目錄 Table of Contents
一����、.htaccess簡介
1.什么是.htaccess
.htaccess是一個純文本文件,里面存放著Apache服務器配置相關的一些指令��,它類似于Apache的站點配置文件,如httpd.conf(Apache2已經(jīng)支持多站點��,因此你的站點配置文件可能在/etc/apache2/conf.d/目錄下)�。
.htaccess與httpd.conf配置文件不同的是,它只作用于當前目錄��。另外httpd.conf是在Apache服務啟動的時候就加載的��,而.htaccess只有在用戶訪問目錄時加載����,開銷大、速度慢��。
既然如此����,為什么我們還要用.htaccess呢?因為它配置起來簡單���,它還支持重定向、URL重寫以及訪問驗證���,另外它管理起來很方便�����,可以很好適應網(wǎng)站遷移���?��?傊饔袃?yōu)缺點����,主要就看你是要從全局考慮還是只配置單個目錄。
2.AllowOverride All
通常情況下�,Apache是默認啟用.htaccess的,但是為了以防萬一�����,請檢查一下自己站點的配置文件�����,如httpd.conf���,是否有這行:
AllowOverride All
這行允許重寫配置文件��。也就是如果能夠從.htaccess加載配置文件��,那么就以.htaccess為配置文件對其所在目錄進行配置�。
3.500錯誤
如果你租用了云服務提供商的主機或者空間,那么他們可能不會給你讀寫httpd.conf文件的權限����,你也不可能檢查AllowOverride命令參數(shù)是否為All,這時����,你可以新建一個目錄,在里面寫一個.htaccess文件��,文件中隨意寫入一些服務器看不懂的東西��,然后訪問該目錄里的一個頁面�����,耐心等待500錯誤的出現(xiàn)�����。
如果沒有出現(xiàn)����,那么.htaccess沒有被啟用,你需要向你的服務供應商尋求幫助�����;如果出現(xiàn)了�����,那么恭喜你�����,你可以對當前目錄重寫Apache配置�����。
/!\注意:.htaccess語法錯誤可能會影響整個站點�����,如果你不確定這樣做是否安全����,請聯(lián)系你的云服務供應商��。
4.有用的文檔
二��、.htaccess訪問控制(Allow/Deny)
1.訪問控制基礎:Order命令
為了限制用戶訪問一些關鍵目錄�,.htaccess可以提供目錄訪問限制�����。你只需要在要限制的目錄中����,加入如下.htaccess文件:
# no one gets in here!
deny from all
這會限制所有用戶通過瀏覽器訪問該目錄,這太一刀切了�,因此我們還可以增加一些特定的條件,如允許指定IP地址的訪問:
Order Allow,Deny
Deny from All
Allow from 192.168.0.0/24
Order命令
Order命令是一個難點��,也是配置apache的基礎�����,它決定了Apache處理訪問規(guī)則的順序����。
- 通過Allow,Deny參數(shù)�����,Apache首先找到并應用Allow命令,然后應用Deny命令�����,以阻止所有訪問��。
- 通過Deny,Allow參數(shù)��,Apache首先找到并應用Deny命令���,然后應用Allow命令�����,以允許所有訪問�。
了解Order的用法后���,再仔細考慮下上面的例子��,你或許能夠發(fā)現(xiàn)Deny命令是多余的�,以下用法和之前的描述語義相同:
Order Allow,Deny
Allow from 192.168.0/24
2.利用.htaccess過濾域名或網(wǎng)絡主機(Allow/Deny)
下例可以限制所有含有“domain.com”的網(wǎng)絡主機訪問網(wǎng)站:
Order Allow,Deny
Allow from all
Deny from .*domain\.com.*
{!}Info:有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文��。
3.利用.htaccess禁止訪問指定文件(Files)
Files命令可以用于過濾指定文件:
# secure htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
4.利用.htaccess禁止訪問指定文件類型(FilesMatch)
下面的代碼將限制訪問所有.log和.exe文件:
<FilesMatch ".(log|exe)$">
Order allow,deny
Deny from all
</FilesMatch>
我們還可以通過Files命令描述文件類型�,但是需要在命令后面加一個波浪線(~),該符號啟用Files命令的正則表達解析功能:
<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">
Order allow,deny
Deny from all
Satisfy All
</Files>
有以下幾點需要讀者注意:
- Files之后的波浪線用于開啟“正則表達式”分析��。請注意�����,這是個過時的用法�,Apache更推薦使用<FilesMatch>指令[3]
- 正則表達式必須在雙引號之間,有關htaccess的正則表達式用法�����,請查閱本站《.htaccess正則表達式》一文�。
- 雙引號中的“管道符”(|)用于將兩種文件類型(.log和.exe)分開,相當于邏輯“或”
- Order命令必須嵌在Files節(jié)(Section)中���,否則將會應用到所有文件
- Satisfy All表示必須同時滿足主機級別(Allow/Denay)和用戶級別(Require)的限制����,All是默認值�,該行可以省略���。
5.高級訪問控制(Rewrite)
我們還可以通過運用Rewrite實現(xiàn)更強大的訪問控制,但是Rewrite不是本文討論的內(nèi)容�����。讀者可以參看:利用RewriteCond和RewriteRule進行訪問控制一文�。
三�����、利用.htaccess進行密碼保護與驗證
1.配置.htaccess
AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/var/www/html/.htpasses
require valid-user
這個配置文件可以保護.htaccess所在的整個目錄����,簡單說明下參數(shù):
- AuthType:驗證類型為基本類型,密碼以明文方式傳輸?shù)椒掌魃?/li>
- AuthName:驗證提示����,會出現(xiàn)在驗證對話框中
- AuthUserFile:驗證配置文件,用于匹配用戶名與密碼�����,該密碼是加密保存的
- require valid-user:只有在AuthUserFile中出現(xiàn)的用戶才可以通過驗證
如果驗證失敗��,則會出現(xiàn)401錯誤。
2.生成.htpasses文件
如何生成.htpasses文件呢��?我們通過htpasswd命令生成密碼文件:
htpasswd -c /usr/local/var/www/html/.htpasses lesca
它會提示你輸入密碼��,并確認�。之后將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下。
3.對文件進行密碼保護
保護與.htaccess在同一目錄下的文件secure.php:
# password-protect single file
<Files secure.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>
保護.htaccess所在目錄下的多個文件:
# password-protect multiple files
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>
4.對指定IP進行密碼保護
僅允許IP地址為99.88.77.66的主機直接訪問該目錄��,其他IP需要驗證���。
AuthType Basic
AuthName "Personal"
AuthUserFile /home/path/.htpasswd
Require valid-user
Allow from 99.88.77.66
Satisfy Any
5.安全性
出于安全考慮��,將.htpasses文件存放在WEB目錄樹之外也許是個好方法���,但是由于.htpasses是隱藏文件,而且Apache不會輸出隱藏文件�,因此可以滿足基本的安全要求。這是通過在主配置文件中加入如下限制實現(xiàn)的:
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
一般而言�,這是默認設置,用戶無需手動添加��。我們唯一需要擔心的是密碼在網(wǎng)絡傳輸過程中是明文形式���,這很容易被黑客破譯����。Coz[1]提供了一個開源項目Pajamas可以在本地利用JS對密碼進行MD5加密,有興趣的讀者可以前去研究一下��。
四��、目錄瀏覽與主頁
如果你打開本站的下載頁面http://download./�,就會發(fā)現(xiàn)你可以看見這個站點下的所有文件。像這樣的特性也可以通.htaccess來設置用戶是否有權限瀏覽服務器目錄�。
1.啟用目錄瀏覽
# enable directory browsing
Options All +Indexes
2.禁用目錄瀏覽
# disable directory browsing
Options All -Indexes
我們還可以通過IndexIgnore指令來禁用目錄瀏覽。
# prevent folder listing
IndexIgnore *
通過IndexIgnore指令����,我們可以禁止對指定類型的文件瀏覽:
# prevent display of select file types
IndexIgnore *.wmv *.mp4 *.avi *.etc
3.自定義目錄瀏覽
如果你希望Apache在展示你的WEB目錄時看起來與眾不同����,那么你需要啟用FancyIndexing選項:
<IfModule mod_autoindex.c>
IndexOptions FancyIndexing
</ifModule>
通過這個選項,你可以實現(xiàn)自定義圖標�����、添加文件類型描述��、按日期排序等���。但是這些已經(jīng)超過了本文的討論范圍�,Lesca可以給你一個做好的例子,你可以在這頁查看效果��。
4.配置目錄主頁文件
即使啟用了目錄瀏覽����,Apache未必會展示該目錄的內(nèi)容,因為該目錄可能存在像index.htm這樣的默認主頁文件��。Apache會有限展示主頁文件����,我們可以通過.htaccess設置:
DirectoryIndex index.html index.php index.htm
5.配置錯誤頁面
如果Apache遇到錯誤,就會輸出錯誤頁面����。配置自定義的錯誤頁面,也許可以挽留即將離開的用戶�。
# custom error documents
ErrorDocument 401 /err/401.php
ErrorDocument 403 /err/403.php
ErrorDocument 404 /err/404.php
ErrorDocument 500 /err/500.php
五、URL重寫與URL重定向
下一篇文章����,我們將介紹htaccess的重頭戲:URL重寫與URL重定向
References:
[1] .htaccess tips and tricks
[2] Stupid htaccess Tricks
[3] Files Directive
