Apache Web服务器访问控制机制全解析

一、使用访问控制常用配置指令进行访问控制

1．配置指令

Apache实现访问控制的配置指令包括如下三种：

（1）order指令：用于指定执行允许访问控制规则或者拒绝访问控制规则的顺序。order只能设置为Order allow，deny或Order deny，allow，分别用来表明用户先设置允许的访问地址还是先设置禁止访问的地址。Order选项用于定义缺省的访问权限与Allow和Deny语句的处理顺序。Allow和Deny语句可以针对客户机的域名或IP地址进行设置，以决定哪些客户机能够访问服务器。Order语句设置的两种值的具体含义如下：

（2）allow指令：指明允许访问的地址或地址序列。如allow from all指令表明允许所有IP来的访问请求。

（3）deny指令：指明禁止访问的地址或地址序列。如deny from all指令表明禁止所有IP来的访问请求。

2．应用实例

下面举几个简单的例子对上述order、allow和deny命令的使用进行示范。

（1）在下面的例子中，admin.org域中所有主机都允许访问网站，而其他非该域中的任何主机访问都被拒绝，因为Deny在前，Allow在后，Allow语句覆盖了Deny语句：

Order Deny,Allow   
Deny from all  
Allow from admin.org  

（2）下面例子中，admin.org域中所有主机，除了db.admin.org子域包含的主机被拒绝访问以外，都允许访问。而所有不在admin.org域中的主机都不允许访问，因为缺省状态是拒绝对服务器的访问（Allow在前，Deny在后，Deny语句覆盖了Allow语句）：

Order Allow,Deny  
Allow from admin.org  
Deny from db.admin.org  

二、使用.htaccess文件进行访问控制

任何出现在配置文件httpd.conf中的指令都可能出现在.htaccess文件中。该文件在httpd.conf文件的AccessFileName指令中指定，用于进行针对单一目录的配置（注意：该文件也只能设置对目录的访问控制）。作为系统管理员，可以指定该文件的名字和可以通过该文件内容覆盖的服务器配置。当站点有多组内容提供者并希望控制这些用户对他们的空间的操作时该指令非常有用。

值得特别注意的是：除了可以使用.htaccess文件针对单一目录进行访问控制配置外，该文件还可以在不重新启动Apache服务器的前提下使配置生效，因而使用起来非常方便。

使用该文件进行访问控制，需要经过如下两个必要的步骤：

（1）在主配置文件httpd.conf中启用并控制对.htaccess文件的使用。

（2）在需要覆盖主配置文件的目录下（也就是需要单独设定访问控制权限的目录）生成.htaccess文件，并对其进行编辑，设置访问控制权限。

1． 启用并控制对.htaccess文件的使用

启用并控制对.htaccess文件的使用，首先需要使用AccessFileName参数在主配置文件中配置如下配置语句方可：

AccessFileName .htaccess  
<Files ~ “^\.htaccess”> 
    Order allow,deny  
    Deny from all  
</Files> 

2． 在.htaccess文件中使用指令进行控制

要限制.htaccess文件能够覆盖的内容，须要使用AllowOverride指令。该指令可以进行全局设置或者单个目录设置。要配置默认可以使用的选项，须要使用Options指令。例如，在httpd.conf文件中，可以采用上述指令建立的对/var/www/icons目录的访问控制权限的清单，如下所示：

<Directory "/var/www/icons"> 
    Options Indexes MultiViews  
    AllowOverride None  
    Order allow,deny  
    Allow from all  
</Directory> 

以下为各种指令的使用介绍：

（1）AllowOverrides指令

AllowOverrides指令指定.htaccess文件可以覆盖的选项。可以对每个目录进行设置。例如，可以对主要文档root和UserDir目录的覆盖有不同的标准。该功能对于用户目录特别有用，在这些目录中用户没有访问主服务器配置文件的权限。

AllowOverrides可以设置为All、None或者Option、FileInfo、AuthConfig、Indexes以及Limit.选项的组合。这些选项含义如下：

Options指令

Options可以为None、All或者任何Indexes、Includes、FollowSymLinks、ExecCGI或者MultiViews的组合。MultiViews不包含在All中，必须显式指定。这些选项解释如下：

3． 使用.htaccess文件实例

下面以一个简单的例子来示范如何使用.htaccess文件：

（1）在Apache服务器的文档根目录下生成一个测试目录，并创建测试文件，使用如下命令即可：

#cd /var/www/html  
#mkdir rhel5  
#cd rhel5  
#touch rhel5.a  
#touch rhel5.b  

（2）修改Apache服务器的主配置文件如下，添加如下语句：

<Directory “/var/www/html/rhel5”> 
    AllowOverride Options  
</Directory> 

（3）在生成的测试目录/var/www/html/rhel5下生成.htaccess文件，并添加如下语句：

Options ?Indexes 

（4）重新启动Apache服务器即可，可以看到在未配置.htaccess文件前用户可以使用客户端浏览器浏览文件，而配置文件后用户无法浏览，如图1和2所示。另外，值得注意的是：这里的重启Apache服务器是因为步骤（2）中对主配置文件进行了修改，而不是因为修改了.htaccess文件，因为前面提到过，.htaccess文件的配置修改并不需要重新启动Apache服务器。

图1 未使用访问控制前访问目录情况示意

图2 使用访问控制后访问目录情况