Apache 서버 구성을 강화하고 있는데 "^.ht.+".htaccess 및 .htpasswd 외에 다른 파일을 사용하는지 궁금합니다.
답변1
아파치는요? 아니요.
일반적으로 사용하는 유일한 것은 이지만 실제로는 기본값 .htaccess때문입니다. 해당 구성을 변경하면 Apache는 로 시작하는 파일에 특별한 관심을 갖지 않습니다 .AccessFileNameAccessFileName .htaccess.ht
.htpasswd일반적인 표준이 아니며 실제로는 좋은 생각도 아닙니다. 일반적인 권장 사항은 인증 파일을 웹 루트에 보관하는 것입니다. 왜냐하면 Apache의 액세스 제한을 우회하여 잠재적으로 파일 내용을 얻을 수 있는 다른 방법(원격 파일 포함 취약점)이 있기 때문입니다.
다른 사람들도요? 아마도.
"이것은 어떤 종류의 제한된/액세스할 수 없는 파일입니다" 라는 일반적인 사용은 많은 사람들이 액세스를 위한 "올바른" 장소로 오해하는 것과 .ht*동일한 이유로 일부 사람/콘텐츠/웹 응용 프로그램에서 예상/남용됩니다. .htaccess규칙을 제어하고 다시 작성합니다.그것을 의도한 것이 아님에도 불구하고. 따라서 기본 동작 <Files ~ "^\.ht">(강화를 위해 왜 이 작업을 수행해야 합니까?)을 비활성화하는 경우 콘텐츠가 해당 파일 이름 규칙을 남용하여 항목을 숨기지 않는지 확인하십시오.
답변2
.htaccessAccessFileName아파치가 사용하는 기본값입니다 . `.htpasswd'에는 특별한 것이 없으며 대부분의 사람들이 이를 사용하므로 ACL이 해당 파일에 대한 액세스를 더 쉽게 차단할 수 있습니다. 해당 파일 이름을 사용해야 한다는 규정은 없으며, httpd.conf 파일에 액세스할 수 있는 경우 디렉토리에 대한 액세스 속도가 느려지므로 해당 파일 이름을 전혀 사용해서는 안 됩니다. 서버 구성에 대한 액세스 권한이 없는 사람들에게 액세스 재정의를 허용하는 것이 좋습니다.
즉, AccessFileName구성에서 지시문을 사용하여 기본값을 변경하지 않았고 모든 비밀번호 파일의 이름을 .htpasswd로 지정했다면 도트 파일을 사용하는 것이 좋습니다.
답변3
다른 .htaccess를 사용하고 있는지 확인하는 방법은 다음과 같습니다.핵심 - Apache HTTP 서버, 또한 이것은 사람들이 액세스하는 것을 방지하기 때문에 모든 아파치에서 사용해야 하는 것입니다.
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>