apache的 語句以及屬性的含義

在整完apache和tomcat的之後我覺得有必要把<directory>和它下面的屬性捋順一下

如何訪問根目錄下的目錄http://192.168.1.12/test/

第一．缺省apache不允許訪問http目錄(沒有定義，就沒有訪
問權限)

訪問目錄http://192.168.1.12/test/
會顯示：
Forbidden
You don't have permission to access /test/ on this server.

第二．無限制目錄訪問
在httpd.conf中增加定義，即可打開無限制的目錄訪問權限

<Directory /home/macg/www/test>
    Options All
    AllowOverride all
</Directory>

再訪問會顯示如下：

Apache/2.0.54 (Fedora) Server at 192.168.1.12 Port 80

Index of /test
 Name                    Last modified      Size  Description
 ------------------------------------------------------------
 Parent Directory                             -   
 bg0073.jpg              29-Nov-2006 21:02   36K  
 bg0135.jpg              29-Nov-2006 21:03   41K  
 bg0137.jpg              29-Nov-2006 21:03   47K  
 slade1.html             29-Nov-2006 22:02  1.2K  
 slade2.html             29-Nov-2006 22:02  1.1K  
 slade3.html             29-Nov-2006 22:02  1.4K  
 slade4.html             29-Nov-2006 22:02  1.8K  
 slade5.html             29-Nov-2006 22:02  2.3K  
-------------------------------------------------------------
Apache/2.0.54 (Fedora) Server at 192.168.1.12 Port 80

實際AllowOverride all是enable .htaccess目錄限制功能。

但test目錄下並沒有.htaccess文件

等於開放訪問，無限制。

第三．有限制目錄訪問

將其他目錄中的.htaccess拷貝入要限制訪問的目錄

[root@localhost test]# ls -a
.  ..  bg0073.jpg  bg0135.jpg  bg0137.jpg  slade1.html  
slade2.html  slade3.html  slade4.html  slade5.html

[root@localhost test]# cp ../test1/.htaccess .

[root@localhost test]# ls -a
.  ..  bg0073.jpg  bg0135.jpg  bg0137.jpg  .htaccess  
slade1.html  slade2.html  slade3.html  slade4.html  
slade5.html

[root@localhost test]# more .htaccess
authType Basic
AuthName "Restricted Files"
AuthUserFile /etc/httpd/passwords
Require valid-user

再訪問http://192.168.1.12/test/
會跳出身份認證窗口，輸入用戶名密碼，即可訪問目錄

.htaccess 目錄限制的配置
要使用.htaccess文件，先在將httpd.conf中建立<Directory >
</Directory>

<Directory "/home/macg/www/test">   
        Options All            
允許對目錄的操作，ALL---所有操作

    AllowOverride all                      
AllowOverride all----允許.htaccess所有指令，缺省是all
AllowOverride None ----完全忽略.htaccess文件

</Directory>

用/usr/bin/htpasswd創建一個用於認證的密碼文件。
並且這個文件不應該置於DocumentRoot目錄下，以避免被下載。
建議創建在/etc/httpd/目錄下：

[root@localhost httpd]# /usr/bin/htpasswd -c 
/etc/httpd/passwords macg
          -c建立文件
New password:
Re-type new password:
Adding password for user macg
[root@localhost httpd]# /usr/bin/htpasswd 
/etc/httpd/passwords gary  
                            沒有-c就是單純的adduser 追加用戶
New password:
Re-type new password:
Adding password for user gary
[root@localhost httpd]# more /etc/httpd/passwords
macg:U8jCwSsZyAB2g
gary:06yCDyg7AijlM

在受限制目錄下建立.htaccess文件

[root@localhost test]# ls -a
.  ..  bg0073.jpg  bg0135.jpg  bg0137.jpg  .htaccess  
slade1.html  slade2.html  slade3.html  slade4.html  
slade5.html

[root@localhost test]# more .htaccess
authType Basic
authType--------認證類型
     由mod_auth_basic提供的Basic
Basic認證方法並不加密來自用戶瀏覽器的密碼（明文傳輸） 更安全的認證方法"AuthType Digest"，即由mod_auth_digest供的摘要認證
最新的瀏覽器版本才支持MD5認證
（認證，服務器響應速度會受一些影響，一般有幾百個用戶就會對響應速度有非常明顯的影響）



AuthName "Restricted Files"
AuthName "會員區"
此句是顯示給用戶看的

AuthUserFile /etc/httpd/passwords
此目錄接受passwords內定義用戶的認證請求
or
Require macg
此目錄只接受單一用戶macg(unix用戶)認證請求

<Directory ></Directory>中指令的含義

<Directory "/home/macg/www/test">   
        Options All            
        AllowOverride all                      
</Directory>
  Options指令-------目錄的訪問特性
option  none    禁止對目錄的所有操作
option all      允許對目錄的所有操作，ALL---所有操作
option ExecCGI    對該目錄，可以執行cgi腳本
option Indexes    允許訪問該目錄（而該目錄沒有index.html）時，返回目錄下的文件列表                        
option FollowSymLinks       只允許對目錄的FollowSymLinks操作
   AllowOverride指令
None    不讀取.htaccess
all    all----允許.htaccess所有指令，缺省是all
Limit    .htaccess函蓋具體限定的主機(allow,deny)
AuthConfig    .htaccess函蓋跟認證有關指令(AuthType,AuthName) 

<Directory ></Directory> 對下面的所有子目錄也生效

所以httpd.conf中先對根目錄/進行配置，等於是設置缺省配置

httpd.conf中先對根目錄/進行配置，等於是設置缺省配置

<Directory />                                  
    Options FollowSymLinks  禁止對目錄的訪問（option只允許對目錄的FollowSymLinks操作）
    AllowOverride None      不讀取.htaccess
    Order deny,allow        deny all
    Deny from all               

</Directory>


<Directory "/usr/local/apache2/htdocs">

    Options Indexes FollowSymLinks   只允許訪問index和連接   
    AllowOverride None
    Order allow,deny       承接父目錄（/）的deny all,這裏也是deny all
    Allow from all           

</Directory>

order allow deny ————-httpd.conf中封IP之類的操作

Apache模塊 mod_authz_host   
<Directory /docroot>
Order Deny,Allow
Deny from ...
Allow from ...

</Directory> 
  注意順序：
除了後面allow的，其他都deny
典型的封IP
Order Allow,Deny
Allow from all
Deny from 205.252.46.165            
注意順序：
除了後面deny的，其他都allow

Deny from 192.168.2       典型的封網段

上面清楚了 可以設置一個例子

Apache對於多虛擬主機以及多虛擬路徑的配置

ServerName localhost
<Directory />
    AllowOverride none
    Require all denied 
</Directory>
DocumentRoot "/home/work/"

## 保證所有的項目都放在/home/work/目錄， 該目錄只做配置
<Directory "/home/work/">
    Options None
    AllowOverride None
    Require all denied 
</Directory>

httpd-vhosts.conf 首先第一件事就是指定默認的DocumentRoot

# 沒有商量， 必須放在httpd.conf中申明的根路徑
# 不需要severName配置

<VirtualHost 127.0.0.1:8800>
    DocumentRoot "/home/work/www/htdocs"
    <Directory /home/work/www/htdocs>
        AllowOverride none
        Require all granted
    </Directory>
</VirtualHost>

##如果不需要多主機支持，到此爲止

添加虛擬主機，虛擬目錄等等

## 說明： local.baidu.com 爲第一個主機名， 如果多個域名映射設置ServerAlias即可
## Alias 注意“／”的位置

<VirtualHost local.baidu.com:8800>
    DocumentRoot "/home/work/workspace"
    ServerName local.baidu.com
    # ServerAlias local.baidu.com.cn local.baidu.cn

    <Directory /home/work/workspace>
        Options FollowSymLinks
        AllowOverride none
        Require all granted 
    </Directory>

    Alias /phpMyAdmin "/home/work/www/htdocs/phpMyAdmin/"

    # 添加一個日誌分析， rotatelogs需要自己安裝
    LogFormat "{method:\"%m\",state:\"%s\",protocol:\"%H\",url:\"%U\",time:\"%{%Y-%m-%d %T}t\",ua:\"%{User-Agent}i\",query:\"%q\",refer:\"%{Referer}i\",server:\"%V\"}" seo 
    CustomLog "|/usr/sbin/rotatelogs logs/seo_%Y%m%d.log 86400 480" seo
</VirtualHost>

## 同上其他主機配置

當然對於該目錄下個各種配置屬性 不過下面這個是2.2的屬性 在2.4中進行了少許的變更 所以2.4還是要查詢文檔 不過有下面的解釋打底應該很容易

Allow和Deny可以用於apache的conf文件或者.htaccess文件中（配合
Directory, Location, Files等），用來控制目錄和文件的訪問授權。
所以，最常用的是：
Order Deny,Allow
Allow from All

注意“Deny,Allow”中間只有一個逗號，也只能有一個逗號，有空格都會出
錯；單詞的大小寫不限。上面設定的含義是先設定“先檢查禁止設定，沒有
禁止的全部允許”，而第二句沒有Deny，也就是沒有禁止訪問的設定，直
接就是允許所有訪問了。這個主要是用來確保或者覆蓋上級目錄的設置，開
放所有內容的訪問權。

按照上面的解釋，下面的設定是無條件禁止訪問：

Order Allow,Deny
Deny from All

如果要禁止部分內容的訪問，其他的全部開放：

Order Deny,Allow
Deny from ip1 ip2
或者
Order Allow,Deny
Allow from all
Deny from ip1 ip2

apache會按照order決定最後使用哪一條規則，比如上面的第二種方式，雖
然第二句allow允許了訪問，但由於在order中allow不是最後規則，因此還
需要看有沒有deny規則，於是到了第三句，符合ip1和ip2的訪問就被禁止
了。注意，order決定的“最後”規則非常重要，下面是兩個錯誤的例子和
改正方式：

Order Deny,Allow
Allow from all
Deny from domain.org

錯誤：想禁止來自domain.org的訪問，但是deny不是最後規則，apache在
處理到第二句allow的時候就已經匹配成功，根本就不會去看第三句。
解決方法：Order Allow,Deny，後面兩句不動，即可。

Order Allow,Deny
Allow from ip1
Deny from all

錯誤：想只允許來自ip1的訪問，但是，雖然第二句中設定了allow規則，由
於order中deny在後，所以會以第三句deny爲準，而第三句的範圍中又明顯
包含了ip1（all include ip1），所以所有的訪問都被禁止了。
解決方法一：直接去掉第三句。
解決方法二：

Order Deny,Allow
Deny from all
Allow from ip1

下面是測試過的例子：

--------------------------------
Order deny,allow
allow from all
deny from 219.204.253.8
全部都可以通行

-------------------------------
Order deny,allow
deny from 219.204.253.8
allow from all
全部都可以通行

-------------------------------
Order allow,deny
deny from 219.204.253.8
allow from all
只有219.204.253.8不能通行

-------------------------------
Order allow,deny
allow from all
deny from 219.204.253.8
只有219.204.253.8不能通行

-------------------------------

-------------------------------
Order allow,deny
deny from all
allow from 219.204.253.8
全部都不能通行 

-------------------------------
Order allow,deny
allow from 219.204.253.8
deny from all
全部都不能通行 

-------------------------------
Order deny,allow
allow from 219.204.253.8
deny from all
只允許219.204.253.8通行 

-------------------------------
Order deny,allow
deny from all
allow from 219.204.253.8
只允許219.204.253.8通行 

-------------------------------

--------------------------------
Order deny,allow
全部都可以通行（默認的）

-------------------------------
Order allow,deny
全部都不能通行（默認的）

-------------------------------
Order allow,deny
deny from all
全部都不能通行

-------------------------------
Order deny,allow
deny from all
全部都不能通行

-------------------------------

對於上面兩種情況，如果換成allow from all，則全部都可以通行！

-------------------------------
Order deny,allow
deny from 219.204.253.8
只有219.204.253.8不能通行

-------------------------------
Order allow,deny
deny from 219.204.253.8
全部都不能通行

-------------------------------
Order allow,deny
allow from 219.204.253.8
只允許219.204.253.8通行

-------------------------------
Order deny,allow
allow from 219.204.253.8
全部都可以通行

-------------------------------

-------------------------------
order deny,allow
allow from 218.20.253.2
deny from 218.20
代表拒絕218.20開頭的IP，但允許218.20.253.2通過；而其它非218.20開頭的IP也都允許通過。

-------------------------------
order allow,deny
allow from 218.20.253.2
deny from 218.20

和上面的差不多，只是掉換的order語句中的allow、deny先後順序，但最
終結果表示全部都拒絕！

form:http://hi.baidu.com/enjoypain/blog/item/f48c7aecdba298d12f2e21ac.html
前段時間做了個Apache的HTTP代理服務器，其中的order allow，deny這
部分弄的不太懂，於是上網找資料看，誰知道越看越糊塗，其中有些難以分
辨對錯甚至是誤導。就像破解windows系統密碼的一些文章那樣，很多都是
人云亦云的，並沒有經過測試。廢話少說，先把我經過測試後分析總結出來
的結論show出來，相信這對大家的理解非常有幫助。