三期总目录链接
目录
一、基本理论
(一)、客户机地址限制
(二)、用户授权限制
二、实验要求
1、默认情况
2、只允许客户端192.168.1.200访问网站应该如何修改配置文件并验证
3、进行用户授权配置,允许aaa 和boss 这两个账户通过验证访问
4、如果只允许boss 账户访问 aaa 网站应该如何设置
一、基本理论
目的:通过访问控制尽量提升Web 服务器的安全
(一)、客户机地址限制
主配置文件: /usr/local/httpd/conf/httpd.conf 中
默认情况: 网站服务器是对所有客户机开放的,网页目录未做任何限制; 配置项是:
Require all granted (允许所有客户机访问)
可根据不同情况进行相关修改:
1)、拒绝所有主机访问: 应改为: Require all denied
2)、仅允许某个IP地址的主机访问: 应改为: Require ip 主机的IP地址
3)、仅允许某个网段的主机访问: 应改为: Require ip 网段 (可以跟多个网段,中间用空格隔开)
4)、仅拒绝某个地址或某个网段: 注意:使用not 禁止访问时,配置项需要放在 容器中
该配置应该是:
Require not ip 某个地址 或 某个网段 (仅拒绝某个地址或网段)
Require all granted (允许所有)
如果要拒绝某个主机名或域名的访问,则修改为:
Require all granted (允许所有)
Require not host 主机名或域名
(二)、用户授权限制
目的: 实现在访问Apache 网站服务器时需要用户名和密码的验证才能正常访问网站(通过识别用户身份,达到控制用户访问网站特定目录的功能)
httpd 服务器支持的认证方式: 摘要认证(Digest) 和 基本认证(Basic)
注意: 如果是实现摘要认证需要在编译安装时添加 “--enable-auth-digest" 选项(不是所有的浏览器都支持摘要认证)
基本认证: 是httpd 服务器的基本功能
二、实验要求
1、默认情况下,2个客户端都可以访问Apache 网站
2、只允许客户端2访问网站应该如何修改配置文件并验证
3、进行用户授权配置,允许aaa 和boss 这两个账户通过验证访问
4、如果只允许boss 账户访问Apache 网站应该如何设置
- 实验步骤
使用上一次的机器 centos7web服务器 地址192.168.1.2/24 DNS1=192.168.1.2
客户机 地址 192.168.1.200/24
客户机 地址 192.168.1.201/24
1、默认情况
下,2个客户端都可以访问Apache 网站
2、只允许客户端192.168.1.200访问网站应该如何修改配置文件并验证
进入配置文件 vim /usr/local/httpd/conf/httpd.conf中
仅允许192.168.1.200地址的主机访问
3、进行用户授权配置,允许aaa 和boss 这两个账户通过验证访问
(1)、创建用户认证数据文件 : (使用Apache 安装后自带的htpasswd 工具进行创建)
htpasswd -c /usr/local/httpd/conf/.awspwd aaa (创建一个隐藏的数据文件,该文件中包含名为webadmin 的用户信息)(回车)——连续输入两次密码(该密码就是 aaa 的密码)
htpasswd /usr/local/httpd/conf/.awspwd boss (在原有数据文件,添加名为boss 的用户信息)
cat /usr/local/httpd/conf/.awspwd (查询、确认刚刚创建的用户信息)
(2)、添加用户授权配置
注意: 需要修改主配置文件中的特定区域
vim /usr/local/httpd/conf/httpd.conf
找到: (网站根目录区域)
在区域中添加配置项:
删除: Require all granted (删除允许任何访问)
添加: AuthName “保护的域名”
AuthType Basic (认证类型是基本认证)
AuthUserFile /usr/local/httpd/conf/.awspwd (认证文件,也就是所保存的用户名和密码的数据文件)
Require valid-user (授权所有的合法用户)
保存退出
重启httpd服务: systemctl restart httpd
验证: 发现访问网页时需要输入用户名密码即可正常访问 (默认所有的合法的授权账户都可访问)
4、如果只允许boss 账户访问 aaa 网站应该如何设置
修改: 将 Require valid-user 改为 Require user boss (如果授权多个账户,中间用空格隔开)
保存退出,重启Httpd 服务
验证: 发现其他的授权账户不能访问网站,只有boss 可以访问网站