Доступ и идентификация

Модули

Установка псевдонимов

Access.conf: файл доступа к серверу

Файл доступа к серверу (/usr/local/etc/httpd/conf/access.conf) позволяет включать либо выключать сопровождение некоторых возможностей на уровне отдельных каталогов. Кроме того, этот файл используется для ограничения доступа к вашему серверу некоторых пользователей и компьютеров.

Файл access.conf предоставляет три варианта описания доступа: один для каталога cgi-bin, другой для каталога документов, а третий демонстрирует возможности управления доступом к различным каталогам.

Первое описание позволяет управлять каталогом сценариев CGI. В

файле используется синтаксис языка HTML, в котором тег <Directory

/usr/local/etc/httpd/cgi-bin> отмечает начало секции с описанием опций для используемого сервером по умолчанию каталога cgi-bin. Эту секцию закрывает тег </Directory>.

Вторая директива должна выглядеть следующим образом:

<Directory /usr/local/etc/httpd/htdocs>

Третья директива, <Location>, подобна директиве <Directory>,

только вместо названия каталога указывается адрес URL.

Привести в соответствие отдельным адресам URL каталоги в системе можно, воспользовавшись директивой Alias в файле srm.conf. Это дает возможность предоставлять клиентам файлы, находящиеся не в корневом каталоге для документов или его подкаталогах. Например, если нужно предоставлять документы из каталога /public/ftp/multimedia, можно сделать

их доступными на сервере ShoopSoft по запросу адреса URL http://www.shoopsoft.com/multimedia:

Alias /multimedia /public/ftp/multimedia

При настройке сервиса Apache очень важным звеном являются модули. Их загрузка описана в /etc/httpd/conf/httpd.conf следующим образом:

<IfDefine HAVE_PERL>

LoadModule perl_module modules/libperl.so

</IfDefine>

Если установлен параметр HAVE_PERL, то команда LoadModule загружает модуль modules/libperl.so, необходимый для интерпретации perl-сценариев.

Неиспользуемые модули необходимо отключить.

Модуль mod_security

Несмотря на то, что безопасность Web-сервера, в основном, зависит от выполняемых на нем сценариев и программистов, которые пишут эти скрипты, есть возможность защитить сервер вне зависимости от этих факторов: использовать бесплатный модуль для Apache под названием mod_security.

Принцип действия модуля схож с сетевым экраном, но в данном случае он специально разработан для обеспечения взаимодействия по протоколу HTTP. Модуль на основе правил, которые задает администратор, анализирует запросы пользователей к серверу и выносит свое решение о возможности пропустить пакет к Web-серверу. После установки модуля в файле httpd.conf можно будет использовать дополнительные директивы фильтрации запросов:

· SecFilterEngine On – включить режим фильтрации запросов;

· SecFilterCheckURLEncoding On – проверять кодировку URL;

· SecFilterForceByteRange 32 126 – использовать символы только из указанного диапазона;

· SecAuditLog logs/audit_log – определяет файл журнала, в котором будет сохраняться информация об аудите;

· SecFilterDefaultAction "deny,log,status:406" – задает действие по умолчанию;

· SecFilter xxx redirect:http://www.webkreator.com –обеспечивает переадресацию. Если правила соблюдены, то пользователь будет перенаправлен на сайт http://www.webkreator.com;

· SecFilter /etc/passwd – устанавливает запрет на использование в запросе пользователя обращения к файлу /etc/passwd;

· SecFilter /bin/ls – отказ пользователям в обращении к директивам (в данном случае запрещается команда ls).

Модуль mod_ssl

При использовании модуля mod_ssl, в конец файла httpd.conf добавляется раздел, который имеет отношение к SSL.

Лучше разделить два дерева подкаталогов, которые будут использоваться для защищенной и незащищенной части Web-сервера. Значение параметров ServerName может быть одним и тем же для обоих серверов, так как для обращения к защищенному серверу клиент будет использовать префикс https.

Любой файл или каталог попадает в карту ресурсов сервера Apache и может передаваться клиенту по запросу, если он находится в одном из подкаталогов каталога ServerRoot; в каталоге ServerRoot имеется символьная ссылка на него; он указан в директиве Alias; он находится в подкаталоге publc_html в домашнем каталоге пользователя. Cервер Apache предоставляет возможности точной настройки клиентского доступа и уровней доступа пользователей к информации.

Для этого есть два способа. Первый заключается в настройке глобального файла конфигурации доступа к серверу,

/usr/local/etc/httpd/conf/access.conf. В этом файле можно задавать политику предоставления доступа для всего сервера в целом. Имеется возможность ограничивать доступ к определенным каталогам на сервере на основе IP- адресов или имен компьютеров клиентов. Можно также защитить каталоги паролями, разрешая доступ к серверу только определенным пользователям или группам пользователей.

В отличие от централизованных ограничений на доступ к информации и ее использования, второй способ является децентрализованным. Каждый отдельный пользователь, поддерживающий

на Web-сервере свой Web-каталог, может управлять доступом клиентов к этому каталогу посредством файла.htaccess. Разрешения, описанные в таком файле, действуют на каталог, в котором он находится. Вдобавок, пользователи могут использовать собственные значения директив, находящихся в файлах srm.conf и access.conf, если разрешить эту возможность в глобальном файле управления доступом.

Дата добавления: 2014-12-07; Просмотров: 463; Нарушение авторских прав?; Мы поможем в написании вашей работы!