若有使用 APACHE 的存取認證機制,如: .htaccess ,對於密碼檔該採何保護措施?

edited 十月 2013 in 伺服器環境
├128┤ Q1:
若有使用 APACHE 的存取認證機制,如: .htaccess file
那麼如下路徑的密碼檔 -- access.passwd ,該採取什麼樣的保護措施較好.
AuthUserFile /home/user1/access.passwd

=>
一般是用以下方式,還是有更好的做法?
$ vi httpd.conf

<Files ~ "\.passwd$">
Order allow,deny
Deny from all
</Files>

=>
access.passwd 的 access mode 又該怎麼設才完美?


├128┤ Q2:
我在某 APACHE 書上翻到如下例子(感覺好像沒寫完整),想請問可以這樣用嗎?
其合法的帳戶參考自何處,完整的實例應該長什麼樣呢?
<Limit POST>
Require valid-user
</Limit>

原始討論: http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=665

評論

  • edited 七月 2005
    關於Q1:

    假若我的 HTTPD.CONF 中的:
    USER:nobody
    GROUP:nobody
    那麼,關於 AuthUserFile 檔案-- /home/user1/access.passwd 的權限是否設成:nobody nobody other 依序為 7 5 0

    而如果還要考慮到遠端的 client user 利用 http 請求檔案: access.passwd 的情況,
    是否只須將此檔案安置於 DocumentRoot(web tree) 之外就ok了?

    而若還是要放在 DocumentRoot (web tree) 範圍內的話,就採如下方式...以上是我的想法,不知對不對?

    $ vi httpd.conf

    <Files ~ "\.passwd$">
    Order allow,deny
    Deny from all
    </Files>
Sign In or Register to comment.