三期总目录链接

目录

一、基本理论

（一）、客户机地址限制

（二）、用户授权限制

二、实验要求

1、默认情况

2、只允许客户端192.168.1.200访问网站应该如何修改配置文件并验证

3、进行用户授权配置，允许aaa 和boss 这两个账户通过验证访问 

4、如果只允许boss 账户访问 aaa 网站应该如何设置

---

一、基本理论

目的：通过访问控制尽量提升Web 服务器的安全

（一）、客户机地址限制

主配置文件： /usr/local/httpd/conf/httpd.conf 中

默认情况： 网站服务器是对所有客户机开放的，网页目录未做任何限制； 配置项是： 

Require   all   granted   （允许所有客户机访问）

可根据不同情况进行相关修改：

1）、拒绝所有主机访问：  应改为：  Require   all   denied

2）、仅允许某个IP地址的主机访问：  应改为： Require  ip  主机的IP地址

3）、仅允许某个网段的主机访问：    应改为： Require  ip   网段 （可以跟多个网段，中间用空格隔开）

4）、仅拒绝某个地址或某个网段： 注意：使用not 禁止访问时，配置项需要放在 容器中

     该配置应该是：

Require  not  ip   某个地址 或 某个网段   （仅拒绝某个地址或网段）

Require  all  granted   (允许所有）

如果要拒绝某个主机名或域名的访问，则修改为：

Require  all  granted   (允许所有）

Require  not  host   主机名或域名

（二）、用户授权限制

目的： 实现在访问Apache 网站服务器时需要用户名和密码的验证才能正常访问网站（通过识别用户身份，达到控制用户访问网站特定目录的功能）

httpd 服务器支持的认证方式： 摘要认证（Digest） 和 基本认证（Basic）

注意： 如果是实现摘要认证需要在编译安装时添加 “--enable-auth-digest" 选项（不是所有的浏览器都支持摘要认证）

基本认证： 是httpd 服务器的基本功能

二、实验要求

1、默认情况下，2个客户端都可以访问Apache 网站

2、只允许客户端2访问网站应该如何修改配置文件并验证

3、进行用户授权配置，允许aaa 和boss 这两个账户通过验证访问 

4、如果只允许boss 账户访问Apache 网站应该如何设置 

• 实验步骤

使用上一次的机器   centos7web服务器 地址192.168.1.2/24   DNS1=192.168.1.2

                      客户机     地址   192.168.1.200/24

                      客户机      地址  192.168.1.201/24

1、默认情况

下，2个客户端都可以访问Apache 网站

2、只允许客户端192.168.1.200访问网站应该如何修改配置文件并验证

进入配置文件  vim /usr/local/httpd/conf/httpd.conf中

仅允许192.168.1.200地址的主机访问

3、进行用户授权配置，允许aaa 和boss 这两个账户通过验证访问 

（1）、创建用户认证数据文件 ： （使用Apache 安装后自带的htpasswd 工具进行创建）

htpasswd -c /usr/local/httpd/conf/.awspwd  aaa  （创建一个隐藏的数据文件，该文件中包含名为webadmin 的用户信息）（回车）——连续输入两次密码（该密码就是  aaa 的密码）

htpasswd  /usr/local/httpd/conf/.awspwd boss   （在原有数据文件，添加名为boss 的用户信息）

cat /usr/local/httpd/conf/.awspwd     （查询、确认刚刚创建的用户信息）

(2)、添加用户授权配置

注意： 需要修改主配置文件中的特定区域

vim  /usr/local/httpd/conf/httpd.conf

找到：  (网站根目录区域）

在区域中添加配置项：

       删除： Require all granted     （删除允许任何访问）

       添加： AuthName  “保护的域名”

              AuthType  Basic      （认证类型是基本认证）

              AuthUserFile /usr/local/httpd/conf/.awspwd   （认证文件，也就是所保存的用户名和密码的数据文件）

              Require valid-user  （授权所有的合法用户）

保存退出

重启httpd服务：  systemctl  restart  httpd

验证： 发现访问网页时需要输入用户名密码即可正常访问  （默认所有的合法的授权账户都可访问）

4、如果只允许boss 账户访问 aaa 网站应该如何设置

修改： 将 Require  valid-user  改为 Require  user  boss  （如果授权多个账户，中间用空格隔开）

保存退出，重启Httpd 服务

验证： 发现其他的授权账户不能访问网站，只有boss 可以访问网站