AVOIMET

• Apache
• ASP
• Cold Fusion
• CSS
• DHTML & DOM
• JSP ja servletit
• JavaScript
• Konehuone
• Multimedia
• .NET
• Internet-markkinointi
• Perl
• PHP
• SQL
• VBScript
• XHTML
• XML

REK. KÄYTTÄJILLE

• ActionScript 2.0
• ASP
• Apache
• Dreamweaver MX
• Flash
• Flash Lite 2.0
• Java
• MySQL
• MS Access
• MS IIS
• PHP
• SQL
• XSL

FAQ / UKK

• FAQ

PALVELUT YRITYKSILLE

• Hakukoneoptimointi
• Hakusanamainonta
• Kotisivut
• Koulutus ja kurssit

PALVELUT YKSITYISILLE

• Soittoäänet ja muu mobiiliviihde

Apache

 

Kansioihin ja tiedostoihin liittyvät asetukset

Kiinteä osa palvelimen pääprosessin asetuksia ja tietoturvaa ovat erilaiset kansioihin ja tiedostoihin liittyvät oikeudet ja asetukset. Artikkelin tässä osassa käydään lävitse keskeisimpiä tähän liittyviä ominaisuuksia.

Käyttäjähakemistot

Hyvin läheisesti edellisessä luvussa esiteltyyn DocumentRoot ominaisuuteen liittyvät käyttäjän omat kansiot sekä kansioiden oikeudet. Ominaisuus UserDir määrää käyttäjän kotihakemiston, jos palvelin saa nk."~käyttäjätunnus" - pyynnön (esim. http://www.2kmediat.com/~yllapito/). UserDir-direktiivin avulla voidaan sallia kaikkien paikallisten käyttäjien luoda omat, yksilölliset kotisivunsa.

Mikäli piirre halutaan poistaa, suositellaan arvon piilottamista kommentoimalla. Tällöin myös ko. moduulin lataavan UserDir-moduulin voi kommentoida. Esim.

# UserDir "My Documents/My Website"
# LoadModule userdir_module modules/mod_userdir.so

Apache 2.2.x haarassa ominaisuus UserDir ja muut käyttäjähakemistoihin liittyvät ominaisuudet on siirretty konfigurointitiedostoon /conf/extras/httpd-userdir.conf.

Hakemistojen oikeuksien hallinta

Olennainen osa minkä tahansa verkkopalvelimen tietoturvasta koostuu hakemistojen ja tiedostojen oikeuksien hallinnasta. Apache mahdollistaa hakemistojen hallinnan lohkon <Directory>, ja tiedostojen hallinnan lohkon <Files> avulla. Hakemistojen ja tiedostojen oikeuksia määritellessä on tärkeää muistaa, että usein palvelimen odottaman käytös johtuu puutteellisista oikeuksista. Oletusarvoisesti kaikki mitä ei ole erikseen sallittu on kiellettyä.

Jokainen hakemiston oikeudet voidaan määritellä yksityiskohtaisesti <Directory>-lohkon avulla. Määritellyt ominaisuudet periytävät kaikille alakansioille ellei alakansiolle määritetä omia asetuksia. Apachen oletuskonfiguraatio määrittää kaikille kansioille erittäin rajoittavat oikeudet:

<Directory />
     Options FollowSymLinks
     AllowOverride None
     Order deny,allow
     Deny from all
     Satisfy all 
</Directory> 

Jota seuraa julkaisukansion oikeuksien määrittely :

<Directory "C:/ApacheWeb">
  Options Indexes FollowSymLinks IncludesNoExec
  AllowOverride None
  Order allow,deny
  Allow from 127.0.0.1
  Deny from all
</Directory>

Options direktiivin avulla määritellään mitkä piirteet ovat käytettävissä ko. kansiossa. Mahdolliset arvot ovat:

• All - kattaa kaikki muut optiot paitsi MultiViews (oletusarvo)
• ExecCGI - CGI-skriptien suoritus on sallittu. On suositeltavaa estää CGI-skriptien suorittaminen suoraan julkaisukansiossa, ja määritellä CGI-skripteja varten erillinen CGI-hakemisto.
• FollowSymLinks - palvelin voi seurata symbolisia linkkejä tässä hakemistossa.
• Includes - SSI-komentojen suoritus on sallittu
• IncludesNoExec - SSI-komentojen suoritus on sallittu lukuun ottamatta #exec ja #exec CGI komentoja. Virtuaalisesti linkitettyjen alias-hakemistoissa sijaitsevien CGI-skriptien suoritus on mahdollista, ellei sitä ole niiden omassa hakemistossa estetty.
• Indexes - mikäli hakemiston oletustiedosto (esim. index.html) puuttuu, palautetaan luettelolistaus hakemiston tiedostoista.
• MultiViews - palvelin voi palauttaa pyyntöön parhaiten sopivan sisällön, esim. clientin kielen mukaan valitun virheilmoituksen tai sivun.
• SymLinksIfOwnerMatch - palvelin seuraa symbolisia linkkejä vain jos käyttäjä on niiden omistaja.
• Tai mikä tahansa em. yhdistelmä välilyönnillä erotettuna
• None: Mitään erikoispiirteitä ei lisätä.

AllowOverRide ominaisuus määrittelee nk. .htaccess-kontrollitiedostojen käyttämisen kyseisessä kansiossa (ja mahdollisissa alikansioissa). AllowOverRide-direktiivin mahdolliset arvot ovat:

• All - kaikki komennot, joita voidaan suorittaa .htaccess tiedostoissa.
• AuthConfig - sallii tunnistuskomentojen (AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, AuthType, AuthUserFile, Require, etc.). käyttämisen.
• FileInfo - sallii dokumenttien hallintaan liittyvien komentojen (DefaultType, ErrorDocument, ForceType, LanguagePriority, SetHandler, SetInputFilter, SetOutputFilter, mod_mime Add*, Remove* etc.) käyttämisen.
• Indexes - sallii hakemiston indeksointiin liittyvien komentojen (AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOptions, ReadmeName, etc.) käyttämisen.
• Limit - sallii oikeuksien hallintaan liittyvien komentojen (Allow, Deny and Order) käyttämisen.
• Options - sallii hakemistojen hallintaan liittyvien komentojen (Options and XBitHack) käyttämisen.
• Tai mikä tahansa em. yhdistelmä välilyönnillä erotettuna
• None - .htaccess tiedostoa ei suoriteta

AllowOverRide ominaisuus suositellaan jätettävän pääpalvelun julkaisukansiotasolla arvoon none, ja hyödynnettävän sitä virtuaalipalveluiden (sivustojen) tasolla.

Oletusarvoisesti Apache asentaa mod_apache-moduulin, joka säätelee asiakkaan pääsyä palvelimen resursseihin. Rajoittavia tekijöitä voivat olla mm. IP-osoite, DNS tai muu clientin yksilöllinen piirre. Salliminen ja kieltäminen tapahtuu hyödyntämällä direktiivejä Order, Allow ja Deny.

Order ominaisuus määrää komentojen Allow ja Deny suoritusjärjestyksen. Etenkin jos ominaisuuden Deny arvona on all, on tärkeää että ominaisuuden arvo on järjestyksessä "allow, deny". Tällöin Apache kieltää kaiken sisääntulevan liikenteen, ja tekee siihen tarvittavat aukot. Jos säännön arvo olisi toisinpäin, sallisi Apache kaiken sisääntulevan liikenteen ja sen jälkeen kieltäisi sen. Kehityskäyttöä ajatellen vain paikallisen liikenteen salliva sääntö on erittäin hyvä:

Order allow,deny
Allow from 127.0.0.1
Deny from all

Tiedostojen oikeuksien hallinta

<Files>-lohkoa voidaan käyttää samaan tapaan kuin <Directory>-lohkoa tosin vaikutukset ovat rajoittuneita tiedostoihin. Oletusarvoisesti Apachen konfiguraatio suojaa kaikki .ht-alkuiset tiedostot (esim. konfigurointiteidoston .htaccess ja salasanatiedoston .htpasswd):

<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

Menetelmää voi hyödyntää hyvinkin pienillä muutoksilla estämään esim.. MP3, EXE ym. "haitallisten" tiedostojen lataamisen pois palvelimelta.

Ominaisuus DirectoryIndex määrittää hakemiston oletustiedoston, joka näytetään jos käyttäjä pyytää resurssia hakemiston nimellä (esim. http://www.2kmediat.com/apache/). Perinteisesti oletustiedoston nimenä on joko index.tiedostopääte tai default.tiedostopääte.

<IfModule dir_module>
     DirectoryIndex index.html index.php index.php5 index.cgi 
</IfModule>

Ominaisuus AccessFileName määrittelee kansiotasolla käytettävän kontrollitiedoston nimen. Perinteisesti Apachessa tämä on nimeltään .htaccess:

AccessFileName .htaccess

Apache 2.2.x sarjassa ominaisuus AccessFileName määritellään konfiguraatiotiedostossa /conf/extras/httpd-default.conf.

Apache 2.2.x sarjassa huomattava osa nk. indeksinäkymään liittyvistä ominaisuuksista (esim. IndexIgnore) on siirretty konfiguraatiotiedostoon /conf/extras/httpd-autoindex.conf

Tutustu artikkelin muihin osiin:
»»» Apache-opas »»» Apachen kansiot ja tiedostot
»»» Apache-opas »»» Tiedostojen httpd.conf ja .htaccess esittely
»»» Apache-opas »»» Apachen yleiset ominaisuudet
»»» Apache-opas »»» Palvelimen emoprosessin ominaisuudet
»»» Apache-opas »»» Kansioihin ja tiedostoihin liittyvät asetukset
»»» Apache-opas »»» Lokitiedostot ja niiden hallinta
»»» Apache-opas »»» Aliakset
»»» Apache-opas »»» CGI, SSI ja PHP-tuen käyttöönottaminen
»»» Apache-opas »»» Tuki monikielisyydelle
»»» Apache-opas »»» Mukautetut virheilmoitukset
»»» Apache-opas »»» Palvelimen tietojen katseleminen selaimen avulla
»»» Apache-opas »»» Virtuaalipalvelut
»»» Apache-opas »»» Httpd.conf tiedoston esimerkki

Tallenna tämä sivu kirjanmerkkeihin!