mod access
TRANSCRIPT
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 1/20
CONTROL DE ACCESOAPACHEMOD_ACCESS
Jesús López
Roberto Almena
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 2/20
MOD_ACCESS
El módulo de control de acceso de apache permitecontrolar el acceso a los diferentes directorios yficheros del servidor dependiendo del nombre de lamáquina o dirección IP del cliente.
Las directivas que proporciona este módulo sepueden utilizar dentro de los elementos y delfichero de configuración httpd.conf , o bien dentrode ficheros .htaccess ubicados dentro de las
carpetas.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 3/20
DIRECTIVAS
Allow: controla los servidores que tendrán accesoal contenido, por ejemplo:
Allow fromdesarrolloweb.com Permite el acceso desde
desarrolloweb.com
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 4/20
ALLOW
Allow from192.168.0.1
Permite el acceso desde192.168.0.1
Allow from 192.168 Permite el acceso desdetodas las direcciones Ipque comienzan por 192.168
Allow from all Permitir todas
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 5/20
DIRECTIVAS
Deny: controla los servidores a los que sedenegará el acceso, por ejemplo:
Deny fromdesarrolloweb.com
Deniega el acceso desdedesarrolloweb.com
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 6/20
DENY
Deny from192.168.0.1
Deniega el acceso desde192.168.0.1
Deny from 192.168
Deniega el acceso desdetodas las direcciones Ipque comienzan por 192.168
Deny from all Denegar todas
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 7/20
ORDER
Order: determina el orden en el que se leerán lospermisos, por ejemplo para leer primero lospermitidos y luego los no permitidos se pondrá"Allow,Deny" en este caso si un servidor está en la
lista de permitidos y en la de denegados, el accesoal mismo será denegado, ya que la entrada dentrode la opción Deny sobrescribirá la de la entrada
Allow.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 8/20
ORDER ALLOW DENY
Hay que tener en cuenta que el uso de order juntocon Allow from all ó Deny from all, permiteespecificar configuraciones como permitir desdeuna máquina x y denegar del resto de una forma
muy sencilla.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 9/20
SETENVIF
Adicionalmente, mediante la directiva SetEnvIf delmódulo mod_setenvif, se pueden establecer variables de entorno que determinen elfuncionamiento de Allow o Deny de la misma forma
que se utilizan números IP o nombres demáquinas.
Por ejemplo, utilizando Allow from env=entradapermitirá el acceso a todas las peticiones que
tengan definida la variable de entorno "entrada".
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 10/20
CONTROLAR ACCESO
Mediante el uso conjunto de las directivas Allow, Deny,Order y SetEnvIf se puede restringir el acceso a un sitiodependiendo del tipo de navegador. Para realizarlosimplemente basta con crear una variable de entorno
dependiendo del tipo del navegador, y permitir el accesoa las peticiones que cuenten con esta variable deentorno denegándoselo al resto.Para ello la configuración necesaria es la siguiente:
SetEnvId User-Agent googlebot entrar Order Deny, AllowDeny from all Allow from env=entrar
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 11/20
PRIMERA LÍNEA
SetEnvId User-Agent googlebot entrar
En la primera línea se especifica que se creará una
variable de entorno llamada entrar cuando elnavegador sea el motor de indexación de google.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 12/20
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 13/20
TERCERA LÍNEA
Deny from all
En la tercera línea se especifica que se deniega el
acceso a cualquier petición.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 14/20
CUARTA LÍNEA
Allow from env=entrar
En la cuarta línea se especifica que se permite el
acceso a las peticiones que tienen definida lavariable de entorno entrar.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 15/20
MOTOR GOOGLE / OTRO NAVEGADOR
En el caso de que entre el motor de indexación degoogle, primero se leerá la línea en que sedeniegan todas las peticiones, para a continuaciónleer la línea en la que se permite el acceso desde
las peticiones que tienen definida la variable entrar,como el navegador que lo hace es el googlebot,esta variable estará definida y entrará.
En el caso en que la petición sea realizada por cualquier otro navegador, primero se leerá la línea
en la que se deniegan las peticiones, y como nosatisface la línea en la que lo permite, no entrará.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 16/20
COMPROBACIÓN
Entramos al pc con ip 192.168.112.28, a la carpetadrupal, y vemos que podemos entrar.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 17/20
/ETC/APACHE2/HTTPD.CONF
Editamos el archivo /etc/apache2/httpd.conf y le negamos el acceso al pc conip 192.168.112.26 al directorio drupal.
Ahora comprobamos que la configuración anterior funciona desde elordenador con ip 192.168.112.26. Entramos a la carpeta drupal del servidor 192.168.112.28 y vemos como no tenemos permiso para entrar.
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 18/20
DENEGAR ACCESO A TODOS
Ninguna IP puede entrar a la carpeta /var/www/drupal
Ni desde el equipo en el que se encuentra alojado el sitio:
Ni desde el equipo remoto:
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 19/20
DENEGAR A WORDPRESS Y LOCALHOST
Vamos a probar si permitiendo el acceso a un subdirectorio como lo eswordpress de /var/www y negándolo a /var/www podemos acceder avar/www/wordpress a pesar de no tener permisos para acceder a /var/www
7/31/2019 Mod Access
http://slidepdf.com/reader/full/mod-access 20/20
DENEGAR A WORDPRESS Y LOCALHOST
Comprobamos que apache da preferencia a lospermisos del directorio padre, por lo que nopodemos acceder al subdirectorio wordpress