Apache服务器配置全攻略(四)
作者:穷鬼 来源:团团的园子 发布时间:2008-01-16 12:30:00
Options FollowSymLinks
AllowOverride None
Apache服务器可以针对目录进行文档的访问控制,然而访问控制可以通过两种方式来实现,一个是在设置文件 httpd.conf(或access.conf)中针对每个目录进行设置,另一个方法是在每个目录下设置访问控制文件,通常访问控制文件名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问,然而使用配置文件的方法要求每次改动后重新启动httpd守护进程,比较不灵活,因此主要用于配置服务器系统的整体安全控制策略,而使用每个目录下的.htaccess文件设置具体目录的访问控制更为灵活方便。
Directory语句就是用来定义目录的访问限制的,这里可以看出它的标准语法,为一个目录定义访问限制。上例的这个设置是针对系统的根目录进行的,设置了允许符号连接的选项FollowSymLinks ,以及使用AllowOverride None表示不允许这个目录下的访问控制文件来改变这里进行的配置,这也意味着不用查看这个目录下的相应访问控制文件。
由于Apache对一个目录的访问控制设置是能够被下一级目录继承的,因此对根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置,使得Apache服务器不需要查看根目录下的访问控制文件,也不需要查看以下各级目录下的访问控制文件,直至httpd.conf(或access.conf )中为某个目录指定了允许Alloworride,即允许查看访问控制文件。由于Apache对目录访问控制是采用的继承方式,如果从根目录就允许查看访问控制文件,那么Apache就必须一级一级的查看访问控制文件,对系统性能会造成影响。而缺省关闭了根目录的这个特性,就使得Apache从httpd.conf中具体指定的目录向下搜寻,减少了搜寻的级数,增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助,也有益于系统性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
这里定义的是系统对外发布文档的目录的访问设置,设置不同的 AllowOverride选项,以定义配置文件中的目录设置和用户目录下的安全控制文件的关系,而Options选项用于定义该目录的特性。
配置文件和每个目录下的访问控制文件都可以设置访问限制,设置文件是由管理员设置的,而每个目录下的访问控制文件是由目录的属主设置的,因此管理员可以规定目录的属主是否能覆盖系统在设置文件中的设置,这就需要使用 啊AllowOverride参数进行设置,通常可以设置的值为:
AllowOverride的设置 对每个目录访问控制文件作用的影响
All 缺省值,使访问控制文件可以覆盖系统配置
None 服务器忽略访问控制文件的设置
Options 允许访问控制文件中可以使用Options参数定义目录的选项
FileInfo 允许访问控制文件中可以使用AddType等参数设置
AuthConfig 允许访问控制文件使用AuthName,AuthType等针对每个用户的认证机制,这使目录属主能用口令和用户名来保护目录 Limit 允许对访问目录的客户机的IP地址和名字进行限制每个目录具备一定属性,可以使用Options来控制这个目录下的一些访问特性设置,以下为常用的特性选项:
Options设置 服务器特性设置
All 所有的目录特性都有效,这是缺省状态
None 所有的目录特性都无效
FollowSymLinks 允许使用符号连接,这将使浏览器有可能访问文档根目录 (DocumentRoot)之外的文档 SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时,才允许访问,这个设置将增加一些安全性
ExecCGI 允许这个目录下可以执行CGI程序 Indexes 允许浏览器可以生成这个目录下所有文件的索引,使得在这个目录下没有index.html(或其他索引文件)时,能向浏览器发送这个目录下的文件列表
此外,上例中还使用了Order、Allow、Deny等参数,这是Limit语句中用来根据浏览器的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序,而Allow、Deny则针对名字或IP进行访问控制设置,上例使用allowfrom all,表示允许所有的客户机访问这个目录,而不进行任何限制。
UserDir public_html
当在一台Linux上运行Apache服务器时,这台计算机上的所有用户都可以有自己的网页路径,形如 http://example.org.cn/~user,使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录,其名字就用UseDir这个参数进行定义,缺省为public_html。如果不想为正式的用户提供网页服务,使用DISABLED作UserDir的参数即可。
#
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
#
# Order allow,deny
# Allow from all
#
#
# Order deny,allow
# Deny from all
#
#
这里可以看到Directory的另一个用法,即可以通过简单的模式匹配方法,针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理,因此就会降低服务器的性能,所以缺省情况并没有打开这种访问限制。
0
投稿猜你喜欢
- 软件环境:redhat6.2 Qmail1.3硬件环境:HP Netserver E60 128M内存 单网卡1.什么是mail relay
- 站长网是个很普通的网站,为什么他会有人气?不是因为网站成功,Admin5团队成功的是人。一.为人低调图王从来没有摆过架子,尽管他很忙,但是我
- 写下这篇文章之前,我想先说说我自己,我,玉龙,建站经验8年,在K666时代开始泡,chinaz泡过,落伍泡过,cnzz泡过,XXSKY的时候
- 在PR劫持的几个方法(序)中介绍了PR劫持的几个方法,今天就来详细的介绍一下PR劫持之域名绑定法。顾名思义,PR劫持之域名绑定法就是通过域名
- 网络管理阶层的工作就是保证网络的正常工作,从而使得职工们的工作不被打断。可问题在于事物并非总是按照理想状况发展,事实上经常会出现平地起风波的
- 目前,国内外的SEO都在研究Google排名的因素,据说有三百多种。不过能够把握的无非都是最基本的那几种。只要你能够针对你的网站把以下几方面
喜欢看电影吗?有收藏电影的习惯吗?网上看电影,资源太多,纵使再大的硬盘都会很快装满,你是否在为无法保存自己喜爱的影片而发愁呢?我想大部分着迷- 最近,有很多客户加我,叫我帮他们做个简单的HTM页面,但却都是免费的。而我说明,我们改程序都是收费的,他们却很不乐意,觉得我是利欲熏心,做什
- 随着互联网的发展,网上信息发布逐渐成为网友热衷的热点。做为网上信息发布的载体:信息网站,也如雨后春笋一般发展起来。在网上发信息似乎成了一种流
- ProFTPD是一个Unix平台上或是类Unix平台上(如Linux,FreeBSD等)的FTP服务器程序,它是在自由软件基金会的版权声明(
- 作为一个网站运营者,一定要对自己的网站有个非常明确的定位,要知道自己的目标群体是谁,它有什么样的喜好和浏览习惯。只有这样才能做出最准确的营销
- 10月21日早间消息(常山)美国芯片公司Marvell推出ARMADA系列应用处理器。该系列产品专为新一代ARM指令集智能手机、智能本、消费
- 投放 AdSense 广告以后,通过对网站和广告的优化,可以有效提高您的广告收入,同时提升网站的用户体验。首先,广告收入最根本的是展示量,所
- 前天吧,晚上和朋友吃了饭聊网络,发现“www.SEOtest.cn”在Google中的排名掉了。搜索
- 组装服务器并托管服务器纪实自己买了虚拟主机及VPS,用着感觉还可以,但是性能和稳定性还是有很大的瓶颈。忍不住了,今日自己跑到中关村组装了一台
- 邮件系统的选型与架构专题(上篇) 邮件系统服务器的安装和配置有关Qmail邮件系统的安装介绍很多,这里不再赘述。下面主要说明搭建Qmail邮
- 很多网络管理员都使用过windows系统的远程桌面,通过他可以远程控制一台服务器,就好象在本机操作一样。不过很多时候使用远程桌面时却在操作上
- 在传统SEO时代,关键词的选择意味着在搜索引擎中的排名先后,同时也在一定程度上反映了一个网站的品牌形象——如果一个知名公司的网站在搜索引擎中
- 网上看奥运,推荐几个网站,发现好的,我再补充。1、央视网-奥运专题 2008.cctv.com我一直挺喜欢央视网的网页设计,相比其它门户网站
- 相信大多数站长都曾经遭遇过iframe木马的侵害,有朋友的网站被注入了N回iframe,心情可想而知。而且现在ARP攻击,注入iframe也
