Apache访问控制策略

最新推荐文章于 2023-09-14 19:30:19 发布
最新推荐文章于 2023-09-14 19:30:19 发布
阅读量595 收藏 1
点赞数
分类专栏: Linux 文章标签: apache 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44484541/article/details/130098775
版权
Apache访问控制可以由几个不同的模块完成。其中最重要的是mod_authz_core和mod_authz_host。Apache使用Require指令进行授权来确保用户被允许或拒绝访问资源。其中mod_authz_host模块可以使用ip,host,forward-dns和local扩展授权类型。其他授权类型也可以使用,但可能需要加载额外的授权模块。这些授权提供程序会影响哪些主机可以访问服务器的某个区域。访问可以通过主机名,IP地址或IP地址范围进行控制。
一、基于主机的访问控制
由mod_authz_host实现的授权提供者是使用Require指令注册的。 
该指令作用域
    <Directory>
    <Files>
    <Location>部分
    .htaccess文件中

通常,访问限制指令适用于所有访问方法(GET,PUT,POST等)。 这在大多数情况下是需要的行为。
但是,通过将指令放在<Limit>部分中,可以限制某些方法,而使其他方法不受限制。
二、特定上下文环境常见的访问控制
Require all granted 
   允许所有

Require all denied 
   拒绝所有

Require env env-var [env-var] … 
   只有在给定的环境变量被设置的情况下才允许访问

Require method http-method [http-method] … 
   允许特定的HTTP方法(GET/POST/HEAD/OPTIONS)

Require expr expression 
   允许特定表达式为true时

Require user userid [userid] … 
   允许特定用户

Require group group-name [group-name] … 
   允许特定用户组

Require valid-user 
   允许有效的用户

Require ip 10 172.20 192.168.2 
   允许特定IP或IP段,多个IP或IP段间使用空格分隔

三、基于IP地址的访问控制

单个或多个IP 
   Require ip 10.1.2.3 
   Require ip 192.168.1.104 192.168.1.205

基于部分IP地址的访问控制 
   Require ip 10.1 
   Require ip 10 172.20 192.168.2

基于网络/子网掩码的访问控制 
   Require ip 10.1.0.0/255.255.0.0 
   Require ip 10.1.0.0/16

基于IPv6的访问控制 
   Require ip 2001:db8::a00:20ff:fea7:ccea 
   Require ip 2001:db8:1:1::a      #Author : Leshami 
   Require ip 2001:db8:2:1::/64   #Blog   :http://blog.csdn.net/leshami 
   Require ip 2001:db8:3::/48

基于主机名的访问控制 
   Require host example.org 
   Require host .net example.edu

基于forward-dns方式的访问控制 
   forward-dns允许根据简单的主机名来访问服务器。 当指定require forward-dns host-name时,所有与主机名对应的IP地址都被允许访问。该方法不依赖于反向DNS查询:它仅查询DNS的主机名,并允许客户端的IP匹配。 因此,它只适用于主机名,而不是域名。 但是,由于不使用反向DNS,它将与使用动态DNS服务的客户端协同工作。

  Require forward-dns bla.example.org 
   能够被bla.example.org解析的IP地址将被允许访问

仅允许本机访问 
   Require local
四、混合配置
黑名单方法
<RequireAll>
    Require all granted
    Require not ip 10.252.46.165
</RequireAll>

Require not ip 192.168.205
Require not host phishers.example.com moreidiots.example
Require not host gov

白名单方法
Require ip 192.168.1.104 192.168.1.205

基于变量和表达式的访问控制方法
<If "%{HTTP_USER_AGENT} == 'BadBot'">
    Require all denied
</If>

Require expr %{HTTP_USER_AGENT} != 'BadBot'
五、配置案例

案例一:允许所有主机访问

< Directory “/var/www/html/”>

AllowOverride None

Require all granted

</Directory>

AllowOverride ALL   #允许子目录中的.htaccess中的设置覆盖当前位置

AllowOverride None  #不允许子目录中的.htaccess中的设置覆盖当前设置

案例二:允许网段或固定IP访问

< Directory “/var/www/html/”>

AllowOverride None

Require ip 202.106.0.0/24

Require ip 114.248.160.203

案例三:只拒绝某些主机访问

< Directory “/var/www/html/”>

AllowOverride None

<RequireAll>

Require not ip 202.106.0.0/24

Require ip 114.248.160.203

案例四:针对文件的访问控制

需求:不允许在/var/www/html/目录中执行.php文件

< Directory /var/www/html>

AllowOverride None

Require all granted

<Files ~ ”\.php$”>

Order allow,deny

Deny from all

</Files>

</Directory>
不知名hack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Web服务器安全配置全攻略
01-10
作为最流行的Web服务器Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。   Apache 服务器的安全特性  1、 采用选择性访问控制和强制性访问控制的安全策略  从Apache 或Web的角度来讲,选择性访问控制DAC(Discretionary Access Control)仍是基于用户名和密码的,强制性访问控制MAC(Mandatory Access Control)则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式,如输入错误,那么用户还有机会更正,从新输入正确的的密码;如果用户通过不了MAC关卡,那么用户将被禁止做进一
基于大数据平台的自适应访问控制研究.pdf
09-10
访问控制是保护系统中数据安全的关键技术,但传统的访问控制模型和主流的开源授权框架主要依靠系统权威(系统管理员)制定访问策略,这不仅会增加对系统管理员的强依赖,且难以保证授权工作的时效性。因此,本文考虑时间...
APACHE访问控制
我的博客
07-29 3389
APACHE访问控制     Apache可以基于源主机名、源IP地址或源主机上的浏览器特征等信息对网站上的资源进行访问控制。它通过Allow指令允许某个主机访问服务器上的网站资源,通过Deny指令实现禁止访问。在允许或禁止访问网站资源时,还会用到Order指令,这个指令用来定义Allow或Deny指令起作用的顺序,其匹配原则是按照顺序进行匹配,若匹配成功则执行后面的默认指令。比如“Order...
Apache 访问控制
weixin_30765577的博客
01-27 93
Apache访问控制 版本:Apche 2.3 前 通过设置访问控制,可对网站进行权限管理,提高安全性。 参数介绍 <Directory />: 行为对根目录的限制 Options:允许使用控制目录特征的指令.他们包括Options 和XBitHack 参数: 1、All:准许以下除MultiViews以外所有功能 2、...
Apache Module mod_authz_host - allow from authorised network range
sfz_roger的专栏
09-09 838
SummaryThe directives provided by mod_authz_host are used in , , and  sections as well as.htaccess files to control access to particular parts of the server. Access can be controlled based on th
Apache httpd 2.4 访问控制
乐沙弥的世界
11-13 6190
Apache访问控制可以由几个不同的模块完成。其中最重要的是mod_authz_core和mod_authz_host。Apache使用Require指令进行授权来确保用户被允许或拒绝访问资源。其中mod_authz_host模块可以使用ip,host,forward-dns和local扩展授权类型。其他授权类型也可以使用,但可能需要加载额外的授权模块。这些授权提供程序会影响哪些主机可以访问服务器
关于Apache服务器访问控制
永不放弃的地盘
05-05 5750
Apache Access Control 访问控制
Apache2.4使用require指令进行访问控制--允许或限制IP访问/通过User-Agent禁止不友好网络爬虫...
weixin_30655219的博客
03-17 709
Apache2.2升级到Apache2.4后,发现原来用来限制部分IP和垃圾网络爬虫的访问控制规则不起作用,查询后才发现,Apache2.4中开始使用mod_authz_host这个新的模块来进行访问控制和其他的授权检查。原来在Apache2.2版本下用以实现网站访问控制的Order,Allow,Deny指令需要替换为新的Require访问控制指令。 注意:使用req...
Apache 配置黑名单,亲测可用
u014265398的博客
10-01 1548
1.黑名单,禁止某些ip访问 在httpd.conf配置文件中,添加如下配置 <Directory /usr/local/apache2/htdocs/> #允许.htaccess覆盖配置文件,使.htaccess生效 AllowOverride All </Directory> 2.在apache服务器根目录创建.htaccess文件 cd /usr/local/apache2/htdocs/ vim .htaccess 在文件中添加如下内容
Apache访问控制
小小关的博客
12-31 2992
为了更好的控制网站资源(网页)的访问,可以为特定的网站目录添加访问授权,访问控制应用于配置文件中的目录区域 <Directory>……</Directory>。。 客户机地址限制 用户授权限制 一:客户机地址限制 通过Require配置项,可以根据主机的主机名或IP 地址来九鼎是否允许客户端访httpd服务器的主配置文件httpd.conf中的<Location>、<Directory>、<Files>、<...
LINUX中Apache 服务的搭建与配置
最新发布
weixin_69654831的博客
09-14 630
​​​Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,其特点是占有内存少,并发能力强。事实上nginx的并发能力确实在同类型的网页服务器中表现较好。
Apache Shiro安全框架-其他
06-12
授权-访问控制 密码术-保护或隐藏数据以防窥视 会话管理-每个用户的时间敏感状态 Shiro还支持一些辅助功能,例如Web应用程序安全性,单元测试和多线程支持,但它们的存在是为了加强上述四个主要方面。 Apache Shiro...
apache+tomcat集群配置
07-28
apache与tomcat的集群配置进行了详细的描述。...晋级篇:正向与反向代理、访问控制、均衡策略之ProxyPass、均衡策略之ProxyPassReverse、代理struts2工程、PROXY_HTTP与PROXY_AJP的选择、集群SESSION策略
apache_1.3.37.tar.gz
01-06
1、 采用选择性访问控制和强制性访问控制的安全策略Apache 或Web的角度来讲,选择性访问控制DAC(Discretionary Access Control)仍是基于用户名和密码的,强制性访问控制MAC(Mandatory Access Control)则是...
访问控制技术
顺其自然~专栏
03-07 2345
限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
Nginx或Apache禁止某些IP段访问的两种方法
飙歌的博客
05-09 997
/ 封 123.123.123.1~123.123.123.254 这个段的ip。// 封 123.123.0.1~123.123.255.254 这个段的ip。除了修改Nginx配置文件之外,还可以通过修改网站配置文件.htaccess来限制某IP(段)访问,方法如下。说明,allow跟deny配置相同,如果需要开放某个IP段,只需要把上面的deny改成allow。上面的配置中allow必须在deny的前面配置,不然allow不生效。另外需要注意,该配置修改需要重启Nginx服务器才能生效。
Apache限制IP访问
经验之谈,不做搬运工
05-19 558
1、用ps命令确认httpd deamon确实启动,并且监听80口地址。 2、在httpd.conf文件中,确认包含access.conf,srm.conf两个控制文件,否则,需要分 别修改这两个文件。 3、在httpd.conf文件中,有限制IP访问的句子,类似如下: Options Indexes FollowSymLinks MultiViews AllowOverr...
IP被非法域名恶意指向(IP劫持)apache 限制IP访问,只允许域名访问
Y__123456的博客
01-31 1302
IP被非法域名恶意指向(IP劫持)apache 限制IP访问,只允许域名访问
apache目录的访问控制
dmtnewtons的专栏
10-16 2254
转载链接:http://blog.sina.com.cn/s/blog_7be8a2150100trml.html 1.根目录的访问控制 DocumentRoot "/var/www/html"    Directory />      Options FollowSymLinks      AllowOverride None  Directory>
linux什么命令才能隐藏apache目录访问控制的配置文件
03-27
可以使用以下命令来隐藏Apache目录访问控制的配置文件: ``` sudo mv /etc/apache2/conf.d/security /etc/apache2/conf.d/.security ...为了更好地保护配置文件,建议使用适当的文件权限和访问控制策略

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值