Apache的目录安全措施

Apache Server 允许使用 .htaccess 做目录安全保护，欲读取这保护的目录需要先键入正确用户帐号与密码。

可做为系统管理者的专用管理网页存放的目录或做为专区，例如教师专区或行政专区使用。

方法为：在你要保护的目录放置一个档案，档名为.htaccss 内容为：

AuthName “行政专区” AuthType “Basic” AuthUserFile “/var/tmp/xxx.pw” (把密码档放在网站外) (一定要大写) require valid-user

到apache/bin目录，开始建密码档

% ./htpasswd -c /var/tmp/xxx.pw username1 (输入两次密码，第一次建档要用参数-c

% ./htpasswd /var/tmp/xxx.pw username2 (输入两次密码)

如此一来，当要连结置於此保护目录内的网页时，就非得要是合法用户不可了．此法简单，保护能力极强，是Apache内附的模组，应善加使用。 如果你们想修改密码，可以如下

htpasswd -m .htpasswd webadmin

第5步：

ok，重启apache服务，然后访问 http://你的网站地址/test 如果顺利的话，应该能看到一个用户验证的弹出窗口，只要填入第4步创建的用户名和密码就行

后话，为了服务器的性能，一般不推荐使用AllowOverride AuthConfig或者AllowOverride ALL，因为这会使服务器会不断的去寻找.htaccess,从而影响服务器的效能，一般我们把一些后台管理界面或者其他特殊目录可能需要加验证这个需求。

如果要对AuthUserFile中的用户再进行筛选，比如有两个用户 webadmin Paul，则要在.htaccess加上 AuthGroupFile /usr/local/apache/htdocs/phpmyadmin/.htgroup Require group admin 其中.htgroup为用户组的文件名，文件内容格式为 admin:webadmin Require group admin的意思是当用户属于admin组的时候才允许访问 ()

• apache