Guia do Linux/Avançado/Apache/Especificando opções/permissões para as páginas
Especificando opções/permissões para as páginas
editarAs opções de restrição podem tanto ser especificadas nas diretivas <Directory>, <Location> ou <Files> quanto nos arquivos .htaccess
(ou outro nome de arquivo de controle de acesso especificado pela opção AccessFileName do arquivo de configuração do Apache
). Cada diretiva de acesso é especificada entre <tags> e devem ser fechadas com </tag> (como na linguagem HTML). As seguintes diretivas de acesso são válidas no Apache
:
- Directory
- As restrição afetará o diretório no disco especificado, consequentemente a página armazenada nele. Por exemplo:
<Directory /var/www> Order deny,allow deny from all allow from 10.1.0.1 <Directory>
O acesso ao diretório /var/www
será permitido somente ao computador com o endereço IP 10.1.0.1.
- DirectoryMatch
- Funciona como a diretiva <Directory> mas trabalha com expressões regulares como argumento. Por exemplo:
<DirectoryMatch "^/www/.*"> Order deny,allow deny from all <DirectoryMatch>
Bloqueará o acesso ao diretório /www
e sub-diretórios dentro dele.
- Files
- As restrições afetarão os arquivos do disco que conferem com o especificado. É possível usar os coringas ? e * como no shell. Também podem ser usadas expressões regulares especificando um "~" após Files e antes da expressão. Por exemplo:
<Files *.txt> Order deny,allow deny from all </Files>
Bloqueia o acesso a todos os arquivos com a extensão .txt
<Files ~ "\.(gif|jpe?g|bmp|png)$"> Order deny,allow </Files>
Bloqueia o acesso a arquivos gif, jpg, jpeg, bmp, png
(note que o "~" ativa o modo de interpretação de expressões regulares).
- FilesMatch
- Permite usar expressões regulares na especificação de arquivos (equivalente a diretiva <Files ~ "expressão">). Por exemplo:
<FilesMatch "\.(gif|jpe?g|bmp|png)$"> Order deny,allow </FilesMatch>
Bloqueia o acesso a arquivos gif, jpg, jpeg, bmp, png
.
- Location
- As restrições afetarão o diretório base especificado na URL e seus sub-diretórios. Por exemplo:
<Location /security> Order allow,deny </Location>
Bloqueia o acesso de todos os usuários ao diretório /security
da URL (a explicação porque o acesso é bloqueado neste caso será explicado em [#s-s-apache-acesso-restr-autor Autorização, Seção 12.7.1]).
- LocationMatch
- Idêntico a diretiva <Location> mas trabalha com expressões regulares. Por exemplo:
<LocationMatch "/(extra|special)/data"> Order deny,allow deny from all </LocationMatch>
Bloqueará URLs que contém a substring "/extra/data" ou "/special/data".
O uso das diretivas <Directory> e <Files> é apropriada quando você deseja trabalhar com permissões a nível de diretórios/arquivos no disco local (o controle do proxy também é feito via <Directory>), o uso da diretiva <Location> é adequado para trabalhar com permissões a nível de URL. A ordem de processamento das diretivas de acesso são processadas é a seguinte:
- A diretiva <Directory> (com exceção de <DirectoryMatch>) e os arquivos
.htaccess
são processados simultaneamente. As definições dos arquivos.htaccess
substituem as de <Directory>) - Expressões regulares de <DirectoryMatch>, <Directory>.
- <Files> e <FilesMatch> são processados simultaneamente.
- <Location> e <LocationMatch> são processados simultaneamente.
Normalmente é encontrado a opção Options dentro de uma das diretivas acima, a função desta diretiva é controlar os seguintes aspectos da listagem de diretórios:
- All
- Todas as opções são usadas exceto a MultiViews. É a padrão caso a opção Options não seja especificada.
- ExecCGI
- Permite a execução de scripts CGI.
- FollowSymLinks
- O servidor seguirá links simbólicos neste diretório (o caminho não é modificado). Esta opção é ignorada caso apareça dentro das diretivas <Location>, <LocationMatch> e <DirectoryMatch>.
- Includes
- É permitido o uso de includes no lado do servidor.
- IncludesNOEXEC
- É permitido o uso de includes do lado do servidor, mas o comando #exec e #include de um script CGI são desativados.
- Indexes
- Se não existir um arquivo especificado pela diretiva <DirectoryIndex> no diretório especificado, o servidor formatará automaticamente a listagem ao invés de gerar uma resposta de acesso negado.
- MultiViews
- Permite o uso da Negociação de conteúdo naquele diretório. A negociação de conteúdo permite o envio de um documento no idioma requisitado pelo navegador do cliente.
- SymLinksIfOwnerMatch
- O servidor somente seguirá links simbólicos se o arquivo ou diretório alvo tiver como dono o mesmo user ID do link. Esta opção é ignorada caso apareça dentro das diretivas <Location>, <LocationMatch> e <DirectoryMatch>.
Múltiplos parâmetros para Options podem ser especificados através de espaços.
OBS1: A opção Options não tem efeito dentro da diretiva FILES.
OBS2: Tanto faz usar maiúsculas quanto minúsculas nas diretivas de configuração, opções e parâmetros de configuração do Apache
, a capitalização apenas ajuda a leitura e interpretação: SymLinksIfOwnerMatch (LinksSimbólicosSeDonoConferir).
As opções especificadas para o diretório afetam também seus sub-diretórios, a não ser que sejam especificadas opções separadas para o sub-diretório:
<Directory /var/www> Options Indexes FollowSymLinks </Directory>
Ao acessar o diretório /var/www/focalinux
, as permissões usadas serão de /var/www
, ao menos que uma diretiva <Directory> ou <Location> seja especificada:
<Directory /var/www> Options Indexes FollowSymLinks </Directory> <Directory /var/www/focalinux> Options Includes </Directory>
As opções e restrições de acesso de /var/www/focalinux
serão EXATAMENTE as especificadas no bloco da diretiva <Directory /var/www/focalinux> e somente os includes serão permitidos. Para adicionar ou remover uma opção individual definidas por diretivas anteriores, podem ser usado os sinais " " ou "-", por exemplo:
<Directory /var/www> Options Indexes FollowSymLinks </Directory> <Directory /var/www/focalinux> Options Includes -Indexes </Directory>
As opções Indexes e FollowSymLinks são definidas para o diretório /var/www
, então as permissões do diretório /var/www/focalinux
serão FollowSymLinks (do diretório /web/docs
) e Includes (adicionada) e o parâmetro Indexes não terá efeito neste diretório.
É permitido fazer um aninhamento das diretivas <Directory> e <Files>:
<Directory /var/www> Order allow,deny allow from all <Files LEIAME-DONO.txt> Order deny,allow deny from all </Files> </Directory>
Neste caso, somente os arquivos LEIAME-DONO.txt
existentes no diretório /var/www
e seus sub-diretórios serão bloqueados.
Se a diretiva <Files> for usada fora de uma estrutura <Directory>, ela terá efeito em todos os arquivos disponibilizados pelo servidor. Este é excelente método para proteger os arquivos de acesso, senhas e grupos, conforme será explicado mais adiante.
Qualquer outro tipo de aninhamento de diretivas resultará em um erro de configuração ao se tentar carregar/recarregar o Apache
. Um exemplo de diretiva incorreta:
<Directory /var/www> Options Indexes FollowSymLinks <Directory /var/www/focalinux> Options Includes -Indexes </Directory> </Directory>
O correto é:
<Directory /var/www> Options Indexes FollowSymLinks </Directory> <Directory /var/www/focalinux> Options Includes -Indexes </Directory>
Espero que tenha observado o erro no exemplo acima.
OBS1: Você pode verificar se a configuração do apache está correta digitando apache -t como usuário root, se tudo estiver correto com suas configurações ele retornará a mensagem: "Syntax OK".
OBS2: Se Options não for especificado, o padrão será permitir tudo exceto MultiViews.
OBS3: Qualquer restrição afetará o diretório atual e todos os seus sub-diretórios! Defina permissões de sub-diretórios específicos separadamente caso precise de um nível de acesso diferente. Veja também a seção sobre arquivos OverRide (.htaccess
) para detalhes sobre este tipo de arquivo.
OBS4: A diretiva de acesso "<Directory />" não afetará outros sistemas de arquivos montados dentro de seus subdiretórios. Caso uma diretiva de acesso padrão não seja especificada para outros sistemas de arquivos, o acesso será automaticamente negado.