

    解释一下:
    <Directory />表示要对文件系统的目录进行限制
    Options FollowSymLinks表示跟随符号链接,关于Option的值参下表

     AllowOverride None表示不允许覆盖,AllowOverride的值参见下表,在此例中对根目录做了非常严格的限制,即只允许跟随符号链接,不允许其他文件覆盖当前的设置。
    2.文档根目录的访问控制针对文档根目录"/var/www/html"进行限制。

    1. <Directory "/var/www/html">  
    2. Options Indexes FollowSymLinks  
    3. Order allow,deny  
    4. Allow from all  
    5. </Directory> 

    解释一下:
    Options Indexs FollowSymLinks:设置允许跟随符号连接:Indexes的含义是如果要访问的文档不存在,则会显示出该目录下的文件目录清单。

    AllowOverride None:Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权。

    所以,最常用的是:
    Order Deny,Allow
    Allow from All

    注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错;单词的大小写不限。上面设定的含义是先设定“先检查禁止设定,没有禁止的全部允许”,而第二句没有Deny,也就是没有禁止访问的设定,直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置,开放所有内容的访问权。

    按照上面的解释,下面的设定是无条件禁止访问:
    Order Allow,Deny
    Deny from All

    如果要禁止部分内容的访问,其他的全部开放:
    Order Deny,Allow
    Deny from ip1 ip2
    或者
    Order Allow,Deny
    Allow from all
    Deny from ip1 ip2

    apache会按照order决定最后使用哪一条规则,比如上面的第二种方式,虽然第二句allow允许了访问,但由于在order中allow不是最后规则,因此还需要看有没有deny规则,于是到了第三句,符合ip1和ip2的访问就被禁止了。注意,order决定的“最后”规则非常重要,下面是两个错误的例子和改正方式:

    Order Deny,Allow
    Allow from all
    Deny from domain.org
    错误:想禁止来自domain.org的访问,但是deny不是最后规则,apache在处理到第二句allow的时候就已经匹配成功,根本就不会去看第三句。
    解决方法:Order Allow,Deny,后面两句不动,即可。

    Order Allow,Deny
    Allow from ip1
    Deny from all
    错误:想只允许来自ip1的访问,但是,虽然第二句中设定了allow规则,由于order中deny在后,所以会以第三句deny为准,而第三句的范围中又明显包含了ip1(all include ip1),所以所有的访问都被禁止了。
    解决方法一:直接去掉第三句。
    解决方法二:
    Order Deny,Allow
    Deny from all
    Allow from ip1

    下面是测试过的例子:
    --------------------------------
    Order deny,allow
    allow from all
    deny from 219.204.253.8
    #全部都可以通行
    -------------------------------
    Order deny,allow
    deny from 219.204.253.8
    allow from all
    #全部都可以通行
    -------------------------------
    Order allow,deny
    deny from 219.204.253.8
    allow from all
    #只有219.204.253.8不能通行
    -------------------------------
    Order allow,deny
    allow from all
    deny from 219.204.253.8
    #只有219.204.253.8不能通行
    -------------------------------
    -------------------------------
    Order allow,deny
    deny from all
    allow from 219.204.253.8
    #全部都不能通行 
    -------------------------------
    Order allow,deny
    allow from 219.204.253.8
    deny from all
    #全部都不能通行 
    -------------------------------
    Order deny,allow
    allow from 219.204.253.8
    deny from all
    #只允许219.204.253.8通行 
    -------------------------------
    Order deny,allow
    deny from all
    allow from 219.204.253.8
    #只允许219.204.253.8通行 
    -------------------------------
    --------------------------------
    Order deny,allow
    #全部都可以通行(默认的)
    -------------------------------
    Order allow,deny
    #全部都不能通行(默认的)
    -------------------------------
    Order allow,deny
    deny from all
    #全部都不能通行
    -------------------------------
    Order deny,allow
    deny from all
    #全部都不能通行
    -------------------------------
    对于上面两种情况,如果换成allow from all,则全部都可以通行!
    -------------------------------
    Order deny,allow
    deny from 219.204.253.8
    #只有219.204.253.8不能通行
    -------------------------------
    Order allow,deny
    deny from 219.204.253.8
    #全部都不能通行
    -------------------------------
    Order allow,deny
    allow from 219.204.253.8
    #只允许219.204.253.8通行
    -------------------------------
    Order deny,allow
    allow from 219.204.253.8
    #全部都可以通行
    -------------------------------
    -------------------------------
    order deny,allow
    allow from 218.20.253.2
    deny from 218.20
    #代表拒绝218.20开头的IP,但允许218.20.253.2通过;而其它非218.20开头的IP也都允许通过。
    -------------------------------
    order allow,deny
    allow from 218.20.253.2
    deny from 218.20
    #和上面的差不多,只是掉换的order语句中的allow、deny先后顺序,但最终结果表示全部都拒绝!

    本文出自 “继续奋斗” 博客,请务必保留此出处http://yunwei.blog.51cto.com/381136/471057

  • 相关阅读:
    结婚电子
    ASP.NET 5简介
    定位500错误!
    Web项目
    JS编程
    CQRS 示例
    领域驱动设计的面向服务架构
    Oracle免费的便捷Web应用开发框架
    ThreadLocal是否会引发内存泄露的分析 good
    应用的代码没有用新的类库来进行编译(转)
  • 原文地址:https://www.cnblogs.com/chenkg/p/3394159.html
Copyright © 2020-2023  润新知