在此提醒下读者朋友，请不要把.htgroup和.htpasswd文件等敏感文件放在网站目录下。有的文章直接放其放在和.htaccess文件同一个目录下，这种做法是非常不明智的。想破解网站的朋友都不需要破解了，直接把这两个文件下载下来就搞定了，哪里还有安全性可言^_^

小技巧：防止用户访问指定的文件
系统中有一些文件是不适宜提供给WWW用户的，如：.htaccess、htpasswd、*.pl等，可以用<Files>达到这个目的：
<Files .htaccess>
order allow,deny
deny from all
</Files>
用户访问控制三个.htaccess文件、.htpasswd和.htgroup（用于用户授权） ，为了安全起见，应该防止用户浏览其中内容，可以在httpd.conf中加入以下内容阻止用户对其进行访问：
<Files ~”/.ht”>
Order deny, allow
Deny from all
</Files>
这样这三个文件就不会被用户访问了。

二、   Windows系统
  Ⅰ、基于IIS本身的目录安全认证
测试环境：
操作系统：Windows 2000 Advanced Server
IIS版本：IIS 5.0
IP地址：192.168.10.10

前期准备，必须已经安装IIS 5.0
如果您是管理员级的用户，你可以用一种简单的方法来实现密码验证。假设你安装的WEB服务器是IIS，你就可以通过IIS所提供的“Internet信息服务”进行目录安全设置。假设我把/Software设置成安全目录，首先启动“ Internet信息服务”，打开“默认web站点”，新建虚拟目录“Software”，接着右键"属性"，接着在出现的“Software属性”窗口中，选取“目录安全性”选项，然后按下“匿名访问及验证控制”中的“编辑”按钮，将“匿名访问”按钮取消，选取“基本验证”，点击下方的“编辑”，输入“领域名称”（图2-0）。

接下来当上网者要浏览这个目录的网页时，浏览器就会显示"请输入用户名和密码"的窗口，要求用户输入用户名和密码，因为IIS验证的方法是与NT服务器结合在一起，只要是NT服务器的用户，就是IIS的用户，因此这里输入的用户名和密码是已经在NT服务器中建立的用户及对应的密码。用这种方法我们可以轻松实现对Software目录网页的密码验证（图2-1）。

如果是在大型公司内部，还可以结合“活动目录 Active Directory”更好的分配“域”中的用户计算机。由于这种方法IIS用户既是NT服务器用户，管理员可以建立个该目录的“用户群”统一分配权限、管理。可是这种方法就建立了太多的用户，虽然管理员能够把权限分配和密码复杂度都能得到很好，并且限制只有内网用户能够访问该服务器，但是还是有被使用系统漏洞本地提升权限的可能，所以我的意见是尽量不要使用这种方法。

 

上一页  [1] [2] [3] [4] 下一页

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】