四、Apache Server基于主機的訪問控制

　　Apache Server默認情況下的安全配置是拒絕一切訪問。假定Apache Server內(nèi)容存放在/usr/local/apache/share 目錄下，下面的指令將實現(xiàn)這種設(shè)置：

　　<Directory  /usr/local/apache/share>
　　Deny from all
　　AllowOverride None
　　</Directory>

　　則禁止在任一目錄下改變認證和訪問控制方法。

　　同樣，可以用特有的命令Deny、Allow指定某些用戶可以訪問，哪些用戶不能訪問，提供一定的靈活性。當Deny、Allow一起用時，用命令Order決定Deny和Allow合用的順序。

　　1、拒絕某類地址的用戶對服務(wù)器的訪問權(quán)（Deny）

　　如：Deny from all
　　Deny from test.cnn.com
　　Deny from 204.168.190.13
　　Deny from 10.10.10.0/255.255.0.0

　　2、允許某類地址的用戶對服務(wù)器的訪問權(quán)（Allow）

　　如：Allow from all
　　Allow from test.cnn.com
　　Allow from 204.168.190.13
　　Allow from 10.10.10.0/255.255.0.0
　　Deny和Allow指令后可以輸入多個變量。

　　3、實例：

　　Order Allow, Deny
　　Allow from all
　　Deny from www.***.com

　　則，想讓所有的人訪問Apache服務(wù)器，但不希望來自www.***.com的任何訪問。

　　Order Deny, Allow
　　Deny from all
　　Allow from test.cnn.com

　　則，不想讓所有人訪問，但希望給test.cnn.com網(wǎng)站的來訪。

　　有關(guān)訪問控制的高級設(shè)置請閱讀UNIX系統(tǒng)管理書籍。

　　五、Apache Sever的用戶認證與授權(quán)

　　概括的講，用戶認證就是驗證用戶的身份的真實性，如用戶帳號是否在數(shù)據(jù)庫中，及用戶帳號所對應(yīng)的密碼是否正確；用戶授權(quán)表示檢驗有效用戶是否被許可訪問特定的資源。在Apache中，幾乎所有的安全模塊實際上兼顧這兩個方面。從安全的角度來看，用戶的認證和授權(quán)相當于選擇性訪問控制。

　　建立用戶的認證授權(quán)需要三個步驟：

　　（1）建立用戶庫

　　用戶名和口令列表需要存在于文件（mod_auth模塊）或數(shù)據(jù)庫（mod_auth_dbm模塊）中。基于安全的原因，該文件不能存放在文擋的根目錄下。如，存放在/usr/local/etc/httpd下的users文件，其格式與UNIX口令文件格式相似，但口令是以加密的形式存放的。應(yīng)用程序htpasswd可以用來添加或更改程序：

　　htpasswd –c /usr/local/etc/httpd/users martin

　　-c表明添加新用戶，martin為新添加的用戶名，在程序執(zhí)行過程中，兩次輸入口令回答。用戶名和口令添加到users文件中。產(chǎn)生的用戶文件有如下的形式：

　　martin:WrU808BHQai36
　　jane:iABCQFQs40E8M
　　art:FadHN3W753sSU

　　第一域是用戶名，第二個域是用戶密碼。