Apache站点安全(上)--来源控制和身份验证

最新推荐文章于 2024-08-15 09:25:12 发布
最新推荐文章于 2024-08-15 09:25:12 发布
阅读量980 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcyygyl/article/details/81775175
版权

一、简述:

通过修改Apache的http.conf配置文件,可以对Apache服务提供客户机地址、用户授权两种访问限制。这样可以避免了像使用AwStats日志分析系统获取网站访问信息等安全问题。
客户机地址限制:是指通过限制来源地址是否允许访问网站来提高网站安全性的一种方法。
用户授权限制:是指只允许被授权的用户使用它的用户名和密码来访问网站,没有被授权的用户无法访问网站,类似于访问ftp需要登陆ftp账户。
今天就做了相关实验

二、来源控制

安装并启动httpd

yum --disablerepo=\* --enablerepo=c7-media install httpd -y
systemctl restart httpd

将httpd服务加入防火墙

firewall-cmd --get-zone-of-interface=ens33  #查看端口所在区域
firewall-cmd --zone=public --add-service=http --permanent    #添加http服务
firewall-cmd --zone=public --list-all   #查看区域

查看添加结果如图所示
这里写图片描述
在浏览器中输入http://192.168.159.132进行测试
结果如图
这里写图片描述
编辑网页

cd /var/www/html     #切换到站点总目录
vim index.html       #编辑网页

内容随意
这里写图片描述
在浏览器刷新就会出现编辑内容
这里写图片描述
编辑 /etc/httpd/conf/httpd.conf 允许192.168.159.1访问 拒绝所有
这里写图片描述
重启httpd服务,测试并观察日志如图:可以访问网页
这里写图片描述
这里写图片描述
将地址改为192.168.159.2
这里写图片描述
访问结果如图
访问失败
这里写图片描述
这里写图片描述
编辑 /etc/httpd/conf/httpd.conf 允许所有访问 拒绝192.168.159.2访问
这里写图片描述
通过日志发现只有192.168.159.2访问失败其他的都可以访问
这里写图片描述

三、身份验证

站点总目录下创建说明文件

[root@localhost html]# vim .htaccess

这里写图片描述
创建账号库账号及口令

[root@localhost html]# htpasswd -c .htpasswd qwe      #创建账号库和账号qwe
New password:                                         #口令
Re-type new password: 
Adding password for user qwe
[root@localhost html]# htpasswd .htpasswd wsx         #添加账号wsx
New password: 
Re-type new password: 
Adding password for user wsx

编辑 /etc/httpd/conf/httpd.conf执行身份验证
这里写图片描述
重启并测试
在浏览器中输入http://192.168.159.132
这里写图片描述
输入刚才创建的账号和口令即可访问
这里写图片描述
输入错误或取消访问失败
这里写图片描述

蓝色的夏天qy
关注
Apache站点安全
qq_41459660的博客
08-17 717
实验所用版本 系统:centos7 apache:httpd-2.4.6-80.el7.centos.x86_64    一、Apache来源控制: 打开apache配置文件 /etc/http/conf/httpd.conf   在上图158行另起一行根据自己需要添加下面语句: order allow,deny                             #apac...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1376
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
最新apache shiro轻量级的安全认证授权框架
04-03
apache shiro轻量级的安全认证授权框架让你快速搭建中下型企业安全认证模块
apache身份认证
09-16 2637
apache的认证安全配置,访问资源时,弹出登陆框需要用户名密码 1: httpd.conf中,对要做认证的目录进行设置 Directory "/opt/vhost/xxx.com/www">    Options Indexes FollowSymLinks    AllowOverride AuthConfig    Order allow,deny    Allow from
Apache安全-用户登录验证
最新发布
卷不动的程序员
08-15 208
当用户访问网站或者网站某个目录时,如果希望用户提供授权才能登录,那么就需要针对该站或者该目录设置登录验证了。apache提供了该功能,可以让我们针对站点或目录设置登录验证。这样用户访问网站时需要提交账号密码才能登录。
Apache用户身份验证
dmtnewtons的专栏
08-13 2309
Apache用户身份验证 时间: 2012-12-05 / 分类: Web / 浏览次数: 349 views / 0个评论 发表评论 QQ空间新浪微博腾讯微博人人网更多0 在apache应用过程中,管理员经常需要对apache下的目录做一些限制,不希望所有用户都能访问该目录下的文件,只对指定用户访问,此时我们就要用到apache用户身份验证功能。 在httpd.
Apache Shiro安全框架实现身份认证(登陆与登出)
CodeWhite
09-08 526
写在前边:Shiro是非常强大的安全框架,与Spring security相比,它更容易上手。 公众号:小白编码 本文目录Shiro介绍:搭建环境Shiro配置UserRealm:ShiroConfig:执行登陆功能:执行登出功能: Shiro介绍: Apache Shiro 是 Java 的一个安全(权限)框架 Subject:正如我们在刚才提到教程,在Subject本质上是当前正在执行的用户的安全特定“视图”。“用户”一词通常表示一个人,一个人Subject可以是一个人,但它也可以表示第三方服务.
Apache中实现身份验证和访问控制
小三的学习园地
12-17 1261
  Linux不仅是UNIX操作系统的优秀例子,它还为实现和检查与CIW安全专家考试相关的许多安全概念提供了条件。在这个练习中,可以对 Red Hat Linux系统的Apache Web服务器的目录执行访问控制。使用.htaccess访问文件和htpasswd程序为一个日录建立ACL。这个目录称为/acltest.  1.以root身份登录Linux系统。    2.检查是否安装了Web服务器:
配置APACHE服务器(linux-Apache)[整理].pdf
11-15
Apache支持多种访问控制机制,如 `.htaccess` 文件进行目录级权限控制,`<Directory>` 指令设置特定目录的权限,以及使用基本认证、摘要认证等方法进行用户身份验证。配置访问控制时需明确访问策略,合理分配权限。 ...
网络安全--入侵阶段介绍
weixin_43774199的博客
08-23 3859
课程目标:这节课我们来介绍安全攻防中的入侵阶段,了解入侵阶段包含的内容(预攻击阶段、攻击阶段、后攻击阶段)涉及到的入侵技术与方法介绍 任务目标:通过对这节的学习,能够了解在安全攻防中入侵阶段的基本流程和方法,能够了解该入侵阶段在前期、中期、后期涵盖的安全技术。 1.预攻击阶段 1.1信息收集 尽可能多的收集目标的相关信息,为后续的“精确”攻击打下基础 这一阶段手机的信息包括:网络信息(域名、IP地址、网络拓扑、访问控制策略、TCP/UDP端口、防火墙、网络协议)、系统信息(操作系统版本、开放的各种
linux学习42-HTTP服务和APACHE
你的微笑像茉莉的博客
10-21 495
HTTP服务和APACHE 1. 跨Internet的主机间通讯 要通过Internet进行通信,至少需要一对套接字,其中一个运行在客户端,定义了一个唯一的客户进程,称之为ClientSocket,另一个运行于服务器端面,定义了一个唯一的服务器进程,称为ServerSocket。根据连接启动的方式以及本地要连接的目标,套接字之间的连接过程可以分为三个步骤:服务器监听、客户端请求、连接确认 So...
Apache-2.2用户权限设置与认证
weixin_34355881的博客
10-23 431
背景介绍有时我们使用Apache搭建出来的web站点仅给内部某些主机访问,或者访问时需要通过身份验证后才可以显示,如监控主机的web页面等,此时就需要控制访问者的权限和进行身份验证了,本章就以此来进行介绍一、用户权限设置在/etc/httpd/conf/httpd.conf配置文件中,DocumentRoot是指明web站点的根目录所在的路径(默认DocumentRoot "...
关于在局域网中访问Apache服务器的防火墙设置
Alex is Learning Coding
06-30 5100
本文的标题描述可能不够准确, 问题的描述应该是这样的: 我在本地启用了Apache服务器之后, 在本地可以使用IP地址访问指定目录和文件, 但在本局域网内的其他设备则无法访问。为了解决这个问题, 起初是修改了Apache配置文件, 后来发现不是Apache的问题,是系统防火墙设置的问题!修改了系统防火墙的高级设置,完美解决此问题。 具体操作如下:1,首先启动Apache,在本地打开浏览
httpd网页身份认证
weixin_34244102的博客
10-07 154
apache httpd系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html httpd对web身份认证的支持很丰富,提供的控制也非常细致。无疑,功能丰富意味着模块多。关于完整的模块,见http://httpd.apache.org/docs/2.4/mod/ ,其中mod_authX_XXX都是和认证有关的模块。要实现最基本的帐户认...
Apache——阿帕奇简介
敬故的博客
06-27 3065
内有重要内容!!!
httpd配置文件详解、虚拟主机实现、身份验证实现
putixiao的博客
10-07 2657
httpd配置文件详解 本文针对的是Server version: Apache/2.4.6 (CentOS) 1 httpd 命令 [root@node-43-200 ~]#httpd -h Usage: httpd [-D name] [-d directory] [-f file] [-C "directive"] [-c "directive"] ...
apache用户名和密码验证
wish_blue_sky的专栏
02-25 912
apache用户名和密码验证 之前建立的www.soft.com这个网站我们给他加个访问验证 修改/etc/apache2/apache2.conf nano /etc/apache2/apache2.conf 把 <Directory /var/www/soft> Options Indexes FollowSymLinks AllowOverride None Require all granted < /Directory> 修改成 <Directory /var/www
apache下实现CA颁发及来源控制身份验证
weixin_34195546的博客
09-09 127
环境:rhel5.4httpd-2.2.3mod-ssl原理:第一步:AB双方商量使用什么加密算法,怎么加密等等。第二步:A发送证书给B,为了使B相信他。第三步:B相信了,就生成对称密钥,将请求页面发送给A。最后,A使用B发送的密钥加密后,将请求回应给B。由于B要验证A的身份,因此,这里引入了第三方权威颁发机构,即CA,可以给A发证书。而B是相信CA的,因此,B拥...
Apache站点安全配置 身份认证
pretty_fairy的博客
08-15 825
1、修改httpd.conf 文件 加上 AllowOverride All 2、站点根目录下  编辑一下说明文件 .htaccess authuserfile D:/php/xxx/.htpasswd authname "please input your name and password" authtype basic require valid-user 3.在/usr/l
Struts-Pwn工具:探测和利用Apache Struts CVE-2017-5638漏洞
Apache Struts是一个开源的Java EE框架,用于构建基于MVC(模型-视图-控制器)模式的Web应用程序。Struts框架使用MVC架构模式分离应用程序的业务逻辑、用户界面和数据。其核心是Struts的ActionMapping,用于定义Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蓝色的夏天qy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值