Apache2 在 CentOS 上如何限制访问

在 CentOS 上使用 Apache2（通常称为 httpd）限制访问，可以通过多种方法实现。以下介绍几种常用的方法，包括基于 IP 的访问控制、使用 .htaccess 文件以及配置防火墙规则。

方法一：使用 Require 指令进行基于 IP 的访问控制

1. 编辑 Apache 配置文件

   打开 Apache 的主配置文件或虚拟主机配置文件。通常位于 /etc/httpd/conf/httpd.conf 或 /etc/httpd/conf.d/ 目录下的虚拟主机配置文件（例如 yourdomain.conf）。

   sudo vi /etc/httpd/conf/httpd.conf
   

   或者

   sudo vi /etc/httpd/conf.d/yourdomain.conf
   

2. 添加 <Directory> 或 <Location> 指令

   在相应的配置块中添加 Require 指令来限制访问。例如，限制特定 IP 访问网站根目录：

   <Directory "/var/www/html">
       Require ip 192.168.1.100 192.168.1.101
       # 允许访问的其他 IP 地址
   </Directory>
   

   如果要限制特定 IP 访问某个特定的目录或位置，可以使用 <Location> 指令：

   <Location "/admin">
       Require ip 192.168.1.100
       # 其他配置
   </Location>
   

3. 重启 Apache 服务

   保存配置文件后，重启 Apache 以使更改生效：

   sudo systemctl restart httpd
   

方法二：使用 .htaccess 文件进行访问控制

.htaccess 文件允许在目录级别进行访问控制，适用于无法直接修改主配置文件的情况。

1. 启用 AllowOverride

   确保 Apache 的配置允许使用 .htaccess 文件。编辑主配置文件（如 /etc/httpd/conf/httpd.conf），找到相应的 <Directory> 块并设置 AllowOverride 为 All：

   <Directory "/var/www/html">
       AllowOverride All
   </Directory>
   

2. 创建或编辑 .htaccess 文件

   在需要限制访问的目录下创建或编辑 .htaccess 文件，添加以下内容：

   Order deny,allow
   Deny from all
   Allow from 192.168.1.100
   Allow from 192.168.1.101
   

   这将拒绝所有 IP 访问，只允许指定的 IP 地址访问。

3. 保存并测试

   保存 .htaccess 文件后，通过浏览器测试访问是否按预期限制。

方法三：使用防火墙（如 firewalld）限制访问

除了在 Apache 层面进行访问控制，还可以通过操作系统的防火墙来限制对 Apache 服务器的访问。

1. 安装并启动 firewalld

   CentOS 7 及以上版本默认安装 firewalld。如果未安装，可以使用以下命令安装：

   sudo yum install firewalld
   sudo systemctl start firewalld
   sudo systemctl enable firewalld
   

2. 开放 HTTP 和 HTTPS 端口

   默认情况下，Apache 使用端口 80 和 443。开放这些端口：

   sudo firewall-cmd --permanent --zone=public --add-service=http
   sudo firewall-cmd --permanent --zone=public --add-service=https
   sudo firewall-cmd --reload
   

3. 添加 IP 白名单

   使用 firewall-cmd 添加允许访问的 IP 地址：

   sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
   sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.101" accept'
   sudo firewall-cmd --reload
   

   这样只有指定的 IP 地址可以访问服务器的 HTTP 和 HTTPS 服务。

方法四：结合使用 mod_authz_host 模块

Apache 的 mod_authz_host 模块提供了更灵活的基于主机名的访问控制。可以通过配置 Require host 或 Require not host 来限制访问。

示例：

<Location "/admin">
    AuthType Basic
    AuthName "Restricted Area"
    AuthUserFile /etc/httpd/.htpasswd
    Require host example.com
    # 或者拒绝特定主机
    # Require not host badhost.com
</Location>

注意： 使用 Require host 时，确保 DNS 解析正常，因为 Apache 会根据请求的主机名进行匹配。

总结

以上介绍了在 CentOS 上使用 Apache2 限制访问的几种常见方法，包括基于 IP 的访问控制、使用 .htaccess 文件、配置防火墙规则以及利用 Apache 内置模块进行更复杂的访问控制。根据具体需求选择合适的方法，可以有效地保护服务器资源，防止未授权访问。

如果在实施过程中遇到问题，建议检查 Apache 的错误日志以获取更多信息：

sudo tail -f /var/log/httpd/error_log

这将帮助诊断配置中的潜在问题。