当前位置:文档之家 › apache目录的安全认证

apache目录的安全认证

  • 格式:doc
  • 大小:45.00 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

Apache 应用安全测评指导书

Apache 应用安全测评指导书
手工检查:应保证只有系统管理员可以对网站文件进行读写操作,执行命令#ls-l对apache安装目录和网站目录的权限进行检查。
apache的安装目录权限设置严格。
授权的主体
手工检查:使用命令ls-l/usr/local/apache/bin
来检查httpd和apachectl文件的权限,建议权限为700,即只允许
手工检查:对于有保密要求的系统,在浏览器地址栏输入https://
服务器ip来确认是否启用了ssl加密功能。
启用web的加密功能。
密码算法合规
访谈:询问系统管理员目前apache使用的是哪种加密强度的算法,应抛弃使用SSLv2和加密强度较低的算法。
使用符合加密强度要求的算法。
序号
测评指标
测评项
检测方法
日志功能打开。
审计记录:重要用户行为、系统资源的异常使用和重要系统命令的使用
手工检查:1.使用命令查看apache的主配置文件
#cat/usr/local/apache/conf/httpd.conf
查看CustomLog、LogFormat、ErrorLog行的配置,确认是否包含了措施要求的内容。
进行访问超时设置。
资源限额
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
MaxRequestsPerChild的配置,查看是否进行了访问限制。
存在对apache使用系统资源的限制。
多种方式限制终端登录
访谈:询问系统管理员,是否对网站资源按照用户身份、IP地址、
apache的日志配置要求。
安全事件记录:日期和时间、类型、主体标识、客体标识、事件的结果等
手工检查:1.使用命令查看apache的日志文件

flink digest认证 实践

flink digest认证 实践

flink digest认证实践Flink Digest 认证是指在 Apache Flink 中实施的一种安全认证机制,旨在保护 Flink 应用的安全性。

Flink 支持多种安全机制,包括基于 Digest 认证的安全控制。

以下是实施 Flink Digest 认证的一般步骤和实践指南:1. 启用 Flink 安全性首先,需要确保你的 Flink 集群配置为启用安全性。

这通常涉及修改 Flink 的配置文件(如 `flink-conf.yaml`),以启用安全特性。

2. 配置 Digest 认证⏹Digest 认证需要在 Flink 的配置文件中进行设置。

具体步骤包括:⏹配置认证文件:你需要创建一个包含用户名和密码的认证文件。

这个文件通常采用“username:realm:password”格式。

⏹指定文件路径:在 `flink-conf.yaml` 文件中,指定认证文件的路径。

⏹例如: security.auth.simple.digest:/path/to/auth/file3. 配置 JobManager 和 TaskManager确保你的 JobManager 和 TaskManager 配置文件都包含了必要的安全设置。

这可能涉及到配置内部通信协议的安全性,以及如何处理客户端连接。

4. 客户端配置对于连接到 Flink 集群的客户端,需要配置相应的认证参数。

这包括在客户端的配置文件中指定用户名和密码。

5. 测试和验证⏹在配置完毕后,应当进行测试以验证安全设置是否正确实施。

可以尝试以下操作:⏹使用正确的凭据连接到 Flink 集群。

⏹尝试使用错误的凭据连接,以确保不合法的访问请求被拒绝。

6. 监控和日志为了确保系统的安全性,应该启用监控和日志记录功能,以便跟踪认证过程中的任何异常或错误。

7.注意事项⏹版本兼容性:检查 Flink 版本的文档,以确保你的设置与当前版本兼容。

⏹安全实践:使用强密码,并定期更新认证文件中的凭据。

Linux Apache 的 HTTPS 配置

Linux Apache 的 HTTPS 配置

Linux Apache 的 HTTPS 配置我以前在 Windows 上配置过Apache的 SSL/HTTPS 双向认证,即对 Web 服务器与浏览器同时进行认证,而建立的 HTTPS 安全连接。

最近,我在 Linux 下也配置了下Apache的 HTTPS,并将配置过程和遇到的问题记录了一下。

配置环境∙Web 服务器系统:VMware Workstation 6.0.2,Debian Linux 5.0.2,kernel=2.6.26-2-686∙Web 服务器:Apache 2.2.9-10∙Web 浏览器系统:Windows XP Professional∙Web 浏览器:Firefox 3.0.11Linux Apache的基本配置现在 Linux 下较新的Apache配置,要比 Windows 下的配置方便、灵活的多。

比如,我的 Debian 5 下的Apache2 包安装后,就将Apache的配置文件放在:/etc/apache2目录下,并按照 Linux 下经典的:xxx-available,xxx-enabled,xxx.d目录来组织配置文件,看到这里有没有想到 Emacs 的配置文件组织方式呢?(*^_^*)。

玩 Linux 的人看到这里,大多都能猜地出 Linux Apache是怎么组织的。

下面简单列举一下Apache配置文件的组织结构:∙apache2.conf:Apache的入口配置文件,包含其它配置文件的主控文件∙conf.d/:包含一些零碎的配置,一般不和具体的 mod 相关,是全局性质的,比如:字符集 charset、安全选项 security。

∙ports.conf:设置Apache的监听端口,默认时,HTTP 为 80,HTTPS 为443。

∙envvars:导出一些环境变量,比如:∙export APACHE_RUN_USER=www-data∙export APACHE_RUN_GROUP=www-data∙export APACHE_PID_FILE=/var/run/apache2.pid∙httpd.conf:额外的用户设置的配置,默认里面内容为空。

阿里云服务器apache配置SSL证书成功开启Https(记录趟过的各种坑)

阿里云服务器apache配置SSL证书成功开启Https(记录趟过的各种坑)

阿⾥云服务器apache配置SSL证书成功开启Https(记录趟过的各种坑)环境:步骤:申请证书(某度很多教程的,⼤家⾃⾏搜索)上传证书登陆阿⾥云控制台=》安全(云盾)=》CA证书服务=》上传原有证书(也可以直接买阿⾥云的证书,这样就不⽤上传,不过个⼈⽹站⼀般是申请免费的证书)开启服务器443端⼝(https默认端⼝)阿⾥云控制台=》云计算基础服务=》云服务器ECS=》⽹络和安全=》安全组,没有安全组的创建⼀个安全组,有的直接选择相应安全组,点击配置规则=》添加安全组规则(把80端⼝和443端⼝添加进安全组,授权对象填0.0.0.0/0)开启apache相应配置#修改httpd.conf⽂件LoadModule ssl_module modules/mod_ssl.soInclude conf/extra/httpd-ssl.confLoadModule rewrite_module#去掉上⾯三⾏前的"#"保存退出在apache⽬录下的conf⽬录下新建⼀个cert⽬录,将你的证书⽂件放在这⾥⾯开启php的openssl模块,在phpstudy的“php扩展及设置”⾥⾯开启即可修改httpd-ssl.conf⽂件,保存退出在..\Apache\conf\extra⽬录下,打开httpd-ssl.conf⽂件(注:先备份⼀遍,以免出错,因为这个⽂件的错误我重装phpstuy不下10回)在⽂件⾥定位到 Listen 443 这句话这⾥,把从这句话到这个⽂件结尾的⽂本全部注释掉或者删除掉,替换成以下代码Listen 443 //这⾥强调⼀下,如果Listen 443这句代码在这个⽂件⾥重复出现了,即重复监听,apache会报错,然后不能启动SSLStrictSNIVHostCheck offSSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULLSSLProtocol all -SSLv2 -SSLv3<VirtualHost *:443>#这⾥的路径设置你的⽹站根⽬录DocumentRoot "C:\phpStudy\PHPTutorial\WWW"#这⾥替换成你的域名ServerName #这⾥替换成你的域名ServerAlias #这⾥的路径设置你的⽹站根⽬录<Directory "C:\phpStudy\PHPTutorial\WWW">Options FollowSymLinks ExecCGIAllowOverride AllOrder allow,denyAllow from allRequire all granted</Directory>SSLEngine on#你的公钥⽂件SSLCertificateFile "C:/phpStudy/PHPTutorial/Apache/conf/cert/server.crt"#你的私钥⽂件(有的机构命名为private或者以你的域名为⽂件名命名)SSLCertificateKeyFile "C:/phpStudy/PHPTutorial/Apache/conf/cert/server.key"#证书链⽂件(有的机构命名为CA)我尝试过注释掉这个选项,结果apache不能运⾏SSLCertificateChainFile "C:/phpStudy/PHPTutorial/Apache/conf/cert/chain.crt"</VirtualHost>重启apache,看看能不能正常启动,如果有异常,尝试把第4步中httpd-ssl.conf代码恢复注释(把#重新加上去,保存退出),再次重启apache,如果此时能够正常启动,则说明httpd-ssl.conf⽂件中有错误(是不是重复监听了?证书路径对不对?证书是否有效?),请认真检查,直到能够正常启动apache打开hosts⽂件我的hosts⽂件在C:\Windows\System32\drivers\etc⽬录下⽤记事本打开,在127.0.0.1 localhost下⾯添加⼀句话:127.0.0.1 //这⾥替换成你的域名保存退出保存退出重启apache启动浏览器检查是否可以访问localhost 及你的域名,并且域名头部标志为https。

常用的认证框架

常用的认证框架

常用的认证框架
常用的认证框架有:
1. Spring Security:基于Spring框架的安全认证框架,提供了丰富的认证和授权功能,并支持多种认证方式,如表单验证、基本认证、OAuth2等。

2. Apache Shiro:一个灵活且易于使用的Java安全框架,提供了身份认证和授权功能,支持多种认证方式,并且可以与其他框架无缝集成。

3. OAuth2:一个开放标准的授权框架,用于用户在第三方应用程序上授权访问受保护资源,常用于实现单点登录和API
访问授权。

4. JWT(JSON Web Token):一种轻量级的身份认证和授权机制,基于JSON数据格式和数字签名,通常用于跨域认证和授权。

5. CAS(Central Authentication Service):一个开源的单点登录认证系统,提供了统一的登录接口和票据管理,可实现用户在多个应用程序之间的无缝切换。

6. Keycloak:一个开源的身份和访问管理解决方案,提供了认证、授权等功能,并支持单点登录、社交登录等特性。

7. Okta:一个云身份和访问管理提供商,提供了全面的身份认
证和授权服务,可用于构建安全的应用程序和保护用户数据。

这些认证框架在开发中被广泛使用,并且提供了丰富的功能和易于集成,能够帮助开发者快速实现安全认证和授权功能。

Apache系统安全配置基线

Apache系统安全配置基线
Apache系统安全配置基线
目录
第1章概述1
1.1目的1
1.2适用范围1
1.3适用版本1
第2章账号管理、认证授权1
2.1账号1
2.1.1用户帐号设置1
2.1.2Hale Waihona Puke 除或锁定无效账号22.2认证2
2.2.1密码复杂度2
2.2.2权限最小化3
第3章日志审计4
3.1日志审核4
第4章其他配置操作5
4.1.1登陆超时退出5
普通用户不能修改Web目录下的文件。
2、检测操作
用普通用户登陆服务器,尝试在Web目录下修改或者新建文件,检查操作是否成功。
备注
第3章
3.1
安全基线项目名称
日志审核
安全基线项说明
开启Apache的日志记录功能,记录客户端IP、访问时间、请求页面、发送字节数、Agent等信息。
检测操作步骤
1、参考配置操作
1、判定条件
Apache能够记录访问日志。
2、检测操作
用浏览器访问Web服务器,查看日志记录。
备注
第4章
4.1.1
安全基线项目名称
自定义错误信息
安全基线项说明
自定义友好的错误页面。
检测操作步骤
1、参考配置操作
建立错误页面400.html、401.html、402.html、403.html、404.html等,在httpd.conf添加
本配置标准适用的范围包括:Apache系统。
1.3
适用于Apache。
第2章
2.1
2.1.1
安全基线项目名称
以普通用户权限运行Apache服务。
安全基线项说明
以普通用户权限运行Apache服务。

kafka的安全协议和认证

kafka的安全协议和认证Apache Kafka作为分布式流处理平台,提供了多种安全协议和认证机制以确保其在生产环境中的安全性。

以下是一些关键的安全措施:1. SSL/TLS协议:-用于网络层的加密通信,可以防止数据在传输过程中被窃取或篡改。

-在Kafka集群中启用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)后,生产者、消费者以及Broker之间的所有网络流量都会被加密。

2. SASL (Simple Authentication and Security Layer) 认证:- SASL提供了一系列的身份验证机制,Kafka支持几种SASL认证机制,包括:- SASL/PLAIN:基于明文的简单认证机制,用户名和密码通过网络以明文形式发送,但在使用SSL/TLS的情况下可以保证安全。

-SASL/SCRAM-SHA-256 / SCRAM-SHA-512:更安全的认证方式,采用了Salted Challenge Response Authentication Mechanism (SCRAM),对密码进行哈希处理,并且在认证过程中添加了随机挑战响应机制,即使密码泄露,也无法直接用作认证。

- SASL/GSSAPI (Kerberos):适用于大型企业环境,采用Kerberos身份验证系统进行身份认证。

3. OAuthBearer Token机制:-自Kafka 0.10.2版本开始引入的支持OAuthBearer token的SASL 机制,允许使用现有的OAuth服务来授权访问Kafka集群。

4. IP白名单与ACL(Access Control List):- Kafka也支持配置IP白名单,只允许特定IP地址范围内的客户端连接到Broker。

- ACL则用于精细控制不同用户或用户组对于Kafka Topic的操作权限,如读、写、创建、删除等操作。

云计算服务强制性认证目录

云计算服务强制性认证目录1. 引言本目录旨在为云计算服务提供强制性认证方案,以确保云计算服务的质量和安全性。

通过对云计算服务的全面评估和认证,可以建立用户对云计算服务的信任,促进云计算行业的健康发展。

2. 认证要求在进行云计算服务强制性认证时,需要满足以下要求:- 安全性认证:对云计算服务的安全性进行全面评估,包括数据保护、身份认证、网络安全等方面。

只有通过安全性认证的云计算服务才能符合认证目录的要求。

- 可靠性认证:对云计算服务的可靠性进行评估,包括系统稳定性、故障恢复能力、服务可用性等方面。

只有通过可靠性认证的云计算服务才能符合认证目录的规定。

- 合规性认证:对云计算服务的合规性进行评估,包括法律法规的合规性、数据隐私保护的合规性等方面。

只有通过合规性认证的云计算服务才能被列入认证目录。

3. 认证过程云计算服务的强制性认证过程包括以下步骤:- 提交申请:云计算服务提供商需要向认证机构提交认证申请,并提供相关的资料和证明文件。

- 评估和审查:认证机构对云计算服务进行评估和审查,包括对服务的安全性、可靠性和合规性进行检查。

- 认证结果确认:认证机构对评估结果进行确认,并向云计算服务提供商发放认证证书。

- 定期复审:认证机构会定期对已认证的云计算服务进行复审,确保其仍然符合认证目录的要求。

4. 认证标志通过云计算服务强制性认证的服务提供商将获得认证标志,用以向用户展示其所提供的服务已经通过认证,并符合认证目录要求。

认证标志的使用需要符合认证机构的规定和要求。

5. 结论云计算服务强制性认证目录的建立有助于提高云计算服务的质量和安全性,为用户提供可信赖的云计算服务选择。

通过规范云计算服务提供商的行为,推动云计算行业的发展,促进数字化时代的进步和创新。

Apache服务的配置和验证

《组网技术》 第06课1.教学目的:使学生熟练掌握Linux环境常规与高级WEB服务和配置、验证方法。

使学生了解Linux环境LAMP及HTTPS相关知识2.教学内容:⑴Apache 常规服务器的配置⑵站点配置后的一般检测步骤和方法⑶Apache 高级服务器的配置⑷LAMP模型⑸实现HTTPS3.内容难点:配置Apache 虚拟主机Apache访问控制与安全网站4.学习要求:理解Web服务器的概念,正确建立和配置WEB 服务器。

在客户端检验WEB 服务器。

5.教学纲要㈠ Apache服务器非图形工具配置方法从上一讲中Apache服务器图形工具配置方法中可以知道,Apache服务器的核心配置文件是/etc/httpd.conf/conf/httpd.conf。

httpd.conf是Apache服务器中最核心的配置文件,大部分的设置都是通过该文件来完成的。

httpd.conf文件的内容非常多,其中包含很多的注释与说明,用来告诉读者可以提供哪些功能以及用法等。

从下图中Apache服务器图形工具配置的界面可以领略到httpd.conf文件的内容。

还有一些隐性的设置不能从中解读到。

主要的几种配置参数①Apache服务器根目录设置字段ServerRoot本字段用来设置Apache服务器的配置文件、错误文件和日志文件的存放目录。

默认情况下为:ServerRoot "/etc/httpd"可以根据需要进行修改。

②Apache服务器客户端连接数限制字段MaxClients<IfModule prefork.c>StartServers 8MinSpareServers 5MaxSpareServers 20ServerLimit 256MaxClients 256MaxRequestsPerChild 4000</IfModule>③设置主机名称字段ServerNameServerName字段定义服务器名称和端口号,用以标明自己的身份。

shiroconfig实例

shiroconfig实例ShiroConfig是一个用来配置Apache Shiro安全框架的类。

在Java应用程序中,ShiroConfig类通常用来配置安全策略,定义用户认证和授权规则,以及配置与安全相关的其他设置。

下面我将从多个角度来介绍ShiroConfig的一些常见实例用法。

1. 用户认证和授权规则配置,在ShiroConfig中,你可以配置用户的认证方式,例如基于数据库的认证、LDAP认证或者其他自定义的认证方式。

同时,你也可以配置用户的授权规则,定义哪些用户有权访问哪些资源。

例如,你可以配置某个用户需要具备哪些角色或权限才能访问某个页面或执行某个操作。

2. 安全过滤器链配置,ShiroConfig可以用来配置安全过滤器链,定义哪些URL需要经过哪些安全过滤器的处理。

你可以根据具体的需求,配置不同的安全过滤器来实现对不同URL的访问控制,例如对某些URL进行身份认证、权限检查或者其他安全控制。

3. Realm配置,在ShiroConfig中,你可以配置Realm,用于验证用户的身份和获取用户的授权信息。

通过配置Realm,你可以将Shiro集成到现有的用户存储系统中,例如数据库、LDAP或者自定义的用户存储系统。

4. Session管理配置,ShiroConfig也可以用来配置会话管理,包括会话超时时间、会话存储方式、会话验证方式等。

你可以根据具体的需求,配置不同的会话管理策略来实现对用户会话的管理和控制。

5. RememberMe功能配置,ShiroConfig还可以配置RememberMe功能,用于实现用户的持久登录功能。

你可以配置RememberMe的加密方式、cookie名称、有效时间等参数,来实现对用户持久登录的支持。

综上所述,ShiroConfig在Apache Shiro安全框架中起着至关重要的作用,通过合理的配置,可以实现对用户认证、授权、安全过滤器链、Realm、会话管理和RememberMe功能等方面的灵活控制。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Apache提供了多种的安全控制手段,包括设置Web访问控制、用户登录密码认证及.htaccess 文件等。

通过这些技术手段,可以进一步提升Apache服务器的安全级别,减少服务器受攻击或数据被窃取的风险。

16.5.1 访问控制设置访问控制是提高Apache服务器安全级别最有效的手段之一,但在介绍Apache的访问控制指令前,先要介绍一下Diretory段。

Diretory段用于设置与目录相关的参数和指令,包括访问控制和认证,其格式如下所示。

<Diretory 目录的路径>目录相关的配置参数和指令</Diretory>每个Diretory段以<Diretory>开始,以</Diretory>结束,段作用于<Diretory>中指定的目录及其里面的所有文件和子目录。

在段中可以设置与目录相关的参数和指令,包括访问控制和认证。

Apache中的访问控制指令有以下3种。

1.Allow指令Allow指令用于设置哪些客户端可以访问Apache,命令格式如下所示。

Allow from [All/全域名/部分域名/IP地址/网络地址/CIDR地址]…q All:表示所有客户端。

q 全域名:表示域名对应的客户端,如。

q 部分域名:表示域内的所有客户端,如。

q IP地址:如172.20.17.1。

q 网络地址:如172.20.17.0/255.255.255.0。

q CIDR地址:如172.20.17.0/24。

%注意:Allow指令中可以指定多个地址,不同地址间通过空格进行分隔。

2.Deny指令Deny指令用于设置拒绝哪些客户端访问Apache,格式跟Allow指令一样。

3.Order指令Order指令用于指定执行访问规则的先后顺序,有两种形式:q Order Allow,Deny:先执行允许访问规则,再执行拒绝访问规则。

q Order Deny,Allow:先执行拒绝访问规则,再执行允许访问规则。

%注意:编写Order指令时,Allow和Deny之间不能有空格存在。

现在,假设网站中有一个名为security_info的目录,因为是一个保存有机密信息的目录,所以网站管理员希望该目录只能由管理员自己的机器172.20.17.55来查看,其他用户都不能访问。

可以通过以下步骤实现。

(1)打开httpd.conf配置文件并添加以下内容:#使用Diretory段设置/usr/local/apache2/htdocs/secure_info目录的属性<Directory "/usr/local/apache2/htdocs/secure_info">Options Indexes FollowSymLinksAllowOverride None#使用Order参数设置先执行拒绝规则,再执行允许规则Order deny,allow#使用Deny参数设置拒绝所有客户端访问Deny from all#使用Allow参数设置允许172.20.17.55客户端访问Allow from 172.20.17.55</Directory>(2)保存后重启Apache服务。

在IP地址为172.20.17.55的机器上直接打开浏览器访问http://demoserver/security_info/进行测试,结果如图16.28所示。

在其他机器上访问的结果如图16.29所示。

图16.28 172.20.17.55客户端可以正常访问图16.29 其他客户端访问被拒绝可以看出,访问控制的目的已经达到。

16.5.2 用户认证Apache的用户认证包括基本(Basic)认证和摘要(Digest)认证两种。

摘要认证比基本认证更加安全,但是并非所有的浏览器都支持摘要认证,所以本节只针对基本认证进行介绍。

基本认证方式其实相当简单,当Web浏览器请求经此认证模式保护的URL时,将会出现一个对话框,要求用户输入用户名和口令。

用户输入后,传给Web服务器,Web服务器验证它的正确性。

如果正确,则返回页面;否则将返回401错误。

要使用用户认证,首先要创建保存用户名和口令的认证口令文件。

在Apache中提供了htpasswd命令用于创建和修改认证口令文件,该命令在<Apache安装目录>/bin目录下。

关于该命令完整的选项和参数说明可以通过直接运行htpasswd获取。

要在/usr/local/apache2/conf目录下创建一个名为users的认证口令文件,并在口令文件中添加一个名为sam的用户,命令如下所示。

htpasswd -c /usr/local/apache2/conf/users sam命令运行后会提示用户输入sam用户的口令并再次确认,运行结果如图16.30所示。

图16.30 创建密码文件和用户访问认证口令文件创建后,如果还要再向文件里添加一个名为ken的用户,可以执行如下命令:htpasswd /usr/local/apache2/conf/users ken与/etc/shadow文件类似,认证口令文件中的每一行为一个用户记录,每条记录包含用户名和加密后的口令,如下所示。

用户名:加密后的口令%注意:htpasswd命令没有提供删除用户的选项,如果要删除用户,直接通过文本编辑器打开认证口令文件把指定的用户删除即可。

创建完认证口令文件后,还要对配置文件进行修改,用户认证是在httpd.conf配置文件中的<Directory>段中进行设置,其主要配置参数如下:1.AuthName参数AuthName参数用于设置受保护领域的名称,其参数格式如下所示。

AuthName 领域名称领域名称没有特别限制,用户可以根据自己的喜欢进行设置。

2.AuthType参数AuthType参数用于设置认证的方式,其格式如下所示。

AuthType Basic/DigestBasic和Digest分别代表基本认证和摘要认证。

3.AuthUserFile参数AuthUserFile参数用于设置认证口令文件的位置,其格式如下所示。

AuthUserFile 文件名4.Require参数Require参数用于指定哪些用户可以对目录进行访问,其格式有下面两种。

Require user 用户名[用户名] ...Require valid-userq 用户名:认证口令文件中的用户,可以指定一个或多个用户,设置后只有指定的用户才能有权限进行访问。

q valid-user:授权给认证口令文件中的所有用户。

现在,假设网站管理员希望对security_info目录做进一步的控制,配置该目录只有经过验证的sam用户能够访问,用户口令存放在users口令认证文件中。

要实现这样的效果,需要把httpd.conf配置文件中security_info目录的配置信息替换为下面的内容:#使用Diretory段设置/usr/local/apache2/htdocs/secure_info目录的属性<Directory "/usr/local/apache2/htdocs/secure_info">Options Indexes FollowSymLinksAllowOverride None#使用AuthType参数设置认证类型AuthType Basic#使用AuthName参数设置AuthName "secure_info_auth"#使用AuthUserFile参数设置认证口令文件的位置AuthUserFile /usr/local/apache2/conf/users#使用require参数设置sam用户可以访问require user sam#使用Order参数设置先执行拒绝规则,再执行允许规则Order deny,allow#使用Deny参数设置拒绝所有客户端访问Deny from all#使用Allow参数设置允许172.20.17.55客户端访问Allow from 172.20.17.55</Directory>重启Apache服务后使用浏览器访问http://demoserver/security_info进行测试,如图16.31所示。

输入用户和口令,单击【确认】按钮,验证成功后将进入如图16.29所示的页面;否则将会要求重新输入。

如果单击【取消】按钮将会返回如图16.32所示的错误页面。

图16.31 弹出需要验证的窗口图16.32 错误页面16.5.3 分布式配置文件:.htaccess.htaccess文件又称为“分布式配置文件”,该文件可以覆盖httpd.conf文件中的配置,但是它只能设置对目录的访问控制和用户认证。

.htaccess文件可以有多个,每个.htaccess文件的作用范围仅限于该文件所存放的目录以及该目录下的所有子目录。

虽然.htaccess能实现的功能在<Directory>段中都能够实现,但是因为在.htaccess修改配置后并不需要重启Apache服务就能生效,所以在一些对停机时间要求较高的系统中可以使用。

%注意:一般情况下,Apache并不建议使用.htaccess文件,因为使用.htaccess文件会对服务器性能造成影响。

下面还是以16.5.2节中的例子为基础来演示在.htaccess文件中配置访问控制和用户认证的过程。

(1)打开httpd.conf配置文件,将security_info目录的配置信息替换为下面的内容。

#使用Diretory段设置/usr/local/apache2/htdocs/secure_info目录的属性<Directory "/usr/local/apache2/htdocs/secure_info">#允许.htaccess文件覆盖httpd.conf文件中的secure_info目录配置AllowOverride All</Directory>修改主要包括两个方面:q 删除原有的关于访问控制和用户认证的参数和指令,因为这些指令将会被写到.htaccess 文件中去。

q 添加了AllowOverride All参数,允许.htaccess文件覆盖httpd.conf文件中关于secure_info 目录的配置。

如果不做这项设置,.htaccess文件中的配置将不能生效。

(2)重启Apache服务,在/usr/local/apache2/htdocs/secure_info/目录下创建一个文件.htaccess,写入以下内容:#使用AuthType参数设置认证类型AuthType Basic#使用AuthName参数设置AuthName "secure_info_auth"#使用AuthUserFile参数设置认证口令文件的位置AuthUserFile /usr/local/apache2/conf/users#使用require参数设置sam用户可以访问require user sam#使用Order参数设置先执行拒绝规则,再执行允许规则Order deny,allow#使用Deny参数设置拒绝所有客户端访问Deny from all#使用Allow参数设置允许172.20.17.55客户端访问Allow from 172.20.17.55。