如何在Ubuntu中配置Apache访问控制

Ubuntu 中 Apache 访问控制配置指南

一 准备与通用原则

• 配置前准备：安装工具（如需要生成密码文件，安装 apache2-utils）、备份现有配置、确认站点根目录（常见为 /var/www/html 或虚拟主机配置中的 DocumentRoot）。
• 原则：优先在虚拟主机或主配置中使用 管理访问；仅在必要时启用 .htaccess（需设置 AllowOverride）；变更后用 sudo systemctl restart apache2 生效；涉及认证时，确保启用 mod_auth_basic 与 mod_authn_file 模块。
• 文件与目录权限建议：网站文件 644、目录 755，运行用户（常见为 www-data）对内容有读取权限，必要时再细化属主/属组。

二 基于 IP 的访问控制

• 推荐方式（Apache 2.4+，使用 mod_authz_core）：在站点或主配置中为目录设置 Require ip 规则，可组合多个条件。示例：

<Directory "/var/www/html/admin">
    Require ip 203.0.113.10 198.51.100.0/24
</Directory>

• 允许全部但排除部分网段：

<Directory "/var/www/html">
    Require all granted
    Require not ip 203.0.113.0/24
</Directory>

• 旧语法兼容（2.2 风格，使用 mod_access_compat）：

<Directory "/var/www/html/admin">
    Order deny,allow
    Deny from all
    Allow from 203.0.113.10 198.51.100.0/24
</Directory>

• 说明：也可在 中使用相同 Require 语法；若需按主机名限制，可使用 Require host example.com。

三 基于用户密码的身份认证

• 启用模块：

sudo a2enmod auth_basic
sudo a2enmod authn_file

• 创建密码文件（首次使用 -c，后续添加用户不要加 -c）：

sudo htpasswd -c /etc/apache2/.htpasswd alice
sudo htpasswd /etc/apache2/.htpasswd bob

• 在配置中启用认证（两种方式，二选一或组合）：
  • 目录级（推荐）：

<Directory "/var/www/html/admin">
    AuthType Basic
    AuthName "Restricted Area"
    AuthUserFile /etc/apache2/.htpasswd
    Require valid-user
</Directory>

• 使用 .htaccess（需目录允许覆盖）：

# 在 /var/www/html/admin/.htaccess
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user

• 提示：将 Require valid-user 替换为 Require user alice 可仅允许指定用户。

四 组合策略与 .htaccess 使用

• 组合示例（IP 白名单 + 用户口令）：

<Directory "/var/www/html/admin">
    # IP 白名单
    Require ip 203.0.113.10 198.51.100.0/24

    # 同时要求口令
    AuthType Basic
    AuthName "Restricted Area"
    AuthUserFile /etc/apache2/.htpasswd
    Require valid-user
</Directory>

• 使用 .htaccess 的要点：
  • 在相应目录创建 .htaccess 并写入规则；
  • 对应 需设置 AllowOverride All（或包含 AuthConfig）以启用；
  • 适合无法修改主配置的场景，但会带来一定的性能开销。

五 生效验证与常见问题

• 生效与语法检查：

sudo apache2ctl configtest    # 语法检查
sudo systemctl restart apache2  # 使配置生效

• 常见问题与排查：
  • 403 Forbidden：目录缺少 Require all granted 或被规则拒绝；检查目录权限与 Require 逻辑。
  • 401 Unauthorized：检查 AuthUserFile 路径与权限（建议 640，属主 root:www-data），以及 Require 用户/组设置。
  • .htaccess 不生效：确认 AllowOverride 已开启，且 .htpasswd 路径可被 Apache 读取。
  • 规则冲突：同一目录内混用新旧 Order/Deny/Allow 与 Require 可能导致意外结果，建议统一为 Require 系列并梳理逻辑。