Михаил Евгеньевич Флёнов - Linux глазами хакера

«дверь» для
хакера.
Я обратил внимание, что модуль rewrite не загружается. Давайте исправим это и
заодно посмотрим, как можно включить новые модули. Для этого выполняем
команду:
sudo a2enmod rewrite

Здесь a2enmod — это программа, которая помогает включать новые модули, а
rewrite — это имя модуля. Проверьте еще раз каталог /etc/apache2/mods-enabled
и убедитесь, что вы видите там файл rewrite.load.
Все установленные в системе модули (и активированные, и неактивированные)
можно увидеть в каталоге /etc/apache2/mods-avalable.
Мы включили модуль, но изменения не вступят в силу, пока мы не перезагрузим
Apache. Для этого выполняем команду:
sudo /etc/init.d/apache2 restart

7.3. Права доступа
Снова возвращаемся в основной файл конфигурации /etc/apache2/apache2.conf, но
теперь поговорим о правах доступа к каталогам. Они описываются следующим
образом:

Order allow,deny
Allow from all


Tlgm: @it_boooks

232

Глава 7

или, например, так:

SetHandler server-status
Order deny,allow
Deny from all
Allow from .your-domain.com


Первое объявление разрешает доступ к определенному каталогу на диске (в нашем
случае к /var/www/html), а второе — ограничивает доступ к виртуальному каталогу
(в приведенном примере: http://servername/server-status), разрешая его только
клиентам из домена your-domain.com.
Если вы знакомы с HTML (HyperText Markup Language, язык разметки гипертекста)
или XML (Extensible Markup Language, расширенный язык разметки), то такое объявление будет вам знакомо и более или менее понятно без дополнительных пояснений. Для тех, кто не в курсе, я сделаю несколько пояснений на примере каталогов.
Итак, объявление начинается со следующей строки:


В угловых скобках указывается ключевое слово Directory и путь к каталогу, права
доступа к которому нужно изменить. Это начало описания, после которого идут
команды, определяющие права. Блок заканчивается строкой:


Параметры доступа к каталогу могут быть описаны не только в основном конфигурационном файле, но и в файле .htaccess, который может находиться непосредственно в самом каталоге.
П РИМЕЧАНИЕ
Что я имею в виду под основным файлом? В зависимости от дистрибутива, это может
быть /etc/apache2/apache2.conf или /usr/local/apache2/conf/httpd.conf (какие конфигурационные файлы используются в каких дистрибутивах, можно увидеть на странице:
https://wiki.apache.org/httpd/DistrosDefaultLayout). Далее я в основном буду ссылаться на httpd.conf, который является конфигурационным файлом по умолчанию (в том
числе у меня на macOS), хотя в Ubuntu это файл apache2.conf.

Сам файл .htaccess требует отдельного рассмотрения (см. разд. 7.5.1), а сейчас вы
должны только знать, что разрешения, указанные в конфигурации веб-сервера,
могут быть переопределены.
При задании прав доступа следует иметь в виду, что Apache просматривает разрешения и запреты для всех каталогов, находящихся в иерархии выше запрошенного.
При определении прав доступа к каталогу сперва определяются права доступа
к корневому каталогу, которые затем могут быть переопределены правами доступа
к любому подкаталогу, лежащему в пути к запрошенному документу. Это позволяет эффективно управлять правами.

Tlgm: @it_boooks

Веб-cервер

233

Поскольку мы думаем о безопасности, надо вспомнить наше основное правило: запрещено все, что не разрешено явно. Поэтому имеет смысл поместить в основной
конфигурационный файл (httpd.conf или apache2.conf) следующие строки:

Order deny,allow
Deny from all


которые запрещают доступ к любым каталогам, а затем открыть доступ только
к тем каталогам, к которым он необходим. Теперь если на сервере создать новый
каталог, а права доступа к нему не прописать, то доступ к нему будет закрыт, кроме
тех случаев, когда каталог создан внутри каталога с уже открытым доступом.
А сейчас рассмотрим, как задаются права доступа. Для этого служат следующие
директивы:
 Allow from параметр — определяет, с каких хостов можно получить доступ

к указанному каталогу. В качестве параметр можно использовать одно из следующих значений:
• all — разрешает доступ к каталогу всем;
• доменное имя — определяет домен, с которого можно получить доступ к каталогу. Например, можно указать domain.com. В этом случае только пользователи этого домена смогут получить доступ к каталогу через сеть. Если какаялибо папка содержит опасные файлы, с которыми должны работать только вы,
то лучше ограничить доступ своим доменом или только локальной машиной,
указав Allow from localhost;
• IP адрес — сужает доступ к каталогу до определенного IP-адреса. Это очень
удобно, когда у вашего компьютера --">