1 站点访问控制

可基于两种机制指明对哪些资源进行何种访问控制;

  • 文件系统路径
  • URL路径

注意:

从上到下匹配,匹配到一个就立即执行

如果没有子目录的访问控制,但是有父目录的访问控制,则子目录继承父目录的访问控制

1.1 IP访问规则设置

HTTPD-2.2

Order allow,deny		##Order是固定关键字,后面的allow和deny是参数,哪个在后面,就表示默认策略是什么;所以说要根据默认策略配置下面的条目;这条配置永远放在IP访问规则部分的第一条;

Deny from host www.jzbg.com		##拒绝这个域名对应的主机访问;

Deny from 10.207.51.0/28			##拒绝这个网段的IP访问

Deny from 10.207.51.8				##决绝某个主机访问

Allow from web.jzbg.com

Allow from 10.207.51.0/25

Allow from 10.207.51.128

Allow from all		##允许所有人访问;

Deny from all           ##拒绝所有人访问;

HTTPD-2.4

<Requireall>			##当同时存在not和非not语句是,要将所有rule写在<RequireAll>或者<RequireAny>标签容器中;

Require host web.jzbg.com

Require not host web.jzbg.com

Require not host www.jzbg.com		##not表示拒绝的意思

Require ip 10.207.51.0/25

Require ip 10.207.51.128 10.207.51.130

Require ip 10 172.20 192.168.2

Require not ip 10.207.51.0/28

Require not ip 10.207.51.8

Require all granted	##允许所有人访问;


Require all denied	##拒绝所有人访问;2.4版本没有Order了,因为默认就是Deny;

<Requireall>

1.2 文件系统路径

根据需要将上面的IP访问规则放到里面

对指定目录下的内容做访问控制

<Directory "/PATH">

...

</Directory>

对指定目录下的目录做访问控制,在双引号前面加上~,则可以使用正则表达式

<Directory ~"^/www/[0-9]{3}">

...

</Directory>

对PATTERN可以匹配到的目录进行范文控制,支持正则表达式

<DirectoryMatch "^/www/(.+/)?[0-9]{3}/">

...

</DirectoryMatch>

对PATTERN可以匹配到的文件进行访问控制,PATTERN支持通配符

<Files "PATTERN">

...

</Files>

对PATTERN可以匹配到的文件进行访问控制,在双引号前面加上~,则可以使用正则表达式

<Files ~"^/www/[0-9]{3}">

...

</Files>

对PATTERN可以匹配到的文件进行访问控制,支持正则表达式

<FilesMatch ".+\.(gif|jpe?g|png)$ ">

...

</FileMatch>

1.3 基于URL路径做访问控制

根据需要将上面的IP访问规则放到里面

对指定的URL进行访问控制

<Location "URL-path|URL">

...

</Location>

对指定的URL进行访问控制

<Location "^/www/[0-9]{3}">

...

</Location>

对PATTERN可以匹配到的URL进行范文控制,PATTERN支持通配符和正则表达式

<LocationMatch "PATTERN">

...

</LocationMatch>

2 基于用户的访问控制

2.1 认证过程简述

服务器收到client发来的request之后,服务器会发送认证质询(WWW-Authenticate,响应码为401,拒绝客户端请求)给client,client会看到一个提示框,要求输入账号和密码,当client输入了账号和密码之后,client发送请求报文Authorization给server,server收到之后验证是否正确,如果正确则通过验证,发送响应资源;

2.2 一次失败的认证过程

客户端发送了请求报文

因为网页需要认证,服务器端会相应一个认证质询WWW-Authenticate,响应码为401,拒绝客户端请求;

客户端收到后会先回复一个ACK进行确认

此时网页上出现一个弹框,等待用户输入完用户密码之后客户端发送请求报文Authorization给服务器端;

信息完全是明文的(因为AuthType Basic),如果使用digest则为密文

因为认证失败,所以网页界面变成了

因为客户端输入的用户和密码不正确,所以服务器端又发送了认证质询报文;

3.3 基于用户进行认证

定义安全域

<Directory "/var/www/html">

    Options Indexes

    AllowOverride None

    AuthType Basic														##使用什么认证方式(None|Basic|Digest|Form)

    AuthName "Admin Area, Please enter username and passwd"		##显示给客户端的提示;

    AuthUserFile "/var/www/passwd"									##存储用户认证用户信息的文件(账号密码);

选择一个配置

    Require user Allen													##允许哪个用户访问;

    Require valid-user													##允许账号文件中的所有用户登录

</Directory>

创建账号文件

[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd

[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd

[root@centos7 ~]# cat /var/www/passwd

Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1

Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/

这种basic的方式十分不安全,通过抓包能看到用户输入的账户名和密码

3.4 基于组账号进行认证

定义安全域

<Directory "/var/www/html">

Options Indexes

AllowOverride None

AuthType Basic ##使用什么认证方式(None|Basic|Digest|Form)

AuthName "Admin Area, Please enter username and passwd" ##显示给客户端的提示;

AuthUserFile "/var/www/passwd" ##存储用户认证用户信息的文件(账号密码);

AuthGroupFile "/var/www/group" ##指定组信息文件

Require group Super ##允许哪个组的用户访问

创建账号文件

[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd

[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd

[root@centos7 ~]# cat /var/www/passwd

Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1

Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/

创建组信息文件

[root@centos7 ~]# vim /var/www/group

Super:Allen Barry		##每行定义一个组,GROUP_NAME:username1 username2 .....

3 持久连接

配置命令

KeepAlive On|Off				##开启或关闭KeepAlive

KeepAliveTimeout 15			##设置KeepAlive的最大持续连接时间为15s,httpd-2.2只能是秒,httpd-2.4可以是毫秒(后面加ms表示毫秒,不加表示秒);

MaxKeepAliveRequests 100		##设置每个长连接在建立过程中,最大处理100个请求;

这表示配置了长连接

通过telnet也可以测试

4 HTTP虚拟主机

实现方法

有三种表示方法,也就有三种实现方法

  • 基于IP:为每个虚拟主机准备至少一个IP地址;
  • 基于PORT:为每个虚拟主机使用至少一个独立PORT;
  • 基于FQDN:为每个虚拟主机使用至少一个FQDN;

    注意:httpd-2.2中,一般虚拟主机不能与中心主机混用;因此,要使用虚拟主机,得先禁用“main”主机(禁用方法:注释中心主机得DocumentRoot指令即可);

基于IP的虚拟主机示例

基于端口的虚拟主机示例

基于FQDN的虚拟主机示例

注意:httpd-2.2,配置基于FQDN的虚拟主机必须事先使用如下指令

NameVirtualHost IPADDRESS:PORT		##在VirtualHost前面加一条命令,每个VirtualHost都需要;

<VirtualHost IPADDRESS:PORT>

.....

</VirtualHost>

简述站点访问控制、基于用户的访问控制、httpd虚拟主机、持久链接等应用配置实例的更多相关文章

  1. httpd虚拟主机、站点访问控制、基于用户的访问控制、持久链接等应用配置实例

    httpd配置内容 httpd2.2 配置文件: /etc/httpd/conf/httpd.conf /etc/httpd/conf.d/*.conf 服务脚本: /etc/rc.d/init.d/ ...

  2. 编译安装基于 fastcgi 模式的多虚拟主机的wordpress和discuz的LAMP架构

    目录 实现CentOS 7 编译安装基于 fastcgi 模式的多虚拟主机的wordpress和discuz的LAMP架构 准备环境: 准备软件版本: 主机名修改用以区分 数据库服务器 实现数据库二进 ...

  3. HAProxy详解(三):基于虚拟主机的HAProxy负载均衡系统配置实例【转】

    一.基于虚拟主机的HAProxy负载均衡系统配置实例 1.通过HAProxy的ACL规则配置虚拟主机: 下面将通过HAProxy的ACL功能配置一套基于虚拟主机的负载均衡系统.这里操作系统环境为:Ce ...

  4. nginx篇最初级用法之三种虚拟主机基于域名\基于端口\基于IP地址端口的虚拟主机

    在nginx中虚拟主机的类型与apache一样也有三种 1.基于域名的虚拟主机 2.基于端口的虚拟主机 3.基于IP地址端口的虚拟主机 在nginx配置文件中每一个server为一个虚拟主机如果需要多 ...

  5. CentOS7配置httpd虚拟主机

    本实验旨在CentOS7系统中,httpd-2.4配置两台虚拟主机,主要有以下要求: (1) 提供两个基于名称的虚拟主机: www1.stuX.com,页面文件目录为/web/vhosts/www1: ...

  6. httpd 虚拟主机建立之访问机制及其日志定义

    注:关闭防火墙,selinux VirtualHost定义: 基于IP地址VirtualHost: 编辑httpd.conf文件: #DocumentRoot "/web/html" ...

  7. 源码编译安装LAMP环境及配置基于域名访问的多虚拟主机

    实验环境及软件版本: CentOS版本: 6.6(2.6.32.-504.el6.x86_64) apache版本: apache2.2.27 mysql版本:  Mysql-5.6.23 php版本 ...

  8. 配置httpd虚拟主机

    轻松配置httpd的虚拟主机 httpd使用VirtualHost指令进行虚拟主机的定义.支持三种虚拟主机:基于ip,基于端口和基于名称.其中基于端口的虚拟主机在httpd的术语上(例如官方手册)也属 ...

  9. 在基于Windows系统的PHP虚拟主机上实现域名的301永久重定向

    作者:荒原之梦 原文链接:http://zhaokaifeng.com/?p=581 操作背景: 当网站在更换或添加域名.进行网址规范化或删除旧页面时,出于对用户使用体验和搜索引擎优化方面的考虑就需要 ...

随机推荐

  1. Linux 系统管理命令 - iotop - 动态显示磁盘 I/O 统计信息

    命令详解 重要星级: ★★★★☆ 功能说明: iotop 命令是一款实时监控磁盘 I/O 的工具, 但必须以 root 用户的身份运行.使用 iotop 命令可以很方便的查看每个进程使用磁盘 I/O ...

  2. 【原创】Elasticsearch无宕机迁移节点

    官方API文档:https://www.elastic.co/guide/en/elasticsearch/reference/current/allocation-filtering.html 参考 ...

  3. Luogu P1273 有限电视网【树形Dp/树形背包】

    题目描述 某收费有线电视网计划转播一场重要的足球比赛.他们的转播网和用户终端构成一棵树状结构,这棵树的根结点位于足球比赛的现场,树叶为各个用户终端,其他中转站为该树的内部节点. 从转播站到转播站以及从 ...

  4. JS 数据类型入门与typeof操作符

    标准的数据类型划分: 基本类型: number(数字).string(字符串).undefined.boolean(布尔值).null(空对象) //空对象与非空对象,最大的区别就是不能进行属性操作 ...

  5. Python学习规划

    短时间踏实而高效的学习python 知乎:如何系统的学习python 简书:最全的python学习手册 目录 Python编程语言 python视频教程 Python神经网络算法与深度学习视频教程人工 ...

  6. 贪心/数学 Codeforces Round #212 (Div. 2) A. Two Semiknights Meet

    题目传送门 /* 贪心/数学:还以为是BFS,其实x1 + 4 * k = x2, y1 + 4 * l = y2 */ #include <cstdio> #include <al ...

  7. 解题报告:hdu 2073 无限的路

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=2073 Problem Description 甜甜从小就喜欢画图画,最近他买了一支智能画笔,由于刚刚接 ...

  8. 413 Arithmetic Slices 等差数列划分

    如果一个数列至少有三个元素,并且任意两个相邻元素之差相同,则称该数列为等差数列.例如,以下数列为等差数列:1, 3, 5, 7, 97, 7, 7, 73, -1, -5, -9以下数列不是等差数列. ...

  9. vijos P1426兴奋剂检查 多维费用背包问题的hash

    https://vijos.org/p/1426 这是个好题,容易想到用dp[i][v1][v2][v3][v4][v5]表示在前i个物品中,各种东西的容量是那个的时候,能产生的最大价值. 时间不会T ...

  10. [转]Asp.net MVC中Html.Partial, RenderPartial, Action,RenderAction 区别和用法

    本文转自:http://www.cnblogs.com/gesenkof99/archive/2013/06/03/3115052.html Partial 和RenderPartial:这两个的性质 ...