(二)配置目录权限
1、定义目录特性
Apache访问的每个目录可设置相关的服务和特性是允许或(和)不允许。(同样影响其子目录)
首先,设置"default"地址只有最基本的权限:
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
注意从现在开始必须制定开启特殊的权限,这样就不会产生意想不到的结果。请仔细确认。
例如:
<Directory "D:/www_root">
#
# 此值可是: "None", "All", 或下列的组合: "Indexes",
# "Includes", "FollowSymLinks", "ExecCGI", 或 "MultiViews".
# 注意"MultiViews"必须明确指定--- "Options All"不包括此特性。
#
Options Indexes FollowSymLinks MultiViews
#
# 此项控制目录中哪些.htaccess文件可覆盖。
# 允许值: "All"或者以下项的组合:"Options", "FileInfo",
# "AuthConfig", "Limit"
#
AllowOverride None
#
# 控制哪些用户可从此服务器获得资料。
#
Order allow,deny
Allow from all
</Directory>
说明:
allow和deny可以用于apache的conf文件或者.htaccess文件中(配合Directory, Location, Files等),用来控制目录和文件的访问授权。
所以,最常用的是:
Order Deny,Allow
Allow from All
注意“Deny,Allow”中间只有一个逗号,也只能有一个逗号,有空格都会出错;单词的大小写不限。上面设定的含义是先设定“先检查禁止设定,没有禁止的全部允许”,而第二句没有Deny,也就是没有禁止访问的设定,直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置,开放所有内容的访问权。
按照上面的解释,下面的设定是无条件禁止访问:
Order Allow,Deny
Deny from All
如果要禁止部分内容的访问,其他的全部开放:
Order Deny,Allow
Deny from ip1 ip2
或者
Order Allow,Deny
Allow from all
Deny from ip1 ip2
apache会按照order决定最后使用哪一条规则,比如上面的第二种方式,虽然第二句allow允许了访问,但由于在order中allow不是最后规则,因此还需要看有没有deny规则,于是到了第三句,符合ip1和ip2的访问就被禁止了。注意,order决定的“最后”规则非常重要,下面是两个错误的例子和改正方式:
Order Deny,Allow
Allow from all
Deny from domain.org
错误:想禁止来自domain.org的访问,但是deny不是最后规则,apache在处理到第二句allow的时候就已经匹配成功,根本就不会去看第三句。解决方法:Order Allow,Deny,后面两句不动,即可。
Order Allow,Deny
Allow from ip1
Deny from all
错误:想只允许来自ip1的访问,但是,虽然第二句中设定了allow规则,由于order中deny在后,所以会以第三句deny为准,而第三句的范围中又明显包含了ip1(all include ip1),所以所有的访问都被禁止了。解决方法一:直接去掉第三句。解决方法二:
Order Deny,Allow
Deny from all
Allow from ip1
(三)创建虚拟目录
如果我们的网站建在了别的目录,比如/opt/www/lk下,是不是不在主目录/var/www/html下就不能访问了呢?当然不是。
可以使用虚拟目录,让用户访问到别的目录下的文件。虚拟目录是位于Apache主目录外的其他目录,一般我们通过为虚拟目录创建别名的方式来让web访问。这样做一是安全;二是访问简单,不用输入那么长的真是目录地址,而只用输入一个简单的别名就行;三是便于站点目录的移动,只要虚拟目录名不变,改变实际存放位置,不会影响web访问的。
我们用Alias选项创建虚拟目录,如
Alias /bbs/ "/opt/www/lk/"
<Directory "/opt/www/lk/">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
(四)进行用户认证
用户认证是网络安全中极为重要的一个部分,让想访问指定网站的用户输入用户名和密码才能进行登录,起到了天然的安全屏障作用。Apache的安全认证在实际使用中也是很常见的。现在就通过一个例子演示如果在Apache服务器中实现用户认证的功能。
我们对上述的虚拟目录进行操作:
Alias /bbs/ "/opt/www/lk/"
<Directory "/opt/www/lk/">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
AuthType:Basic AuthName "welcome go home:"
AuthUserFile /etc/httpd/authpwd
Require user laoda laoer
</Directory>
说明:
AuthType:定义了对用户认证的类型,常用的是mod_auth提供的Basic;
AuthName:Web浏览器显示在输入用户名和密码框时的提示文字;
AuthUserFile:定义口令文件htpasswd的路径;
Require user:定义了允许访问的用户名单,名字间用空格分隔。
之后,建立authpwd文件用来保存密码,touch /etc/httpd/authpwd
接着,把用户名和密码写入文件(注意:第一次创建用户时使用-c参数,第二个用户被创建就不必写了,否则会覆盖刚才的用户):
[root@localhost http]#htpasswd -c /etc/httpd/authpwd laoda
New password:
Re-type new password:
Add password for user laoda
[root@localhost http]#htpasswd /etc/httpd/authpwd laoer
New password:
Re-type new password:
Add password for user laoer
现在service httpd restart,再用浏览器访问这台linux的IP地址即可。
(五)配置虚拟主机
为了节省费用和提高服务器的利用效率,我们可以在一台机器上建立出多台“主机”。每个主机都能对外提供WEB服务,在外界看来是些不同的网站,但对服务器而言,其实看似不同的网站,其实它们都是运行于同一台主机之上的不同的虚拟主机而已。如何配置虚拟主机呢?Apache的虚拟主机功能是非常强大的,而且配置很简单。主要分为基于IP和基于域名的虚拟主机。我们先配置基于IP的虚拟主机吧。这其中也有两种选择,你现在有多少个可用IP?如果你购买了不少IP,那么你可以给每个虚拟主机分配不同的IP,让他们使用相同的端口,这是其一。如果在这个IP短缺的时代,你没哟那么多IP,只买了一个,那么你就可以使用一个IP地址加不同端口的方式,让不同的端口访问不同的虚拟主机。1、IP地址相同,但端口号不同:
现在我的CentOS上,只有一个IP:192.168.0.94,我想分别使用8080和8081两个端口配置两个网站,编辑httpd.conf:
Listen 8080
Listen 8081
<VirtualHost 192.168.0.94:8080>
DocumentRoot /var/www/web1
DirectoryIndex index.html index.htm
HostNameLookups off
</VirtualHost>
<VirtualHost 192.168.0.94:8081>
DocumentRoot /var/www/web2
DirectoryIndex index.html index.htm
HostNameLookups off
</VirtualHost>重启服务,即可。
2、端口号相同,但IP地址不同,假如一个是94,一个是95:
<VirtualHost 192.168.0.94>
ServerName 192.168.0.94:80
DocumentRoot /var/www/web1
DirectoryIndex index.html index.htm
</VirtualHost>
<VirtualHost 192.168.0.95>
ServerName 192.168.0.95:80
DocumentRoot /var/www/web2
DirectoryIndex index.html index.htm
</VirtualHost>
如果本机只有一个网卡,那么就得在这一块网卡上绑定多IP:
ifconfig eth0:1 192.168.0.95