6.3.8 Apache服务器的密码保护

6.3.8  Apache服务器的密码保护
.htaccess文件是Apache服务器上的一个设置文件。它是一个文本文件，可以使用任何文本编辑器进行编写。.htaccess文件提供了针对目录改变配置的方法，即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件（.htaccess文件），以作用于此目录及其所有子目录。.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名（如index.html）、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等。注意，.htaccess是一个完整的文件名，不是***.htaccess或其他格式（当然也有管理员把其设置成其他名字，但一般都是使用.htaccess）。另外，上传.htaccess文件时，必须使用ASCII模式，并使用chmod命令改变权限为644（RW__R__R__）。每一个放置.htaccess的目录和其子目录都会被.htaccess影响。例如，在/abc/目录下放置了一个. htaccess文件，那么/abc/和/abc/def/内所有的文件都会被它影响，但/index.html不会被它影响，这一点是很重要的。
1．建立.htpasswd文件
首先在设置存取控制的目录（如htdocs）下建立一个文件，文件名可以自行设定，一般服务器都会设置为.htpasswd，该文件是不能由HTTP读取的。.htpasswd文件中的每一行代表一个使用者，使用者的名字及经过加密的密码以冒号“：”分隔。
2．.htaccess文件实现保护
.htaccess文件的内容如下：

authtype basic
authuserfile /usr/home/***/htdocs/.abcname1
authgroupfile /usr/home/***/htdocs/.abcname2
authname information
<limit get post>
require valid-user
</limit>    

其中第二行和第三行中的***可以改为个人的FTP登录名。.abcname1和.abcname2可以是任意的文件名，如.htpasswd, .htpass，但不能是.htaccess。将.htaccess上传到要进行密码保护的目录（如htdocs）中。
.htaccess文件最后的“require”告诉服务器哪些用户可以进入。require valid-user是指只要是.htpasswd中的任何一个都可以进入。也可以指定名单上的某人或某几个人可以通过，使用“require user username”或“require user username1 username2 username3”。还可以指定某组人可以通过，使用“require group groupname”。
3．增加新的许可用户
进入htdocs目录，在命令行状态输入以下命令生成.abcname1文件。

echo > .abcname1
/var/www/bin/htpasswd .abcname1 abc   

abc表示要增加的用户名。输入此命令后，系统会提示输入此用户密码，这样该用户名就生效了。以后如要再增加用户，运行第二行的命令时换一个用户名即可。如果这个用户名存在，则会提示修改密码。
4．建立允许访问的组
组的设置方法是建立一个名为.htgroup的文本文件，内容如下：

groupname1: username1 username2 username3
groupname2: username1 username3 username4  

并在.htaccess中加上“AuthGroupFile /absolute/path/.htgroup”。以ASCII模式上传所有文件后，该目录中的所有文件都会被保护起来。
5．禁止读取文件
如果将某些内容如密码，存放在一个文件中，那么别人只需知道该文件的对应位置，就可以一目了然，这样太不安全。其实完全可以不改变其他设置，也不用将文件移到其他地方就可解决这个问题，只需在.htaccess文件中加入以下几行：

<files filename.ext>
order allow,deny
deny from all
</files>    

如果系统安装的是Apache 1.3以后的版本，更可以支持regular expression的filesmatch。

<filesmatch "\.tmp">
order allow,deny
deny from all
</filesmatch> 

files和filesmatch表示只对符合要求的部分文件生效。“order deny，allow”表示先找出禁止（deny）的，然后去找许可的（allow）。如果将它们的顺序颠倒“order allow，deny”则表示先找出许可的，然后才去找禁止的。“deny from all”则表示全部IP地址都不许可。相对地，“allow from all”表示全部都允许。可以如下设置：

order allow,deny
allow from all
deny from 111.222    

deny from 111.222是指禁止所有以111.222开始的IP地址（如111.222.0.1）。除了设置IP地址外，也可以设置成hostname（如***.com）。“files”和“filesmatch”的用途很多，不但可以设置deny，也可以设置个别文件的密码，如：

<files 123>
require user 123
</files>
<files abc>
require user abc
</files>    

总的来说，通过.htaccess来保护网站更为方便和安全。因为它不像利用程序实现密码保护时，有可能通过猜测的方法获取密码。利用.htaccess文件实现密码保护，一般是很难破解的。上述方案中有一个特点，那就是它使用普通的文本文件来存储验证信息，这就使得查询信息的效率受到了限制。而由于HTTP是无状态的，因此每一次内容被请求时，都要被验证，即使所请求的用户不存在也是如此。当然这对于用户比较少的站点来说根本不是什么问题，因此上述方案适用于用户数量比较少的站点。对于用户数量非常庞大的站点来说，就应该使用带数据模块的方案了。因为在默认情况下，Apache在编译时并不包含数据库模块，所以需要自己来编译和安装Apache服务器。
注意  在Red Hat默认安装和自己编译安装两种情况下，配置文件的位置及其中的一些参数值是不尽相同的，在下面的配置过程中就不一一说明了
此外，在进行编译前，应该删除已有的安装。方法是使用下面的命令查询出所安装的软件包：
rpm -qa|grep httpd
然后使用rpm -e命令进行删除。
下面就来进行配置过程：从站点http://www.apache.org/dist/httpd/下载最新的Apache，本节采用当时的最新版本2.2.45。将下载文件复制至/tmp目录中，运行下面命令：
tar zxvf httpd-2.2.45.tar.gz
解压缩后切换至目录httpd-2.2.45中。运行下面命令：
./configure -enable-module=auth_db
这就是声明在编译时要包含数据库模块，这个过程要花费一些时间。