摒弃Apache服务器中的.htaccess文件 (安全)

林继 VPS 知识 6,812 共写了792个字 (2005-09-21 13:44:06) 没有评论 打印 扫描二维码 百度已收录

From:http://searchsecurity.techtarget.com.cn/tips/303/1889303.shtml

Apache网页服务器为管理人员提供了一种非常灵活的访问控制系统,该系统允许为负责维护各自目录的人员指定不同的访问控制权限。这种系统对很多组织的服务器来说是很理想的,如:网络服务提供商、教育机构和其他需要支持大量用户维护的网页的网站。

  这种访问控制系统在每一个网页服务器目录都存储了一个众所周知的.htaccess文件(分布式配置文件)。这些文件包含很多外部访问控制入口,这些入口可以通过判断IP地址、认证状态或者其他标准来批准或者拒绝用户或者用户团体的访问。

  毫无疑问.htaccess文件提供了一个安全控制授权的强有力手段,对那些不需要使用这种级别授权的管理员来说,基本做法是禁用这个功能。因为让很多人掌握不同目录的安全控制权限会给整个系统安全带来巨大的威胁(尤其是那些对信息安全没有经验的人!)。

  幸运的是,在全局范围内禁止使用这些.htaccess文件非常容易。只需要在你的Apache网页服务器配置文件中使用下面的这些声明:


AllowOverride None

  确保服务器的配置正确是很重要的,在这个配置文件中只能使用一个AllowOverride指令。对于需要使用.htaccess文件的特定的目录,允许不遵从通用指令并使该目录的.htaccess文件生效。实际上,如果环境允许的话,我们首选通过这种方法来使能.htaccess文件。我们只需要将配置文件中的全局AllowOverride设置为None,然后提供有别于通用规则的特殊清单。。

  在允许用户在你的服务器上使用.htaccess文件之前,你需要仔细考虑一下:这样做真的很有必要吗?除非每个要求这种访问控制方式的用户都能够提供充分的理由,否则出于安全考虑,拒绝这样的要求。

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

< >