一、.htaccess簡介
1.什么是.htaccess
.htaccess是一個純文本文件,里面存放着Apache服務器配置相關的一些指令,它類似於Apache的站點配置文件,如httpd.conf(Apache2已經支持多站點,因此你的站點配置文件可能在/etc/apache2/conf.d/目錄下)。
.htaccess與httpd.conf配置文件不同的是,它只作用於當前目錄。另外httpd.conf是在Apache服務啟動的時候就加載的,而.htaccess只有在用戶訪問目錄時加載,開銷大、速度慢。
既然如此,為什么我們還要用.htaccess呢?因為它配置起來簡單,它還支持重定向、URL重寫以及訪問驗證,另外它管理起來很方便,可以很好適應網站遷移。總之,各有優缺點,主要就看你是要從全局考慮還是只配置單個目錄。
2.AllowOverride All
通常情況下,Apache是默認啟用.htaccess的,但是為了以防萬一,請檢查一下自己站點的配置文件,如httpd.conf,是否有這行:
AllowOverride All
這行允許重寫配置文件。也就是如果能夠從.htaccess加載配置文件,那么就以.htaccess為配置文件對其所在目錄進行配置。
3.500錯誤
如果你租用了雲服務提供商的主機或者空間,那么他們可能不會給你讀寫httpd.conf文件的權限,你也不可能檢查AllowOverride命令參數是否為All,這時,你可以新建一個目錄,在里面寫一個.htaccess文件,文件中隨意寫入一些服務器看不懂的東西,然后訪問該目錄里的一個頁面,耐心等待500錯誤的出現。
如果沒有出現,那么.htaccess沒有被啟用,你需要向你的服務供應商尋求幫助;如果出現了,那么恭喜你,你可以對當前目錄重寫Apache配置。
/!\注意:.htaccess語法錯誤可能會影響整個站點,如果你不確定這樣做是否安全,請聯系你的雲服務供應商。
4.有用的文檔
二、.htaccess訪問控制(Allow/Deny)
1.訪問控制基礎:Order命令
為了限制用戶訪問一些關鍵目錄,.htaccess可以提供目錄訪問限制。你只需要在要限制的目錄中,加入如下.htaccess文件:
# no one gets in here! deny from all
這會限制所有用戶通過瀏覽器訪問該目錄,這太一刀切了,因此我們還可以增加一些特定的條件,如允許指定IP地址的訪問:
Order Allow,Deny Deny from All Allow from 192.168.0.0/24
Order命令
Order命令是一個難點,也是配置apache的基礎,它決定了Apache處理訪問規則的順序。
- 通過Allow,Deny參數,Apache首先找到並應用Allow命令,然后應用Deny命令,以阻止所有訪問。
- 通過Deny,Allow參數,Apache首先找到並應用Deny命令,然后應用Allow命令,以允許所有訪問。
了解Order的用法后,再仔細考慮下上面的例子,你或許能夠發現Deny命令是多余的,以下用法和之前的描述語義相同:
Order Allow,Deny Allow from 192.168.0/24
2.利用.htaccess過濾域名或網絡主機(Allow/Deny)
下例可以限制所有含有“domain.com”的網絡主機訪問網站:
Order Allow,Deny Allow from all Deny from .*domain\.com.*
{!}Info:有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
3.利用.htaccess禁止訪問指定文件(Files)
Files命令可以用於過濾指定文件:
# secure htaccess file <Files .htaccess> order allow,deny deny from all </Files>
4.利用.htaccess禁止訪問指定文件類型(FilesMatch)
下面的代碼將限制訪問所有.log和.exe文件:
<FilesMatch ".(log|exe)$"> Order allow,deny Deny from all </FilesMatch>
我們還可以通過Files命令描述文件類型,但是需要在命令后面加一個波浪線(~),該符號啟用Files命令的正則表達解析功能:
<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])"> Order allow,deny Deny from all Satisfy All </Files>
有以下幾點需要讀者注意:
- Files之后的波浪線用於開啟“正則表達式”分析。請注意,這是個過時的用法,Apache更推薦使用<FilesMatch>指令[3]
- 正則表達式必須在雙引號之間,有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
- 雙引號中的“管道符”(|)用於將兩種文件類型(.log和.exe)分開,相當於邏輯“或”
- Order命令必須嵌在Files節(Section)中,否則將會應用到所有文件
- Satisfy All表示必須同時滿足主機級別(Allow/Denay)和用戶級別(Require)的限制,All是默認值,該行可以省略。
5.高級訪問控制(Rewrite)
我們還可以通過運用Rewrite實現更強大的訪問控制,但是Rewrite不是本文討論的內容。讀者可以參看:利用RewriteCond和RewriteRule進行訪問控制一文。
三、利用.htaccess進行密碼保護與驗證
1.配置.htaccess
AuthType Basic AuthName "restricted area" AuthUserFile /usr/local/var/www/html/.htpasses require valid-user
這個配置文件可以保護.htaccess所在的整個目錄,簡單說明下參數:
- AuthType:驗證類型為基本類型,密碼以明文方式傳輸到服務器上
- AuthName:驗證提示,會出現在驗證對話框中
- AuthUserFile:驗證配置文件,用於匹配用戶名與密碼,該密碼是加密保存的
- require valid-user:只有在AuthUserFile中出現的用戶才可以通過驗證
如果驗證失敗,則會出現401錯誤。
2.生成.htpasses文件
如何生成.htpasses文件呢?我們通過htpasswd命令生成密碼文件:
htpasswd -c /usr/local/var/www/html/.htpasses lesca
它會提示你輸入密碼,並確認。之后將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下。
3.對文件進行密碼保護
保護與.htaccess在同一目錄下的文件secure.php:
# password-protect single file <Files secure.php> AuthType Basic AuthName "Prompt" AuthUserFile /home/path/.htpasswd Require valid-user </Files>
保護.htaccess所在目錄下的多個文件:
# password-protect multiple files <FilesMatch "^(execute|index|secure|insanity|biscuit)*$"> AuthType basic AuthName "Development" AuthUserFile /home/path/.htpasswd Require valid-user </FilesMatch>
4.對指定IP進行密碼保護
僅允許IP地址為99.88.77.66的主機直接訪問該目錄,其他IP需要驗證。
AuthType Basic AuthName "Personal" AuthUserFile /home/path/.htpasswd Require valid-user Allow from 99.88.77.66 Satisfy Any
5.安全性
出於安全考慮,將.htpasses文件存放在WEB目錄樹之外也許是個好方法,但是由於.htpasses是隱藏文件,而且Apache不會輸出隱藏文件,因此可以滿足基本的安全要求。這是通過在主配置文件中加入如下限制實現的:
<Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy All </Files>
一般而言,這是默認設置,用戶無需手動添加。我們唯一需要擔心的是密碼在網絡傳輸過程中是明文形式,這很容易被黑客破譯。Coz[1]提供了一個開源項目Pajamas可以在本地利用JS對密碼進行MD5加密,有興趣的讀者可以前去研究一下。
四、目錄瀏覽與主頁
如果你打開本站的下載頁面http://download.lesca.me/,就會發現你可以看見這個站點下的所有文件。像這樣的特性也可以通.htaccess來設置用戶是否有權限瀏覽服務器目錄。
1.啟用目錄瀏覽
# enable directory browsing Options All +Indexes
2.禁用目錄瀏覽
# disable directory browsing Options All -Indexes
我們還可以通過IndexIgnore指令來禁用目錄瀏覽。
# prevent folder listing IndexIgnore *
通過IndexIgnore指令,我們可以禁止對指定類型的文件瀏覽:
# prevent display of select file types IndexIgnore *.wmv *.mp4 *.avi *.etc
3.自定義目錄瀏覽
如果你希望Apache在展示你的WEB目錄時看起來與眾不同,那么你需要啟用FancyIndexing選項:
<IfModule mod_autoindex.c> IndexOptions FancyIndexing </ifModule>
通過這個選項,你可以實現自定義圖標、添加文件類型描述、按日期排序等。但是這些已經超過了本文的討論范圍,Lesca可以給你一個做好的例子,你可以在這頁查看效果。
4.配置目錄主頁文件
即使啟用了目錄瀏覽,Apache未必會展示該目錄的內容,因為該目錄可能存在像index.htm這樣的默認主頁文件。Apache會有限展示主頁文件,我們可以通過.htaccess設置:
DirectoryIndex index.html index.php index.htm
5.配置錯誤頁面
如果Apache遇到錯誤,就會輸出錯誤頁面。配置自定義的錯誤頁面,也許可以挽留即將離開的用戶。
# custom error documents ErrorDocument 401 /err/401.php ErrorDocument 403 /err/403.php ErrorDocument 404 /err/404.php ErrorDocument 500 /err/500.php
本文出自 Lesca技術宅,轉載時請注明出處及相應鏈接。