1

我想通过在 httpd.conf 文件中使用“Allowoverride FileInfo”来了解安全问题,它允许 htaccess 文件(我的 htaccess 文件只进行在 zend2 中定义的重定向)。我正在为我的项目使用 zend 框架 2.x(就像一些购物车网站一样)。

I have researched and I got the following information.

 1. Better to place "Allowoverride FileInfo" inside "Directory" directive for better      performance.
 2. Use "AccessFileName .config" instead of allowing .htaccess we can use .config, which might help some way security.
 3. Just copiying the htaccess code to httpd.conf file(for which there is no security risk, as "Allowoverride None" is used).

但没有关于安全问题,这是主要问题。

Could somebody help me with information if .htaccess file is used.

1. What are the security measures I have to take care ?.
2. Is there a chance of intrusion?.

谢谢,迪利普。

4

2 回答 2

0

这是个好问题。作为答案的开始,如核心文档所述:Apache HTTP Server Version 2.4, FileInfo 权限执行以下操作:

文件信息

允许使用控制文档类型的指令(ErrorDocument、ForceType、LanguagePriority、SetHandler、SetInputFilter、SetOutputFilter 和 mod_mime Add* 和 Remove* 指令)、文档元数据(Header、RequestHeader、SetEnvIf、SetEnvIfNoCase、BrowserMatch、CookieExpires、CookieDomain、CookieStyle 、CookieTracking、CookieName)、mod_rewrite 指令(RewriteEngine、RewriteOptions、RewriteBase、RewriteCond、RewriteRule)、mod_alias 指令(Redirect、RedirectTemp、RedirectPermanent、RedirectMatch)和来自 mod_actions 的 Action。

因此,如果任何可能控制.htaccess目录树中文件的人滥用这些指令中的任何一个,那么您可能会遇到问题。例如,如果您将控制权委托给您的目录树的某些部分,您应该相信这些管理员可以使用所有这些指令。

但也要注意,一般来说,从 conf 文件进行配置比使用.htaccess.

但是,如果您有充分的理由使用.htaccess,并且可以有效控制整个目录树中的所有内容,或者至少是文件,那么只要您使用每个指令,.htaccess似乎不应该增加太多安全风险AllowOverride FileInfo您选择以安全的方式使用。

于 2020-10-08T16:24:56.380 回答
-1

您可以使用网页安全脚本(自制或付费(我制作它们)来跟踪页面浏览量以及来自什么 IP 和时间,或者使用您的日志,您还可以制作授权文件(我制作它们并可以帮助您) ) 并使其自动禁止不正确的登录尝试,对于其他事物(网页除外),例如 ftp,您可以使用 ssl 或 rsa 安全证书,每次尝试都会更改,vpn 证书也是如此,但它确实是您需要的,通过默认 .htaccess 文件应设置为只读且从不允许覆盖(使用您的 apache2 conf 文件)。我希望这能回答您的问题,如果不是的话,可能会告诉我更多关于您希望保护的内容,我目前正在制作一个脚本在未经授权的用户泄露或访问某个文件/页面时向您发送电子邮件。

于 2013-12-12T00:39:49.890 回答