6.3.5  Web目录的访问策略

　　对于可以访问的Web目录，要使用相对保守的途径进行访问，不要让用户查看任何目录索引列表。

　　1．禁止使用目录索引

　　Apache服务器在接收到用户对一个目录的访问时，会查找Directorylndex指令指定的目录索引文件，默认情况下该文件是index.html。如果该文件不存在，那么Apache会创建动态列表为用户显示该目录的内容。通常这样的设置会暴露Web站点结构，因此需要修改配置文件禁止显示动态目录索引。

　　修改配置文件httpd.conf：

　　Options -Indexes FollowSymLinks

　　Options指令通知Apache禁止使用目录索引。FollowSymLinks表示不允许使用符号链接。

　　2．禁止默认访问

　　一个好的安全策略要禁止默认访问的存在，只对指定的目录开启访问权限，如果允许访问/var/www/html目录，使用如下设定：

　　Order deny,allow

　　Allow from all

　　3．禁止用户重载

　　为了禁止用户对目录配置文件（.htaccess）进行重载（修改），可以这样设定：

　　AllowOverride None

　　6.3.6  Apache服务器访问控制方法

　　Apache的access.conf文件负责设置文件的访问权限，可以实现互联网域名和IP地址的访问控制。它包含一些指令，控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。如果允许192.168.1.1到192.168.1.254的主机访问，可以这样设定：

　　order deny,allow

　　deny from all

　　allow from pair 192.168.1.0/255.255.255.0