.htaccess安全控制、验证、目录浏览控制

.htaccess安全控制、验证、目录浏览控制

.htaccess 是一个纯文本文件，里面存放着 Apache 服务器配置相关的一些指令，它类似于 Apache 的站点配置文件，如 httpd.conf（Apache2 已经支持多站点，因此你的站点配置文件可能在 /etc/apache2/conf.d/ 目录下）。
.htaccess 与 httpd.conf 配置文件不同的是，它只作用于当前目录。另外 httpd.conf 是在 Apache 服务启动的时候就加载的，而 .htaccess 只有在用户访问目录时加载，开销大、速度慢。
既然如此，为什么我们还要用 .htaccess 呢？因为它配置起来简单，它还支持重定向、URL 重写以及访问验证，另外它管理起来很方便，可以很好适应网站迁移。总之，各有优缺点，主要就看你是要从全局考虑还是只配置单个目录。

为了限制用户访问一些关键目录，.htaccess 可以提供目录访问限制。你只需要在要限制的目录中，加入如下 .htaccess 文件：

# no one gets in here!
deny from all

这会限制所有用户通过浏览器访问该目录，这太一刀切了，因此我们还可以增加一些特定的条件，如允许指定 IP 地址的访问：

Order Allow,Deny
Deny from All
Allow from 192.168.0.0/24

Order 命令是一个难点，也是配置 apache 的基础，它决定了 Apache 处理访问规则的顺序。

通过Allow,Deny参数，Apache 首先找到并应用 Allow 命令，然后应用 Deny 命令，以阻止所有访问。
通过Deny,Allow参数，Apache 首先找到并应用 Deny 命令，然后应用 Allow 命令，以允许所有访问。
了解 Order 的用法后，再仔细考虑下上面的例子，你或许能够发现 Deny 命令是多余的，以下用法和之前的描述语义相同：

Order Allow,Deny
Allow from 192.168.0/24

利用 .htaccess 过滤域名或网络主机 (Allow/Deny)
下例可以限制所有含有“domain.com”的网络主机访问网站：

Order Allow,Deny
Allow from all
Deny from .*domain\.com.*

利用 .htaccess 禁止访问指定文件 (Files)
Files 命令可以用于过滤指定文件：

# secure htaccess file
<Files .htaccess>
 order allow,deny
 deny from all
</Files>

利用 .htaccess 禁止访问指定文件类型 (FilesMatch)
下面的代码将限制访问所有 .log 和 .exe 文件：

<FilesMatch ".(log|exe)$">
 Order allow,deny
 Deny from all
</FilesMatch>

我们还可以通过 Files 命令描述文件类型，但是需要在命令后面加一个波浪线 (~)，该符号启用 Files 命令的正则表达解析功能：

<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

有以下几点需要读者注意：

Files 之后的波浪线用于开启“正则表达式”分析。请注意，这是个过时的用法，Apache 更推荐使用 指令。
正则表达式必须在双引号之间，有关 htaccess 的正则表达式用法，
双引号中的“管道符” (|) 用于将两种文件类型（.log 和 .exe）分开，相当于逻辑“或”。
Order 命令必须嵌在 Files 节 (Section) 中，否则将会应用到所有文件。
Satisfy All 表示必须同时满足主机级别 (Allow/Denay) 和用户级别 (Require) 的限制，All 是默认值，该行可以省略。

利用 .htaccess 进行密码保护与验证

AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/var/www/html/.htpasses
require valid-user

这个配置文件可以保护 .htaccess 所在的整个目录，简单说明下参数：

AuthType：验证类型为基本类型，密码以明文方式传输到服务器上；
AuthName：验证提示，会出现在验证对话框中；
AuthUserFile：验证配置文件，用于匹配用户名与密码，该密码是加密保存的；
require valid-user：只有在 AuthUserFile 中出现的用户才可以通过验证。
如果验证失败，则会出现 401 错误。

对文件进行密码保护
保护与 .htaccess 在同一目录下的文件 secure.php：

# password-protect single file
<Files secure.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>

保护 .htaccess 所在目录下的多个文件：

# password-protect multiple files
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>

仅允许 IP 地址为 11.11.11.11 的主机直接访问该目录，其他 IP 需要验证。

AuthType Basic
AuthName "Personal"
AuthUserFile /home/path/.htpasswd
Require valid-user
Allow from 11.11.11.11
Satisfy Any

出于安全考虑，将 .htpasses 文件存放在 WEB 目录树之外也许是个好方法，但是由于 .htpasses 是隐藏文件，而且 Apache 不会输出隐藏文件，因此可以满足基本的安全要求。这是通过在主配置文件中加入如下限制实现的：

<Files ~ "^\.ht">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

启用目录浏览

# enable directory browsing
Options All +Indexes

禁用目录浏览

# disable directory browsing
Options All -Indexes

还可以通过 IndexIgnore 指令来禁用目录浏览。

# prevent display of select file types
IndexIgnore *.wmv *.mp4 *.avi *.etc

自定义目录浏览
如果你希望 Apache 在展示你的WEB目录时看起来与众不同，那么你需要启用 FancyIndexing 选项：

<IfModule mod_autoindex.c>
 IndexOptions FancyIndexing 
</ifModule>

通过这个选项，你可以实现自定义图标、添加文件类型描述、按日期排序等。

配置目录主页文件
即使启用了目录浏览，Apache 未必会展示该目录的内容，因为该目录可能存在像 index.html 这样的默认主页文件。Apache 会有限展示主页文件，我们可以通过 .htaccess 设置：

DirectoryIndex index.html index.php index.htm

配置错误页面
如果 Apache 遇到错误，就会输出错误页面。配置自定义的错误页面，也许可以挽留即将离开的用户。

# custom error documents
ErrorDocument 401 /err/401.php
ErrorDocument 403 /err/403.php
ErrorDocument 404 /err/404.php
ErrorDocument 500 /err/500.php

【apache配置禁止访问】

1. 禁止访问某些文件/目录
   增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：

<Files ~ "\.inc$">
Order allow,deny
Deny from all
</Files>

禁止访问某些指定的目录：（可以用 来进行正则匹配）

<Directory ~ "^/var/www/(.+/)*[0-9]{3}">
Order allow,deny
Deny from all
</Directory>

通过文件匹配来进行禁止，比如禁止所有针对图片的访问：

<FilesMatch \.(?i:gif|jpe?g|png)$>
Order allow,deny
Deny from all
</FilesMatch>

针对URL相对路径的禁止访问：

<Location /dir/>
Order allow,deny
Deny from all
</Location>

针对代理方式禁止对某些目标的访问（ 可以用来正则匹配），比如拒绝通过代理访问cnn.com：

<Proxy http://piaoyun.cc/*>
Order allow,deny
Deny from all
</Proxy>

2. 禁止某些IP访问/只允许某些IP访问
   如果要控制禁止某些非法IP访问，在Directory选项控制：

<Directory "/var/www/web/">
Order allow,deny
Allow from all
Deny from 10.0.0.1 #阻止一个IP
Deny from 192.168.0.0/24 #阻止一个IP段
</Directory>

只允许某些IP访问，适合比如就允许内部或者合作公司访问：

<Directory "/var/www/web/">
Order deny,allow
Deny from all
All from example.com #允许某个域名
All from 10.0.0.1 #允许一个iP
All from 10.0.0.1 10.0.0.2 #允许多个iP
Allow from 10.1.0.0/255.255.0.0 #允许一个IP段，掩码对
All from 10.0.1 192.168 #允许一个IP段，后面不填写
All from 192.168.0.0/24 #允许一个IP段，网络号
</Directory>

Apache：解决办法；

<Directory "/home/domain/public_html">
Options -Indexes FollowSymLinks
AllowOverride All
<Files ~ ".txt">
Order allow,deny
Deny from all
</Files>
</Directory>

在PHP网站开发中，基于WEB服务器和PHP网站程序代码的安全考虑，我们需要对相关的目录或者文件访问权限进行控制，以防止意外情况的发生，那么我们如何来实现这种功能呢？我们可以通过Apache来实现禁止目录访问(禁止游览列出的目录或文件列表)、禁止或允许IP与域名访问目录的功能。

环境说明

我使用的是DedeCMS DedeAmpz的PHP运行环境，PHP版本5.2.4，Apache版本2.2.4

在Apache中配置禁止目录访问，即禁止游览列出的目录/文件列表的方法

访问网站目录时Apache默认配置为可列出目录/文件列表，即当你访问http://localhost时会列出相关的目录和文件列表，我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表，方法如下：

1、打开apache配置文件httpd.conf

2、找到

<Directory />  
Options Indexes  
Allow Override None  
Order allow,deny  
Allow from all  
</Directory>  

只需要修改Options Indexes为Options None即可，注：根据PHP运行环境安装包的不同，Options Indexes也有可能是Options Indexes FollowSymLinks，一并改为Options None即可。

3、保存httpd.conf，并重启Apache即可，此时再访问http://localhost时， 报apache http 403 禁止访问错误信息

Forbidden

You don’t have permission to access / on this server.

（注意：<Directory “e:/wamp/www/”>中需要一并改为Options None）

Apache单个或多个目录禁止访问方法

这种方法通常用来禁止访问者访问后台管理目录或者程序目录，方法如下

1、打开apache配置文件httpd.conf

2、创建Directory块，比如禁止访问某个类库目录，可以这样实现

<Directory /var/www/www.leapsoul.cn/inc>  
    Order Deny,Allow  
    Deny from all  
</Directory>  

上述代码实现了禁止所有用户访问www.leapsoul.cn下inc目录的功能。如要实现禁止访问所有目录中inc目录的功能，只要将

<Directory /var/www/www.leapsoul.cn/inc>  

更改为

<Directory /var/www/www.leapsoul.cn/*/inc>  

即可。

3、重启Apache服务器。

其他说明

1、只允许或禁止某个域名进行目录访问

<Directory /var/www/www.leapsoul.cn/inc>  
    Order Deny,Allow  
    Deny from abc.com  
    Allow from apache.org  
</Directory>  

上述代码实现禁止abc.com域中主机访问inc目录，允许apache.org域中主机访问inc目录的功能。

2、只允许或禁止某个IP进行目录访问

<Directory /var/www/www.leapsoul.cn/inc>  
    Order Deny,Allow  
    Deny from 10.1.1.2  
    Allow from 192.168.1.0/255.255.255.0  
</Directory>  

上述代码实现禁止IP10.1.1.2访问www.leapsoul.cn/inc目录，允许IP192.168.1子网中的主机访问www.leapsoul.cn/inc目录的功能。

注意：Allow from 192.168.1.0/255.255.255.0等同于Allow from 192.168.1或Allow from 192.168.1.0/24

至此，通过配置Apache服务器我们可以实现禁止目录访问(列出目录或文件列表)，也可以实现禁止访问单个或者多个目录，更可以对访问者进行控制，比如允许或禁止某个IP或者域名对目录进行访问，这些功能对提高和优化WEB服务器的安全性能是必不可少的方法。