Linux Apache服务器系统的设置与优化(6)
来源:asp之家 发布时间:2010-05-07 18:07:00
由于Apache对一个目录的访问控制设置是能够被下一级目录继承的,因此对根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置,使得Apache服务器不需要查看根目录下的访问控制文件,也不需要查看以下各级目录下的访问控制文件,直至httpd.conf(或 access.conf )中为某个目录指定了允许Alloworride,即允许查看访问控制文件。由于Apache对目录访问控制是采用的继承方式,如果从根目录就允许查看访问控制文件,那么Apache就必须一级一级的查看访问控制文件,对系统性能会造成影响。而缺省关闭了根目录的这个特性,就使得Apache从 httpd.conf中具体指定的目录向下搜寻,减少了搜寻的级数,增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助,也有益于系统性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
这里定义的是系统对外发布文档的目录的访问设置,设置不同的 AllowOverride选项,以定义配置文件中的目录设置和用户目录下的安全控制文件的关系,而Options选项用于定义该目录的特性。
配置文件和每个目录下的访问控制文件都可以设置访问限制,设置文件是由管理员设置的,而每个目录下的访问控制文件是由目录的属主设置的,因此管理员可以规定目录的属主是否能覆盖系统在设置文件中的设置,这就需要使用啊AllowOverride参数进行设置,通常可以设置的值为: AllowOverride的设置 对每个目录访问控制文件作用的影响All 缺省值,使访问控制文件可以覆盖系统配置
None 服务器忽略访问控制文件的设置
Options 允许访问控制文件中可以使用Options参数定义目录的选项
FileInfo 允许访问控制文件中可以使用AddType等参数设置
AuthConfig 允许访问控制文件使用AuthName,AuthType等针对每个用户的认证机制,这使目录属主能用口令和用户名来保护目录 Limit 允许对访问目录的客户机的IP地址和名字进行限制
每个目录具备一定属性,可以使用Options来控制这个目录下的一些访问特性设置,以下为常用的特性选项:
Options设置 服务器特性设置
All 所有的目录特性都有效,这是缺省状态
None 所有的目录特性都无效
FollowSymLinks 允许使用符号连接,这将使浏览器有可能访问文档根目录 (DocumentRoot)之外的文档 SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时,才允许访问,这个设置将增加一些安全性
ExecCGI 允许这个目录下可以执行CGI程序 Indexes 允许浏览器可以生成这个目录下所有文件的索引,使得在这个目录下没有index.html(或其他索引文件)时,能向浏览器发送这个目录下的文件列表。
此外,上例中还使用了Order、Allow、Deny等参数,这是Limit语句中用来根据浏览器的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序,而Allow、Deny则针对名字或IP进行访问控制设置,上例使用 allowfrom all,表示允许所有的客户机访问这个目录,而不进行任何限制。
UserDir public_html
当在一台Linux上运行Apache服务器时,这台计算机上的所有用户都可以有自己的网页路径,形如 http://example.org.cn/~user,使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录,其名字就用UseDir这个参数进行定义,缺省为public_html。如果不想为正式的用户提供网页服务,使用DISABLED作 UserDir的参数即可。
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
# Order allow,deny
# Allow from all
# Order deny,allow
# Deny from all
这里可以看到Directory的另一个用法,即可以通过简单的模式匹配方法,针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理,因此就会降低服务器的性能,所以缺省情况并没有打开这种访问限制。
这里可以看到另外一个语句Limit,Limit语句就是用来针对具体的请求方法来设定访问控制的,其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数,来设定对不同请求方法的访问限制。一般可以打开对GET、POST、 HEAD三种请求方法,而屏蔽其他的请求方法,以增加安全性。Limit语句中,可以用Order 、Allow、Deny,Allow和Deny中可以使用匹配的方法针对域名和IP进行限制,只是对于域名是从后向前匹配,对于IP地址则从前向后匹配。
0
投稿猜你喜欢
对于不会给电脑装系统的人,想学习Linux可在虚拟机上安装Linux操作系统进行学习,或者去找网页版的。本文主要介绍如何在VMware Wo- Cookie会话跟踪除了上面提到的安全缺陷外,还存在如下缺点:(1)并不是每个浏览器都支持cookie,有些用户为了防止泄露隐私以及从安全性
- windows 2000的DNS服务器中有两种类型的搜索区域:“正向搜索区域”和&ldquo
- 一、Wordpress Mu是Wordpress的多用户版,虽然在内核上是一样的,但是也有一些插件、模板并不能通用,一部分可以通过简单的修改
- 如果你正在考虑如何通过搜索引擎获得较高的流量,那么关键词一定是对你的工作非常有益的投资。无论你是想要自己做关键词的确定工作,还是雇一个专业人
- 即日起,Robin主持点石你问我答,如果你有关SEO方面的问题需要咨询,不妨让我知道。你问我答每周举行一次,Robin会挑选3个具有典型性的
- 通过网上免费发布信息的方式,除了可以发布二手,易物之类的生活信息之外,还可以通过免费信息平台进行产品宣传推广,也会收到意想不到的好效果。以来
- 1 Vinton Cerf :号称互联网之父,TCIP/IP协议和互联网架构的合作设计者.他05年10月3日开始正式为Google工作,职位
- # DedeCMS v5.3 归档插件+列表生成控制# jim.ma QQ:164186 jim.mail ~@~ 163.com程序中部分
- 用户是否听说过虚拟专用网VPN的优越特性?是否准备好在远程访问设备上看看它的优越性了吗?那么,用户应该很高兴的是,Windows 2000提
- 11月24日消息,中国互联网络信息中心(CNNIC)日前发布了《2009年中国网络游戏市场研究报告》,调查显示,2009年中国大型网络游戏用
- 难怪最近老中病毒,而且每次中毒时都自动打开了RealPlayer播放器,我就很奇怪,当时每注意,直到又一次中毒。原来是RealPlayer的
- 无论是使用手工试探还是使用安全测试工具,恶意攻击者总是使用各种诡计从你的防火墙内部和外部攻破你的SQL服务器系统。既然黑客在做这样的事情。你
- 以前我们学校的服务器经常中毒,而且基本上是一个网站中毒而牵连到其他的网站。这无非是服务器的权限配置没做好,让黑客们利用一个大权限用户把整台服
- 帝国的叫大气,系统安全稳定,二次开发能力强,但好像不是太适合那种喜欢“大而全”的新手站长使用!PHPCMS,这个吗,现在炒作的也是很热的,有
- 作SEO的朋友估计有非常大的一部分是专门针对百度的,因为有实实在在的流量。相信大家都感觉到了,这个十月的里的百度,就像时下的天气一样开始变化
- Docker 是一个强大的工具,允许开发人员将他们的应用程序打包在容器中可以在任何平台上轻松部署和运行。在对 Spring Boot 应用程
- 关于在centos7中设置Nginx开机自启动,我们可以通过编写开机自启动shell脚本来解决。测试环境 操作系统:centos7 64位
- 添加一条新记录是通过RecordSet对象的Addnew方法实现的,还是通过执行SQL语句中的insert语句也可以添加新记录,为何不选用后
- 配置telnet服务:(1) 用vi命令编辑/etc/hosts.deny文件,放开telnet登录权限控制# vi /etc/hosts.
