Access.conf : файл доступа к серверу

Файл доступа к серверу (/usr/local/etc/httpd/conf/access.conf) позволяет включать либо выключать сопровождение некоторых возможностей на уровне отдельных каталогов. Кроме того, этот файл используется для ограничения доступа к вашему серверу некоторых пользователей и компьютеров.

Файл access.conf предоставляет три варианта описания доступа: один для каталога cgi-bin, другой для каталога документов, а третий демонстрирует возможности управления доступом к различным каталогам.

Первое описание позволяет управлять каталогом сценариев CGI. В

файле используется синтаксис языка HTML, в котором тег <Directory

/usr/local/etc/httpd/cgi-bin> отмечает начало секции с описанием опций для используемого сервером по умолчанию каталога cgi-bin. Эту секцию закрывает тег </Directory>.

Вторая директива должна выглядеть следующим образом:

<Directory /usr/local/etc/httpd/htdocs>

Третья директива, <Location>, подобна директиве <Directory>,

только вместо названия каталога указывается адрес URL.

Установка псевдонимов

Привести в соответствие отдельным адресам URL каталоги в системе можно, воспользовавшись директивой Alias в файле srm.conf. Это дает возможность предоставлять клиентам файлы, находящиеся не в корневом каталоге для документов или его подкаталогах. Например, если нужно предоставлять документы из каталога /public/ftp/multimedia, можно сделать

их доступными на сервере ShoopSoft по запросу адреса URL http://www.shoopsoft.com/multimedia:

Alias /multimedia /public/ftp/multimedia

Модули

При настройке сервиса Apache очень важным звеном являются модули. Их загрузка описана в /etc/httpd/conf/httpd.conf следующим образом:

<IfDefine HAVE_PERL>

LoadModule perl_module modules/libperl.so

</IfDefine>

Если установлен параметр HAVE_PERL, то команда LoadModule загружает модуль modules/libperl.so, необходимый для интерпретации perl-сценариев.

Неиспользуемые модули необходимо отключить.

Модуль mod_security

Несмотря на то, что безопасность Web-сервера, в основном, зависит от выполняемых на нем сценариев и программистов, которые пишут эти скрипты, есть возможность защитить сервер вне зависимости от этих факторов: использовать бесплатный модуль для Apache под названием mod_security.

Принцип действия модуля схож с сетевым экраном, но в данном случае он специально разработан для обеспечения взаимодействия по протоколу HTTP. Модуль на основе правил, которые задает администратор, анализирует запросы пользователей к серверу и выносит свое решение о возможности пропустить пакет к Web-серверу. После установки модуля в файле httpd.conf можно будет использовать дополнительные директивы фильтрации запросов:

· SecFilterEngine On – включить режим фильтрации запросов;

· SecFilterCheckURLEncoding On – проверять кодировку URL;

· SecFilterForceByteRange 32 126 – использовать символы только из указанного диапазона;

· SecAuditLog logs/audit_log – определяет файл журнала, в котором будет сохраняться информация об аудите;

· SecFilterDefaultAction "deny,log,status:406" – задает действие по умолчанию;

· SecFilter xxx redirect:http://www.webkreator.com –обеспечивает переадресацию. Если правила соблюдены, то пользователь будет перенаправлен на сайт http://www.webkreator.com;

· SecFilter /etc/passwd – устанавливает запрет на использование в запросе пользователя обращения к файлу /etc/passwd;

· SecFilter /bin/ls – отказ пользователям в обращении к директивам (в данном случае запрещается команда ls).

Модуль mod_ssl

При использовании модуля mod_ssl, в конец файла httpd.conf добавляется раздел, который имеет отношение к SSL.

Лучше разделить два дерева подкаталогов, которые будут использоваться для защищенной и незащищенной части Web-сервера. Значение параметров ServerName может быть одним и тем же для обоих серверов, так как для обращения к защищенному серверу клиент будет использовать префикс https.

Поиск по сайту: