Kebenaran dan strategi kawalan capaian yang perlu anda perhatikan sebelum membina pelayan web di CentOS
Dalam proses membina pelayan web, kebenaran dan strategi kawalan akses adalah sangat penting. Menetapkan kebenaran dan dasar kawalan capaian dengan betul boleh melindungi keselamatan pelayan dan menghalang pengguna yang tidak dibenarkan daripada mengakses data sensitif atau mengendalikan pelayan secara tidak betul. Artikel ini akan memperkenalkan kebenaran dan strategi kawalan capaian yang perlu diberi perhatian apabila membina pelayan web di bawah sistem CentOS, dan memberikan contoh kod yang sepadan.
Pertama, kita perlu mencipta pengguna khusus untuk menjalankan pelayan web dan menambahkannya ke kumpulan yang sesuai. Cipta pengguna bernama "pengguna web" dalam sistem dengan menjalankan arahan berikut:
sudo useradd webuser
Seterusnya, kita boleh menambah pengguna pengguna web ke kumpulan www-data (untuk pelayan Apache) menggunakan arahan berikut:
sudo usermod -a -G www-data webuser
Apabila membina pelayan web, kita perlu memastikan bahawa fail dan direktori pada pelayan mempunyai kebenaran yang sesuai. Biasanya, pengguna pelayan web hanya memerlukan kebenaran untuk membaca fail dan melaksanakan direktori, bukan menulis kebenaran.
Berikut ialah contoh menetapkan kebenaran direktori. Katakan kita mahu meletakkan fail tapak web dalam direktori /var/www/html:
sudo chown -R webuser:www-data /var/www/html sudo chmod -R 755 /var/www/html
Arahan di atas menetapkan pemilik direktori /var/www/html kepada pengguna webuser dan kumpulan kepada kumpulan www-data. Pada masa yang sama, kebenaran direktori ditetapkan kepada 755, iaitu pemilik telah membaca, menulis dan melaksanakan kebenaran, manakala kumpulan dan pengguna lain hanya mempunyai kebenaran membaca dan melaksanakan.
Selain kebenaran fail dan direktori, kami juga perlu menetapkan dasar kawalan akses untuk mengawal akses kepada pelayan web. Terdapat terutamanya cara berikut untuk mencapai ini.
(1) Gunakan fail konfigurasi untuk mengawal akses
Dalam pelayan Apache, kebenaran akses boleh dikawal melalui fail konfigurasi. Sebagai contoh, anda boleh menggunakan arahan "Memerlukan" untuk menyekat akses kepada alamat IP tertentu. Berikut ialah contoh untuk hanya membenarkan alamat IP tertentu untuk mengakses tapak web:
<Directory /var/www/html> Order deny,allow Deny from all Allow from 192.168.1.100 </Directory>
Konfigurasi di atas akan menafikan semua permintaan akses kecuali yang mempunyai alamat IP 192.168.1.100.
(2) Gunakan firewall untuk mengawal akses
Cara lain untuk mengawal akses ialah menggunakan peraturan firewall. Dalam sistem CentOS, anda boleh menggunakan perintah firewall-cmd untuk menetapkan peraturan firewall. Berikut ialah contoh untuk hanya membenarkan akses HTTP daripada alamat IP tertentu:
sudo firewall-cmd --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="80" accept'
Arahan di atas akan membenarkan hos dengan alamat IP 192.168.1.100 mengakses perkhidmatan HTTP.
Ringkasan:
Sebelum membina pelayan web, kita mesti memberi perhatian kepada tetapan kebenaran dan dasar kawalan akses. Anda boleh meningkatkan keselamatan pelayan dengan menetapkan kebenaran pengguna, kumpulan, fail dan direktori dengan betul serta mengawal akses menggunakan fail konfigurasi dan peraturan firewall. Dalam sistem CentOS, anda boleh menggunakan contoh kod yang disediakan di atas untuk menetapkan kebenaran dan dasar kawalan akses.
Atas ialah kandungan terperinci Kebenaran dan strategi kawalan akses yang perlu anda perhatikan sebelum membina pelayan web pada CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!