httpd2.2访问控制与虚拟主机配置
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了httpd2.2访问控制与虚拟主机配置相关的知识,希望对你有一定的参考价值。
httpd2.2访问控制与虚拟主机配置
实验环境:CentOS 6.9 httpd 2.2
基础知识:
站点访问控制
可以基于两种类型的路径指明对那些资源进行访问控制
文件系统路径
<Directory ""> </Direcotry>
<File ""> </File>
<FileMatch ""> </FileMatch>
URL路径:
<Location ""> </Location>
...
访问控制机制
基于来源地址
基于账号
Directory中“基于来源地址”实现访问控制
(1) Options
所有可用特性:
Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
None, All
Indexes: 索引;
FollowSymlinks:允许跟踪符号链接文件;
(2) 基于来源地址的访问控制机制
Order:检查次序
Order allow,deny 白名单
Order deny,allow 黑名单
Allow from
Deny from
来源地址:
IP
NetAddr:
172.16
172.16.0.0
172.16.0.0/16
172.16.0.0/255.255.0.0
基于用户的访问控制
认证质询:
WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户提供账号和密码;
认证:
Authorization:客户端用户填入账号和密码后再次发送请求报文;认证通过,则服务器发送响应的资源;
认证类型:
basic:明文
digest:消息摘要
安全域:需要用户认证后方能访问的路径;
应该通过名称对其进行标识,并用于告知用户认证的原因;
虚拟账号:仅用于访问某服务时用到的认证标识;
存储:
文本文件
SQL数据库
ldap
nis
basic认证:
(1) 定义安全域
<Directory "">
Options None
AllowOverride None
AuthType Basic
AuthName "STRING"
AuthUserFile "/PATH/TO/HTTPD_USER_PASSWD_FILE"
Require user username1 username2 ...
</Directory>
允许账号文件中的所有用户登录访问:
Require valid-user
(2) 提供账号和密码存储(文本文件)
使用htpasswd命令进行管理
htpasswd [options] passwordfile username
-c: 自动创建passwordfile,因此,仅应该在添加第一个用户时使用;
-m: md5加密用户密码;
-s: sha1加密用户密码;
-D: 删除指定用户
(3) 实现基于组进行认证
<Directory "">
Options None
AllowOverride None
AuthType Basic
AuthName "STRING"
AuthUserFile "/PATH/TO/HTTPD_USER_PASSWD_FILE"
AuthGroupFile "/PATH/TO/HTTPD_GROUP_FILE"
Require group GROUP1 GROUP2 ...
</Directory>
要提供:用户账号文件和组文件;
组文件:每一行定义一个组
GRP_NAME:user1 user2 user3 ...
虚拟主机
有三种实现方案:
基于ip:
为每个虚拟主机准备至少一个ip地址;
基于port:
为每个虚拟主机准备至少一个专用port;实践中很少使用;
基于hostname:
为每个虚拟主机准备至少一个专用hostname;
可混合使用上述三种方式中任意方式;
注意:一般虚拟主机莫与中心主机混用,所以,要使用虚拟主机,先禁用中心主机;
禁用中心主机:注释DocumentRoot
每个虚拟主机都有专用配置:
<VirtualHost "IP:PORT">
SeverName
DocumentRoot ""
</VirtualHost>
ServerAlias: 虚拟主机的别名;
ErrorLog
CustomLog
<Directory "">
</Directory>
实验过程:
1.基于来源地址的访问控制(源地址可以伪装适用性有限)
允许的地址访问
编辑/etc/httpd/conf/httpd.conf配置文件
vim /etc/httpd/conf/httpd.conf
找到当前主目录下的 Order allow,deny字段
修改allow from字段(这里的ip是你想允许访问的ip)
之后保存退出
重启httpd服务
service httpd restart(reload也行)
除了192.168.242.1其他机器均无法访问目标页面
不允许地址访问
编辑/etc/httpd/conf/httpd.conf配置文件
vim /etc/httpd/conf/httpd.conf
找到当前主目录下的 Order allow,deny字段
进行如下的修改,重启服务后可以实现禁止目标ip的访问
service httpd restart(reload也行)
2.基于用户的访问控制
一般情况下有以下两种,digest方式有些浏览器不支持,适用性有限,basic明文相对比较危险,不过可以尝试通过https来实现加密有一定适用性。目前大多数的用户控制使用的是表单提交。
(1)basic:明文
(2)digest:消息摘要
环境:
在/var/www/html目录下创建一个新的admin目录,在目录下新建一个内容是admin的index.html文件
编辑配置文件/etc/httpd/conf/httpd.conf
vim /etc/httpd/conf/httpd.conf
<Directory "/var/www/html/admin">
Options None
AllowOverride None
AuthType Basic
AuthName "Administator private"
AuthUserFile "/etc/httpd/conf.d/.htpasswd"
Require valid-user
</Directory>
保存退出后开始创建用户和密钥文件(第一次要-c之后添加用户不需要)
htpasswd -c -m /etc/httpd/conf.d/.htpasswd admin
htpasswd -m /etc/httpd/conf.d/.htpasswd user
重启httpd服务
service httpd restart
访问对应目录下的页面会提醒输入账号和密码
正确输入后显示页面内容
同时这里还可以实现基于用户组的限制访问
整体方法类似用户控制,只是多了一个组文件
编辑/etc/httpd/conf/httpd.conf文件
<Directory "/var/www/html/admin">
Options None
AllowOverride None
AuthType Basic
AuthName "Administator private"
AuthUserFile "/etc/httpd/conf.d/.htpasswd"
AuthGroupFile "/etc/httpd/conf.d/.htgroup"
Require group admin
</Directory>
用户添加仍然使用之前的命令
这里就不在添加直接做分组就好
创建分组配置文件
vim /etc/httpd/conf.d/.htgroup
保存退出后,重启httpd服务
service httpd restart
之后访问对应页面,只有在admin组下的用户可以访问,其他用户无法访问
一直在该页面循环
可以正常访问
3.虚拟主机的3种实现:
在httpd2.2下启用虚拟主机的话,最好将主目录禁用
编辑httpd的配置文件
vim /etc/httpd/conf/httpd.conf
找到DocumentRoot "/var/www/html"字段,将其注释掉
基于ip
添加一块网卡
创建好对应目录和页面
mkdir -pv /data/web{1,2}
echo web1 > /data/web1/index.html
echo web2 > /data/web2/index.html
在配置文件的最后写入一下字段,
<VirtualHost 192.168.242.150:80>
ServerName web1.douma.com
DocumentRoot "/data/web1"
</VirtualHost>
<VirtualHost 192.168.242.151:80>
ServerName web2.douma.com
DocumentRoot "/data/web2"
</VirtualHost>
保存后重启服务,之后进行检验
基于port
修改配置文件
  找到listen字段添加8080
<VirtualHost 192.168.242.150:80>
ServerName web1.douma.com
DocumentRoot "/data/web1"
</VirtualHost>
<VirtualHost 192.168.242.150:8080>
ServerName web2.douma.com
DocumentRoot "/data/web2"
</VirtualHost>
保存后,重启httpd服务并且进行检验
基于hostname
2.2 要开启NameVirtualHost:80 项
修改配置文件
NameVirtualHost 192.168.242.150:80
<VirtualHost 192.168.242.150:80>
ServerName web1.douma.com
DocumentRoot "/data/web1"
</VirtualHost>
<VirtualHost 192.168.242.150:80>
ServerName web2.douma.com
DocumentRoot "/data/web2"
</VirtualHost>
保存后重启httpd服务,这里要修改hosts文件,使其可以进行解析
以上是关于httpd2.2访问控制与虚拟主机配置的主要内容,如果未能解决你的问题,请参考以下文章
httpd2.2(centos6)配置认证登陆页面,基于文档认证(basic)虚拟主机专用配置及内置STATUS页面配置