1. 首页
  2. MYSQL
  3. [转]apache 设置目录访问权限,Linux文件权限

[转]apache 设置目录访问权限,Linux文件权限

mysql阅读 3755

个人学习笔记,部分资料来自网络,有些找不到出处,如有侵权立马删除。

Linux下Web目录和文件安全权限设置

在Linux下,web目录和文件权限必须从整体上考虑系统的安全。一般情况下,对目录,需要设置 r(读取)和x(执行)权限,有的目录同时还需要w(写入权限)

;对文件,需要r(读取),有的文件需要w(写入)权限或x(执行)权限。

在Linux系统中,使用命令umask设置创建文件或目录的默认rwx权限,系统默认的umask设置是022,这个权限的计算相当于文件、目录权限的掩码,例如此时

创建的目录权限755 (rwxr-xr-x),那么其umask权限相当于相对777的掩码022;而此时创建的文件权限为644 (rw-r–r–),其umask权限相当于相对666的掩

码022。

当然,这样的权限设置很不安全,同一台server上的不同用户(可能相同也可能不同用户组)/虚拟主机用户能够互相窥探到对方的源码,umask值必须修改的

比较严格,以使得除root权限之外,不能随意互相窥探其他人的源码、数据库资料等。

设置方法是:去掉同用户组和其他用户组的r(读取)权限,具体做法是设置目录权限为500(读取+执行)同时文件权限为400(读取),此时umask应设置为277,

设置目录权限为700(读取+写入+执行)同时文件权限为500(读取+执行),此时umask应设置为177。

例如对于后者,我们可以使用命令 umask 177设置当前对话下的默认目录、文件创建权限,如果要永久设置,就要修改/root/.bash_profile以及所有用户

home的录下的.bash_profile文件,将其中的 umask 022改为 umask 177。

从以上可以看出,如果要设置较为安全的目录、文件权限,几个基本原则就是:

1、尽可能减少web路径下可写入目录的数量。

2、文件的写入和执行权限只能选择其一,避免同时出现写入和执行权限。

-------------------------

可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表,方法如下

【apache配置禁止访问】

1. 禁止访问某些文件/目录

增加Files选项来控制,比如要不允许访问 .inc 扩展名的文件,保护php类库:

Order allow,deny

Deny from all

禁止访问某些指定的目录:(可以用 来进行正则匹配)

Order allow,deny

Deny from all

通过文件匹配来进行禁止,比如禁止所有针对图片的访问:

Order allow,deny

Deny from all

针对URL相对路径的禁止访问:

Order allow,deny

Deny from all

针对代理方式禁止对某些目标的访问( 可以用来正则匹配),比如拒绝通过代理访问cnn.com:

Order allow,deny

Deny from all

2. 禁止某些IP访问/只允许某些IP访问

如果要控制禁止某些非法IP访问,在Directory选项控制:

Order allow,deny

Allow from all

Deny from 10.0.0.1 #阻止一个IP

Deny from 192.168.0.0/24 #阻止一个IP段

只允许某些IP访问,适合比如就允许内部或者合作公司访问:

Order deny,allow

Deny from all

All from example.com #允许某个域名

All from 10.0.0.1 #允许一个iP

All from 10.0.0.1 10.0.0.2 #允许多个iP

Allow from 10.1.0.0/255.255.0.0 #允许一个IP段,掩码对

All from 10.0.1 192.168 #允许一个IP段,后面不填写

All from 192.168.0.0/24 #允许一个IP段,网络号

Apache:解决办法;

Options -Indexes FollowSymLinks

AllowOverride All

Order allow,deny

Deny from all

----------------------

在apache中设置禁止在浏览器中访问.svn版本库目录中的文件

http://blog.csdn.net/qidizi/article/details/8732362

一般来说,不需要有区别处理.所以直接在全局配置文件上做对.svn目录访问做限制即可

在apache的配置文件中任何一处输入

#deny access .svn by web site;and Redirect to home -- qidizi

Redirect 303 / http://www.qidizi.net/#

# Deny From All

redirect

加#号会自动转成 /#.svn/dkkd?q=.svn/dkkdff

加?error=会变成 /?error=.svn/dkkd

如果什么都不加会出现问题

然后保存重启apache即可

然后测试访问

就会收到以下提示

Forbidden

You don't have permission to access /.svn/entrieson this server.

Apache/2.2.14 (Ubuntu) Server at www.chinahrd.net Port 80

---------------------

对于某些文件的保护,可以认为只给Apache权限不给用户(浏览器)权限即可么???

相关推荐

Copyright © 2008-2024渝ICP备2022006305号-5.

本站所有数据收集于网络如有侵犯到您的权益请联系,进行下架处理。