Anterior a fost considerat HTTP-acces de pe partea de client, acum uita-te la ea de cealaltă parte - pe partea de server.
În cazul în care, cu toate acestea, încă mai trebuie să specificați numele de gazdă, apoi ia în considerare următorul exemplu:
Se lasă la example.com
Acest lucru nu este ceea ce ai nevoie: această regulă se va potrivi cu numele example.com, lan.example.com, sales.example.com, myexample.com și chiar cracker.evilexapmle.com - adică, cu toate numele care conțin șirul «example.com». Pentru a oferi acces la numai domeniul (și subdomeniile sale) example.com, utilizați următorul bloc:
Se lasă la .example.com
Accesul după nume de utilizator și o parolă.
Anterior au fost considerare două moduri de a autentifica utilizatorul - Autentificare de bază, și Digest autentificare. Prima metodă este cel mai utilizat datorită simplității sale, dar și nesigure, deoarece parolele sunt codificate utilizând un algoritm Base-64, care este ușor de decodificat de un hacker. A doua metodă are ca bază MD5 algoritm, făcându-l mult mai sigur, dar este mai complicat de configurat.
În ciuda defectelor de autentificare de bază, acesta rămâne cel mai popular mijloc de protecție cu parolă de Web-servere. Probabil, aceasta este cea mai veche, metoda bine documentate și administratorilor să-l pur și simplu folosit. Da, acesta oferă posibilitatea de a restricționa accesul utilizatorilor la documente de server specifice. Utilizatorii, dar nu cracare.
La un moment în care browserele moderne (începând cu IE v5.0 și Netscape v7.0) sprijină pe deplin Digest-autentificare, ceea ce înseamnă în utilizarea de autentificare de bază nu este.
Sintaxa acestor două forme de autentificare este semnificativ diferită de Deny directivele și Allow, discutate în exemplul anterior. În acest caz, patru directive:
- AuthName <строка> - numele zonei pe care doriți să protejeze. Acest nume va fi afișat în fereastra care cere utilizatorului pentru numele de utilizator și parola. Este numele domeniului utilizat pentru identificarea diferitelor zone (în cazul în care mai mult de unul).
- AuthType
- AuthUserFile <файл> - fișier care conține numele de utilizator și parolele sunt adecvate pentru a le. De multe ori folosit numele .htpasswd.
- necesita
AuthName „Orare angajaților“
fișier .htpasswd este recomandat să fie stocate în afara serverului director DocumentulRădăcină, de exemplu, în directorul /etc/httpd/.htpasswd. Desigur, versiunea modernă a Apache pentru a bloca accesul la fișiere .htpasswd, dar este mai bine să nu-l risc. Versiunile moderne ale Apache includ directive care restricționează accesul la fișierele care încep cu .ht:
Opțiuni și acces utilizator.
Fiecare director în cadrul DocumentulRădăcină pentru a atribui opțiuni specifice pentru a controla indexarea, executarea CGI, etc. De obicei, acestea opțiunea „prevăzută“ în fișierul de configurare principal, dar dacă el este imens și este incomod să se pronunțe, a permis utilizarea .htaccess. Acest fișier este plasat direct în directorul, pe care trebuie să modificați opțiunile. De preferință, desigur, să păstreze opțiunea în fișierul de configurare principal - aceasta va fi mai sigur.
director Opțiuni plasate într-o directivă
Acest exemplu este preluat dintr-un fișier de configurare Apache în mod implicit. Deoarece opțiunile sunt moștenite de către toate sub-directoare, atunci aceste opțiuni vor fi atribuite fiecărui copac director DocumentulRădăcină. Omită opțiunile necesare de directorul de directivă - separat pentru fiecare director.
Din punct de vedere de securitate cele mai interesante opțiuni sunt:
Metoda de aplicare a directivelor par deosebit de neînțeles. După cum sa menționat, toate acestea sunt moștenite, deoarece indexuri comuta la / var / www / htdocs mijloace și includerea acestei directive și / var / www / htdocs / imagini (cu excepția cazului, desigur, opțiuni pentru directorul de imagini nu-l suprascrie).
Dacă specificați doar o singură opțiune în directivă Opțiuni, ceea ce înseamnă că toate celelalte opțiuni sunt dezactivate, de exemplu:
Această directivă include opțiunea FollowSymLinks și dezactiva toate celelalte - Indexes, ExecCgi, etc. Dacă se poate dezactiva doar o opțiune (de exemplu, include), dar lăsat în pace toate celelalte, opțiunea trebuie să fie specificate înainte de semnul. „-“.
În mod similar, pentru a include o serie de opțiuni distincte pot fi specificate în fața ei semnul „+“. De exemplu:
Directiva AllowOverride vă permite să specificați ce opțiuni ar trebui redefinit în utilizarea .htaccess, și ce - nr. Dar acest lucru poate permite unui utilizator pentru a trece peste foarte importante din punctul de vedere al opțiunilor de siguranță, astfel încât cel mai bine este să-l opriți:
Este necesar să se stabilească o listă de opțiuni care pot fi redefinite:
AllowOverride indexuri ExecCGI Include
Se recomandă pentru a împiedica utilizatorii directivelor imperative: