Apache Allowoverride FileInfo安全处理

Question

我想通过在httpd.conf文件中使用“Allowoverride FileInfo”来了解安全问题，该文件允许使用htaccess文件（我的htaccess文件只进行了在zend2中定义的重定向）。我正在为我的项目使用zend framework 2.x（就像一些购物车网站）。

I have researched and I got the following information.

 1. Better to place "Allowoverride FileInfo" inside "Directory" directive for better      performance.
 2. Use "AccessFileName .config" instead of allowing .htaccess we can use .config, which might help some way security.
 3. Just copiying the htaccess code to httpd.conf file(for which there is no security risk, as "Allowoverride None" is used).

但没有关于安全问题，这是主要问题。

Could somebody help me with information if .htaccess file is used.

1. What are the security measures I have to take care ?.
2. Is there a chance of intrusion?.

谢谢， 迪利普。

Answer 1

您可以使用脚本进行网页安全（自制或付费（我制作）来跟踪网页浏览量，从什么时间和地址，或使用您的日志，您也可以制作授权文件（我制作和可以帮助你）并在不正确的登录尝试时自动禁止，对于像ftp这样的其他东西（除了网页）你可以使用ssl或rsa安全证书，每次尝试都会改变vpn证书，但它真的是你需要的因为，默认情况下.htaccess文件应该设置为只读，永远不允许覆盖（使用你的apache2 conf文件）。我希望这可以回答你的问题，如果没有，或许告诉我更多关于你想要保护什么，我目前正在制作一个脚本将通过电子邮件向您发送电子邮件或从未经授权的用户访问某个文件/页面。

Answer 2

这是一个好问题。如core: Apache HTTP Server Version 2.4所述，作为答案的开始，FileInfo权限执行以下操作：

FileInfo

允许使用控制文档类型的指令（ErrorDocument，ForceType，LanguagePriority，SetHandler，SetInputFilter，SetOutputFilter和mod_mime Add *和Remove *指令），文档元数据（Header，RequestHeader，SetEnvIf，SetEnvIfNoCase，BrowserMatch，CookieExpires， CookieDomain，CookieStyle，CookieTracking，CookieName），mod_rewrite指令（RewriteEngine，RewriteOptions，RewriteBase，RewriteCond，RewriteRule），mod_alias指令（Redirect，RedirectTemp，RedirectPermanent，RedirectMatch）以及来自mod_actions的操作。

因此，如果任何这些指令都可能被可能控制目录树中.htaccess文件的人滥用，那么您可能会遇到问题。例如。如果您将控制权委托给目录树的各个部分，则应信任那些管理员使用所有这些指令。

但也请注意，通常强烈建议使用conf文件进行配置，而不是使用.htaccess。

但是，如果您有充分的理由使用.htaccess，并且对整个目录树或至少.htaccess文件中的所有内容都有有效的控制权，那么看来{{1} }不应增加太多安全隐患，只要您选择以安全的方式使用的每个指令即可。