apache服务的访问控制

loinui

为了更好的控制对网站资源的访问，可以为特定的网站目录添加访问授权。配置客户机地址限制，用户授权限制，这两种访问控制方式都应用于httpd.conf配置文件中的目录区域<Directory 目录位置>......</Directory> 范围内
1.客户机地址限制
通过配置项 Order，Deny from ，Allow from ，可以根据客户机的主机名或IP地址来决定是否允许客户端访问。其中Order 用于设置限制顺序，Deny from 和 Allow from 用于设置具体限制内容。
使用Order 配置项时，可以设置为 allow,deny 或者 deny,allow. 以决定主机一个用 允许，拒绝 策略的先后顺序。
allow , deny：先允许后拒绝，默认拒绝所有未明确允许的客户机地址。
deny，allow：先拒绝后允许，默认允许所有未明确拒绝的客户机地址。
使用Allow 和 Deny 配置项时，需要设置客户机地址以构成完整的限制策略，地址的xingshi可以使IP地址，网络地址，主机名，域名，使用名称 all 时表示任意地址，限制策略的格式如下所示：
Deny from address1 address2
Allow from address1 address2
通常情况下，网站服务器是对所有客户机开放的，网页文档目录并未做任何限制。因此使用的是Allow from all 的策略，表示允许任何客户机访问。
例子：
<Directory "/usr/local/httpd/htdocs">
    ......    //省略部分
    Order allow,deny
    Allow from all
</Directory>
需要使用“仅允许“的限制策略时，应将处理顺序改为”allow,deny“，并且明确设置允许策略，只永续一部分主机访问。例如，只希望IP地址为192.168.1.195 工作用机能访问AWStats 系统（一个管理网站的系统），则针对AWStats 系统的目录区域做一下设置：
<Directory "/usr/local/awstats/wwwroot">
    ......     //省略部分内容
    Order allow,deny
    Allow from 192.168.1.195
</Directory>

反之，需要使用”仅拒绝“的限制策略时，应将处理顺序改为”deny,allow“，并明确设置拒绝策略，只禁止一部分主机访问。例如希望一下两个网段，不能访问。其他网段都可以访问的配置：
<Directory "/usr/local/awstats/wwwroot">
    ......    //省略部分内容
    Order deny,allow
    Deny from 192.168.0.0/24 192.168.1.0/24
</Directory>
当从未被授权的客户机访问网站目录时，将被拒绝访问。在不同的浏览器中拒绝的信息可能略有差异
2.用户授权限制
httpd 服务器支持使用摘要认证（Digest）和基本认证（Basic）两种方式。使用摘要认证需要在编译httpd之前添加 ”--enable-auth-digest“选项，但并不是所有的浏览器都支持 摘要认证；而基本认证是httpd服务的基本功能，不需要预先设置特别的选项。
基本用户的访问控制包含认证和授权两个过程，认证（Authentication）是指识别用户身份的过程，授权（Authorization）是允许特定用户访问特定目录区域的过程。下面将以基本认证方式为例，对AWStats日志分析系统添加用户授权限制。
1.创建用户认证数据文件
    httpd的基本认证通过校验用户名，密码组合来判断是否允许用户访问。授权访问的用户账号需要事先建立，并保存在固定的数据文件中。使用专门的htpasswd工具程序，可以创建授权用户数据文件，并维护其中的用户账号。
    使用htpsswd工具时，必须制定用户数据文件的位置，添加”-c“选项表示新建立此文件。例如，执行以下操作可以新建数据文件/usr/local/conf/.awspwd，其中包含一个名为webadmin的用户信息。