сигурност с Apache Web Server

Сигурност
- махане на опцията FollowSymLinks
- ограничаване на достъпа по IP
- ограничаване на достъпа по име/парола
- комбиниране на ограничаването на достъпа по IP и име/парола
- добавяне на празен index.html файл
Apache Web Server предлага множество начини да се защити съдържанието на дадена информация на сървъра от натрапници. За да се разрешат за използване повечето от опциите за увеличаване на сигурноста в Apache те трябва да са предварително добавени в основния конфигурационен файл на сървъра httpd.conf. Имайте предвид, че ако правите промени във този файл трябва да рестартирате сървъра, за да се зареди новата конфигурация. Това става чрез програмата, намираща се в bin директорията на сървъра - apachectl с опция restart. т.е

./apachectl restart

Или с командата:

killall -HUP httpd

Проверка за това дали е правилна конфигурацията можете да направите със следната команда:

./apachectl configtest

Опциите в зависимост от това къде са написани имат и различен обсег на действие. Ето и някои от по-важните области:

Ако са написани в .htaccess файл те са валидни само за директорията, в която се намира файлът и нейните поддиректории
Ако са написани в httpd.conf файла, но са заградени с тагове, са валидни само за виртуален хост
Ако са написани в httpd.conf файла, но са заградени с тагове, са валидни само за дадена директория
Ако са написани в httpd.conf файла и не са заградени с някакви тагове, тогава важат за целият сървър

Да започваме с конфигурирането.

- махане на опцията FollowSymLinks

Ако не е абсолютно наложително да присъства тази опция в конфигурацията на вашият сървър я махнете. С нея можете да имате само проблеми. Или по-добре я разрешете само за директорията, за която това е абсолютно наложително.

- ограничаване на достъпа по IP

За да можете да ограничавате достъпа по IP трябва в http.conf файла да е зададена следната директива:

AllowOverride Limit

Ако я заградите в тагове, тя ще важи САМО за конкретния виртуален хост. Ако я заградите в тя ще важи САМО за директорията, която е посочена в таговете и всички нейни поддиректории. Може би вече се досещате, че ако не я оградите в някакви тагове тя ще важи за целия сървър.

Ако искате да защитите дадена директория да е достъпна само за някое IP добавете файла .htaccess в директорията, която искате да защитите и напишете следното:

order deny, allow
deny from all
allow from IP_TO

като замените IP_TO с IP адреса, който искате да има достъп до тази директория. Ако искате, например, само IP номер 212.0.0.1 да достъпва директорията, напишете:

order deny, allow
deny from all
allow from 212.0.0.1

Освен пълен IP адрес, можете да зададете частичен IP адрес. Ако зададете следния IP адрес 212.0.0. -- това значи, че всички IP адреси, които започват с IP 212.0.0. могат да достъпят директорията. Примери за IP адреси, които изпълняват това условие са: 212.0.0.12, 212.0.0.23.