Apache 容器 Directory Location Files 及htaccess文件

配置段容器的類型
相關模塊 core mod_proxy
相關指令 <Directory> <DirectoryMatch> <Files> <FilesMatch> <IfDefine> <IfModule> <Location> <LocationMatch> <Proxy> <ProxyMatch> <VirtualHost>
 

 

 

主要講解 <Directory>   <Files>   <Location>   

1. 文件系統容器  <Directory>
<Directory>和<Files>是針對文件系統的指令。<Directory>段中的指令做用於指定的文件系統目錄及其全部子目錄，.htaccess 文件能夠達到一樣的效果。下例中，/var/web/dir1及其全部子目錄被容許目錄列表。

<Directory /var/web/dir1>
Options +Indexes       容許目錄列表(加號容許、減號禁止)
</Directory> 

<Directory /var/web/dir1>
Options FollowSysLinks       容許符號連接（在當前目錄下文件 test.html 連接至其它目錄文件test.html）
</Directory>                             （正常狀況沒法訪問）

2. <Files>
   做用域        server config, virtual host, directory, .htaccess

   覆蓋項        All
   狀態        核心(C)
   模塊        core
      <Files>段中的指令做用於特定的文件名，而不管這個文件實際存在於哪一個目錄。
<Files>段將根據它們在配置文件中出現的順序被處理，在<Directory>段和.htaccess文件被處理以後，但在<Location>段以前。請注意：<Files>能嵌入到<Directory>段中以限制它們做用的文件系統範圍

    下例中的配置指令若是出如今配置文件的主服務器段，則會拒絕對位於任何目錄下的private.html的訪問。
<Files private.html>
Order allow,deny
Deny from all
</Files> 
       下例中的配置指令 會拒絕對任何目錄下 以 .ht 類型結尾的文件。

<Files ".ht*">

    Require all denied

</Files>

<Files "cat.html">
# Insert stuff that applies to cat.html here 任何配置會對cat.html 形成影響
</Files>

<Files " ?at.*"> 
 # 這裏的配置會應用於    cat.html, bat.html, hat.php   等文件
</Files>
        請注意與<Directory>和<Location>配置段不一樣的是：<Files>配置段可用於.htaccess文件當中。這將容許用戶在文件層面上控制對它們本身文件的訪問。 

3. < Files>和<Directory>段的組合能夠做用於文件系統中的特定文件。
    <Files>能夠嵌套在<Directory>中，只限制此目錄中的特定文件
下例中的配置會拒絕對
/var/web/dir1/private.html, 
/var/web/dir1/subdir2/private.html, 
/var/web/dir1/subdir3/private.html
等任何/var/web/dir1/目錄下的private.html的訪問。

<Directory /var/web/dir1>
<Files private.html>
Order allow,deny
Deny from all
</Files>
</Directory> 



4.  <Location>  網絡空間容器

說明        將封裝的指令做用於匹配的URL
語法        <Location URL-path|URL> ... </Location>
做用域        server config, virtual host
狀態        核心(C)
模塊         core
 
<Location>是針對網絡空間的指令。下例中的配置會拒絕任何對以/private開頭的URL的訪問，如 
http://yoursite.example.com/private, 
http://yoursite.example.com/private123, 
http://yoursite.example.com/private/dir/file.html
等全部以/private開頭的URL。

<Location /private>
Order Allow,Deny
Deny from all
</Location> 

<Location>指令無須文件系統的支持，下例演示瞭如何映射特定的URL到由mod_status提供的Apache內部處理器，而並不要求文件系統中確實存在server-status。

<Location /server-status>
SetHandler server-status
</Location> 



5. 通配符和正則表達式
<Directory>,<Files>, 和<Location>指令可使用相似C標準庫中的fnmatch的外殼通配符。符號"*"匹配任何字符串，"?"匹配任何單個的字符，"[seq]" 匹配seq序列中的任何字符，符號"/"不匹配爲任何通配符所匹配，因此不能顯式使用。

這些指令都有一個正則的配對指令，<DirectoryMatch>, <FilesMatch>和<LocationMatch>，可使用與perl一致的正則表達式，以提供更復雜的匹配。可是還須注意下文配置的合併中有關使用正則表達式會如何做用於配置指令的內容。

下例使用非正則表達式的通配符來改變全部用戶目錄的配置：

<Directory /home/*/public_html>
Options Indexes
</Directory> 

下例使用正則表達式一次性拒絕對多種圖形文件的訪問：

<FilesMatch .(?i:gif|jpe?g|png)$>
Order allow,deny
Deny from all
</FilesMatch> 


6. 什麼狀況下用什麼
    選擇使用文件系統容器仍是使用網絡空間容器其實很簡單。當指令應該做用於文件系統時，老是用<Directory>或者<Files>；
而當指令做用於不存在於文件系統的對象時，就用<Location>。 好比一個由數據庫生成的網頁。

    不要試圖用<Location>去限制對文件系統中對象的訪問，由於許多不一樣的網絡空間路徑可能會映射到同一個文件系統目錄，致使你的訪問限制被突破。好比：

<Location /dir/>
Order allow,deny
Deny from all
</Location> 

   上述配置對http://yoursite.example.com/dir/請求的確起做用。可是設想在一個不區分大小寫的文件系統中，這個訪問限制會被http://yoursite.example.com/DIR/請求輕易突破。而<Directory>指令纔會真正做用於對這個位置的任何形式的請求。(可是有一個例外，就是Unix文件系統中的鏈接，符號鏈接可使同一個目錄出如今文件系統中的多個位置。<Directory>指令能不通過重置路徑名而跟隨符號鏈接，所以，對於安全要求最高的，應該用Options指令禁止對符號鏈接的跟隨。)

    不要認爲使用大小寫敏感的文件系統就無所謂了，由於有不少方法會將不一樣的網絡空間路徑映射爲同一個文件系統路徑，因此，能使用文件系統容器時就應該使用。可是，也有一個例外，就是，把訪問限制放在<Location/>段中能夠很安全地做用於除了某些特定的之外全部的URL。

7.htaccess文件

     若是一臺主機分爲十個空間賣給多個用戶，各用戶怎樣控制本身目錄和文件的訪問權限呢？
這裏就可使用每一個目錄下的.htaccess文件來實現。

開啓目錄的.htaccess功能：
<Directory /var/web/>
AllowOverride All/none  (開啓/關閉)
</Directory>

必定注意不能讓網友直接訪問.htaccess 文件，這個要在主配置文件中作出限制：
例如：

#

# The following lines prevent .htaccess and .htpasswd files from being 

# viewed by Web clients. 

#

<Files ".ht*">

    Require all denied

</Files>

或者
<FilesMatch "^\.ht*">
 Order allow,deny
  Deny from All
<FilesMatch>

這個.htaccess文件中能夠寫正常配置中的各類語句
好比 列出目錄列表、能夠訪問符號連接、控制訪問權限

 

 

 

1、.htaccess簡介

1.什麼是.htaccess

.htaccess是一個純文本文件，裏面存放着Apache服務器配置相關的一些指令，它相似於Apache的站點配置文件，如httpd.conf（Apache2已經支持多站點，所以你的站點配置文件可能在/etc/apache2/conf.d/目錄下）。
.htaccess與httpd.conf配置文件不一樣的是，它只做用於當前目錄。另外httpd.conf是在Apache服務啓動的時候就加載的，而.htaccess只有在用戶訪問目錄時加載，開銷大、速度慢。
既然如此，爲何咱們還要用.htaccess呢？由於它配置起來簡單，它還支持重定向、URL重寫以及訪問驗證，另外它管理起來很方便，能夠很好適應網站遷移。總之，各有優缺點，主要就看你是要從全局考慮仍是隻配置單個目錄。

2.AllowOverride All

一般狀況下，Apache是默認啓用.htaccess的，可是爲了以防萬一，請檢查一下本身站點的配置文件，如httpd.conf，是否有這行：

AllowOverride All

這行容許重寫配置文件。也就是若是可以從.htaccess加載配置文件，那麼就以.htaccess爲配置文件對其所在目錄進行配置。

3.500錯誤

若是你租用了雲服務提供商的主機或者空間，那麼他們可能不會給你讀寫httpd.conf文件的權限，你也不可能檢查AllowOverride命令參數是否爲All，這時，你能夠新建一個目錄，在裏面寫一個.htaccess文件，文件中隨意寫入一些服務器看不懂的東西，而後訪問該目錄裏的一個頁面，耐心等待500錯誤的出現。
若是沒有出現，那麼.htaccess沒有被啓用，你須要向你的服務供應商尋求幫助；若是出現了，那麼恭喜你，你能夠對當前目錄重寫Apache配置。
/!\注意：.htaccess語法錯誤可能會影響整個站點，若是你不肯定這樣作是否安全，請聯繫你的雲服務供應商。

4.有用的文檔

• .htaccess正則表達式
• HTTP協議重定向編碼

2、.htaccess訪問控制(Allow/Deny)

1.訪問控制基礎：Order命令

爲了限制用戶訪問一些關鍵目錄，.htaccess能夠提供目錄訪問限制。你只須要在要限制的目錄中，加入以下.htaccess文件：

# no one gets in here!
deny from all

這會限制全部用戶經過瀏覽器訪問該目錄，這太一刀切了，所以咱們還能夠增長一些特定的條件，如容許指定IP地址的訪問：

Order Allow,Deny
Deny from All
Allow from 192.168.0.0/24

Order命令

Order命令是一個難點，也是配置apache的基礎，它決定了Apache處理訪問規則的順序。

• 經過Allow,Deny參數，Apache首先找到並應用Allow命令，而後應用Deny命令，以阻止全部訪問。
• 經過Deny,Allow參數，Apache首先找到並應用Deny命令，而後應用Allow命令，以容許全部訪問。

瞭解Order的用法後，再仔細考慮下上面的例子，你或許可以發現Deny命令是多餘的，如下用法和以前的描述語義相同：

Order Allow,Deny
Allow from 192.168.0/24

2.利用.htaccess過濾域名或網絡主機(Allow/Deny)

下例能夠限制全部含有「domain.com」的網絡主機訪問網站：

Order Allow,Deny
Allow from all
Deny from .*domain\.com.*

{!}Info：有關htaccess的正則表達式用法，請查閱本站《.htaccess正則表達式》一文。

3.利用.htaccess禁止訪問指定文件(Files)

Files命令能夠用於過濾指定文件：

# secure htaccess file
<Files .htaccess>
 order allow,deny
 deny from all
</Files>

4.利用.htaccess禁止訪問指定文件類型(FilesMatch)

下面的代碼將限制訪問全部.log和.exe文件：

<FilesMatch ".(log|exe)$">
 Order allow,deny
 Deny from all
</FilesMatch>

咱們還能夠經過Files命令描述文件類型，可是須要在命令後面加一個波浪線(~)，該符號啓用Files命令的正則表達解析功能：

<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

有如下幾點須要讀者注意：

• Files以後的波浪線用於開啓「正則表達式」分析。請注意，這是個過期的用法，Apache更推薦使用<FilesMatch>指令^[3]
• 正則表達式必須在雙引號之間，有關htaccess的正則表達式用法，請查閱本站《.htaccess正則表達式》一文。
• 雙引號中的「管道符」(|)用於將兩種文件類型（.log和.exe）分開，至關於邏輯「或」
• Order命令必須嵌在Files節(Section)中，不然將會應用到全部文件
• Satisfy All表示必須同時知足主機級別(Allow/Denay)和用戶級別(Require)的限制，All是默認值，該行能夠省略。

5.高級訪問控制(Rewrite)

咱們還能夠經過運用Rewrite實現更強大的訪問控制，可是Rewrite不是本文討論的內容。讀者能夠參看：利用RewriteCond和RewriteRule進行訪問控制一文。

3、利用.htaccess進行密碼保護與驗證

1.配置.htaccess

AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/var/www/html/.htpasses
require valid-user

這個配置文件能夠保護.htaccess所在的整個目錄，簡單說明下參數：

• AuthType：驗證類型爲基本類型，密碼以明文方式傳輸到服務器上
• AuthName：驗證提示，會出如今驗證對話框中
• AuthUserFile：驗證配置文件，用於匹配用戶名與密碼，該密碼是加密保存的
• require valid-user：只有在AuthUserFile中出現的用戶才能夠經過驗證

若是驗證失敗，則會出現401錯誤。

2.生成.htpasses文件

如何生成.htpasses文件呢？咱們經過htpasswd命令生成密碼文件：

htpasswd -c /usr/local/var/www/html/.htpasses lesca

它會提示你輸入密碼，並確認。以後將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下。

3.對文件進行密碼保護

保護與.htaccess在同一目錄下的文件secure.php：

# password-protect single file
<Files secure.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>

保護.htaccess所在目錄下的多個文件：

# password-protect multiple files
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>

4.對指定IP進行密碼保護

僅容許IP地址爲99.88.77.66的主機直接訪問該目錄，其餘IP須要驗證。

AuthType Basic
AuthName "Personal"
AuthUserFile /home/path/.htpasswd
Require valid-user
Allow from 99.88.77.66
Satisfy Any

5.安全性

出於安全考慮，將.htpasses文件存放在WEB目錄樹以外也許是個好方法，可是因爲.htpasses是隱藏文件，並且Apache不會輸出隱藏文件，所以能夠知足基本的安全要求。這是經過在主配置文件中加入以下限制實現的：

<Files ~ "^\.ht">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

通常而言，這是默認設置，用戶無需手動添加。咱們惟一須要擔憂的是密碼在網絡傳輸過程當中是明文形式，這很容易被黑客破譯。Coz^[1]提供了一個開源項目Pajamas能夠在本地利用JS對密碼進行MD5加密，有興趣的讀者能夠前去研究一下。

4、目錄瀏覽與主頁

若是你打開本站的下載頁面http://download.lesca.me/，就會發現你能夠看見這個站點下的全部文件。像這樣的特性也能夠通.htaccess來設置用戶是否有權限瀏覽服務器目錄。

1.啓用目錄瀏覽

# enable directory browsing
Options All +Indexes

2.禁用目錄瀏覽

# disable directory browsing
Options All -Indexes

咱們還能夠經過IndexIgnore指令來禁用目錄瀏覽。

# prevent folder listing
IndexIgnore *

經過IndexIgnore指令，咱們能夠禁止對指定類型的文件瀏覽：

# prevent display of select file types
IndexIgnore *.wmv *.mp4 *.avi *.etc

3.自定義目錄瀏覽

若是你但願Apache在展現你的WEB目錄時看起來不同凡響，那麼你須要啓用FancyIndexing選項：

<IfModule mod_autoindex.c>
 IndexOptions FancyIndexing 
</ifModule>

經過這個選項，你能夠實現自定義圖標、添加文件類型描述、按日期排序等。可是這些已經超過了本文的討論範圍，Lesca能夠給你一個作好的例子，你能夠在這頁查看效果。

4.配置目錄主頁文件

即便啓用了目錄瀏覽，Apache未必會展現該目錄的內容，由於該目錄可能存在像index.htm這樣的默認主頁文件。Apache會有限展現主頁文件，咱們能夠經過.htaccess設置：

DirectoryIndex index.html index.php index.htm

5.配置錯誤頁面

若是Apache遇到錯誤，就會輸出錯誤頁面。配置自定義的錯誤頁面，也許能夠挽留即將離開的用戶。

# custom error documents
ErrorDocument 401 /err/401.php
ErrorDocument 403 /err/403.php
ErrorDocument 404 /err/404.php
ErrorDocument 500 /er