1 站点访问控制
可基于两种机制指明对哪些资源进行何种访问控制;
- 文件系统路径
- URL路径
注意:
从上到下匹配,匹配到一个就立即执行
如果没有子目录的访问控制,但是有父目录的访问控制,则子目录继承父目录的访问控制
1.1 IP访问规则设置
HTTPD-2.2
Order allow,deny ##Order是固定关键字,后面的allow和deny是参数,哪个在后面,就表示默认策略是什么;所以说要根据默认策略配置下面的条目;这条配置永远放在IP访问规则部分的第一条;
Deny from host www.jzbg.com ##拒绝这个域名对应的主机访问;
Deny from 10.207.51.0/28 ##拒绝这个网段的IP访问
Deny from 10.207.51.8 ##决绝某个主机访问
Allow from web.jzbg.com
Allow from 10.207.51.0/25
Allow from 10.207.51.128
Allow from all ##允许所有人访问;
Deny from all ##拒绝所有人访问;
HTTPD-2.4
<Requireall> ##当同时存在not和非not语句是,要将所有rule写在<RequireAll>或者<RequireAny>标签容器中;
Require host web.jzbg.com
Require not host web.jzbg.com
Require not host www.jzbg.com ##not表示拒绝的意思
Require ip 10.207.51.0/25
Require ip 10.207.51.128 10.207.51.130
Require ip 10 172.20 192.168.2
Require not ip 10.207.51.0/28
Require not ip 10.207.51.8
Require all granted ##允许所有人访问;
或
Require all denied ##拒绝所有人访问;2.4版本没有Order了,因为默认就是Deny;
<Requireall>
1.2 文件系统路径
根据需要将上面的IP访问规则放到里面
对指定目录下的内容做访问控制
<Directory "/PATH">
...
</Directory>
对指定目录下的目录做访问控制,在双引号前面加上~,则可以使用正则表达式
<Directory ~"^/www/[0-9]{3}">
...
</Directory>
对PATTERN可以匹配到的目录进行范文控制,支持正则表达式
<DirectoryMatch "^/www/(.+/)?[0-9]{3}/">
...
</DirectoryMatch>
对PATTERN可以匹配到的文件进行访问控制,PATTERN支持通配符
<Files "PATTERN">
...
</Files>
对PATTERN可以匹配到的文件进行访问控制,在双引号前面加上~,则可以使用正则表达式
<Files ~"^/www/[0-9]{3}">
...
</Files>
对PATTERN可以匹配到的文件进行访问控制,支持正则表达式
<FilesMatch ".+\.(gif|jpe?g|png)$ ">
...
</FileMatch>
1.3 基于URL路径做访问控制
根据需要将上面的IP访问规则放到里面
对指定的URL进行访问控制
<Location "URL-path|URL">
...
</Location>
对指定的URL进行访问控制
<Location "^/www/[0-9]{3}">
...
</Location>
对PATTERN可以匹配到的URL进行范文控制,PATTERN支持通配符和正则表达式
<LocationMatch "PATTERN">
...
</LocationMatch>
2 基于用户的访问控制
2.1 认证过程简述
服务器收到client发来的request之后,服务器会发送认证质询(WWW-Authenticate,响应码为401,拒绝客户端请求)给client,client会看到一个提示框,要求输入账号和密码,当client输入了账号和密码之后,client发送请求报文Authorization给server,server收到之后验证是否正确,如果正确则通过验证,发送响应资源;
2.2 一次失败的认证过程
客户端发送了请求报文
因为网页需要认证,服务器端会相应一个认证质询WWW-Authenticate,响应码为401,拒绝客户端请求;
客户端收到后会先回复一个ACK进行确认
此时网页上出现一个弹框,等待用户输入完用户密码之后客户端发送请求报文Authorization给服务器端;
信息完全是明文的(因为AuthType Basic),如果使用digest则为密文
因为认证失败,所以网页界面变成了
因为客户端输入的用户和密码不正确,所以服务器端又发送了认证质询报文;
3.3 基于用户进行认证
定义安全域
<Directory "/var/www/html">
Options Indexes
AllowOverride None
AuthType Basic ##使用什么认证方式(None|Basic|Digest|Form)
AuthName "Admin Area, Please enter username and passwd" ##显示给客户端的提示;
AuthUserFile "/var/www/passwd" ##存储用户认证用户信息的文件(账号密码);
选择一个配置
Require user Allen ##允许哪个用户访问;
Require valid-user ##允许账号文件中的所有用户登录
</Directory>
创建账号文件
[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd
[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd
[root@centos7 ~]# cat /var/www/passwd
Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1
Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/
这种basic的方式十分不安全,通过抓包能看到用户输入的账户名和密码
3.4 基于组账号进行认证
定义安全域
<Directory "/var/www/html">
Options Indexes
AllowOverride None
AuthType Basic ##使用什么认证方式(None|Basic|Digest|Form)
AuthName "Admin Area, Please enter username and passwd" ##显示给客户端的提示;
AuthUserFile "/var/www/passwd" ##存储用户认证用户信息的文件(账号密码);
AuthGroupFile "/var/www/group" ##指定组信息文件
Require group Super ##允许哪个组的用户访问
创建账号文件
[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd
[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd
[root@centos7 ~]# cat /var/www/passwd
Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1
Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/
创建组信息文件
[root@centos7 ~]# vim /var/www/group
Super:Allen Barry ##每行定义一个组,GROUP_NAME:username1 username2 .....
3 持久连接
配置命令
KeepAlive On|Off ##开启或关闭KeepAlive
KeepAliveTimeout 15 ##设置KeepAlive的最大持续连接时间为15s,httpd-2.2只能是秒,httpd-2.4可以是毫秒(后面加ms表示毫秒,不加表示秒);
MaxKeepAliveRequests 100 ##设置每个长连接在建立过程中,最大处理100个请求;
这表示配置了长连接
通过telnet也可以测试
4 HTTP虚拟主机
实现方法
有三种表示方法,也就有三种实现方法
- 基于IP:为每个虚拟主机准备至少一个IP地址;
- 基于PORT:为每个虚拟主机使用至少一个独立PORT;
- 基于FQDN:为每个虚拟主机使用至少一个FQDN;
注意:httpd-2.2中,一般虚拟主机不能与中心主机混用;因此,要使用虚拟主机,得先禁用“main”主机(禁用方法:注释中心主机得DocumentRoot指令即可);
基于IP的虚拟主机示例
基于端口的虚拟主机示例
基于FQDN的虚拟主机示例
注意:httpd-2.2,配置基于FQDN的虚拟主机必须事先使用如下指令
NameVirtualHost IPADDRESS:PORT ##在VirtualHost前面加一条命令,每个VirtualHost都需要;
<VirtualHost IPADDRESS:PORT>
.....
</VirtualHost>