Apache:如何保护mod_info输出

时间:2016-09-13 02:36:53

标签: apache security

我使用Apache's mod_info显示有关我的服务器设置的详细信息。

的httpd-vhosts.conf 

# Set path below to be handled by mod_info. It will show server info. 
# For this to work, this module must be loaded (uncommented in httpd.conf)
<Location /special/path>
   SetHandler server-info
   Order allow,deny
   Allow from 127.0.0.1
</Location>

Allow from设置为本地计算机,因为这是在我的开发计算机上。

此模块允许我通过导航到/special/path来查看大量信息。我想在我的生产服务器上获得相同的好处,所以我可以远程看到输出。这意味着我需要公开访问该路径,但当然要保持这些信息远离窥探。

保护输出的最实用方法是什么?我可以使用静态密码质询,只要密码没有以明文形式存储(哈希是可以的),并且绝对不会存储在可公开访问的位置。

Apache 2.4.16

1 个答案:

答案 0 :(得分:0)

为了解决我的问题,我使用了这个配置:

# All paths beginning with /admin will be password protected with
# credentials from /path/admin.htpasswd
<Location /admin>
  AuthType Basic
  AuthName "Administrators"
  AuthBasicProvider file
  AuthUserFile "/path/admin.htpasswd"
  Require valid-user
</Location>

<IfModule info_module>
    <Location /admin/server-info>
        SetHandler server-info
    </Location>
</IfModule>

.htpasswd文件每行包含一个{username}:{hashed password}。例如:

linda:$apr1$hq20V6OX$uKFyONT91I1BhCae0YJ7B1
eric:$apr1$h4XrUUNS$Hi61JTs1nQOgI/ehMnC0X0

我使用了来自htaccesstools.com

的密码哈希生成器
相关问题
最新问题