Mod Access

7/31/2019 Mod Access

http://slidepdf.com/reader/full/mod-access 1/20

CONTROL DE ACCESOAPACHEMOD_ACCESS

Jesús López

Roberto Almena



MOD_ACCESS

El módulo de control de acceso de apache permitecontrolar el acceso a los diferentes directorios yficheros del servidor dependiendo del nombre de lamáquina o dirección IP del cliente.

Las directivas que proporciona este módulo sepueden utilizar dentro de los elementos y delfichero de configuración httpd.conf , o bien dentrode ficheros .htaccess ubicados dentro de las

carpetas.



DIRECTIVAS

Allow: controla los servidores que tendrán accesoal contenido, por ejemplo:

Allow fromdesarrolloweb.com Permite el acceso desde

desarrolloweb.com



ALLOW

Allow from192.168.0.1

Permite el acceso desde192.168.0.1

Allow from 192.168 Permite el acceso desdetodas las direcciones Ipque comienzan por 192.168

Allow from all Permitir todas



DIRECTIVAS

Deny: controla los servidores a los que sedenegará el acceso, por ejemplo:

Deny fromdesarrolloweb.com

Deniega el acceso desdedesarrolloweb.com



DENY

Deny from192.168.0.1

Deniega el acceso desde192.168.0.1

Deny from 192.168

Deniega el acceso desdetodas las direcciones Ipque comienzan por 192.168

Deny from all Denegar todas



ORDER

Order: determina el orden en el que se leerán lospermisos, por ejemplo para leer primero lospermitidos y luego los no permitidos se pondrá"Allow,Deny" en este caso si un servidor está en la

lista de permitidos y en la de denegados, el accesoal mismo será denegado, ya que la entrada dentrode la opción Deny sobrescribirá la de la entrada

Allow.



ORDER ALLOW DENY

Hay que tener en cuenta que el uso de order juntocon Allow from all ó Deny from all, permiteespecificar configuraciones como permitir desdeuna máquina x y denegar del resto de una forma

muy sencilla.



SETENVIF

Adicionalmente, mediante la directiva SetEnvIf delmódulo mod_setenvif, se pueden establecer variables de entorno que determinen elfuncionamiento de Allow o Deny de la misma forma

que se utilizan números IP o nombres demáquinas.

Por ejemplo, utilizando Allow from env=entradapermitirá el acceso a todas las peticiones que

tengan definida la variable de entorno "entrada".



CONTROLAR ACCESO

Mediante el uso conjunto de las directivas Allow, Deny,Order y SetEnvIf se puede restringir el acceso a un sitiodependiendo del tipo de navegador. Para realizarlosimplemente basta con crear una variable de entorno

dependiendo del tipo del navegador, y permitir el accesoa las peticiones que cuenten con esta variable deentorno denegándoselo al resto.Para ello la configuración necesaria es la siguiente:

SetEnvId User-Agent googlebot entrar Order Deny, AllowDeny from all Allow from env=entrar



PRIMERA LÍNEA

SetEnvId User-Agent googlebot entrar

En la primera línea se especifica que se creará una

variable de entorno llamada entrar cuando elnavegador sea el motor de indexación de google.



TERCERA LÍNEA

Deny from all

En la tercera línea se especifica que se deniega el

acceso a cualquier petición.



CUARTA LÍNEA

Allow from env=entrar

En la cuarta línea se especifica que se permite el

acceso a las peticiones que tienen definida lavariable de entorno entrar.



MOTOR GOOGLE / OTRO NAVEGADOR

En el caso de que entre el motor de indexación degoogle, primero se leerá la línea en que sedeniegan todas las peticiones, para a continuaciónleer la línea en la que se permite el acceso desde

las peticiones que tienen definida la variable entrar,como el navegador que lo hace es el googlebot,esta variable estará definida y entrará.

En el caso en que la petición sea realizada por cualquier otro navegador, primero se leerá la línea

en la que se deniegan las peticiones, y como nosatisface la línea en la que lo permite, no entrará.



COMPROBACIÓN

Entramos al pc con ip 192.168.112.28, a la carpetadrupal, y vemos que podemos entrar.



/ETC/APACHE2/HTTPD.CONF

Editamos el archivo /etc/apache2/httpd.conf y le negamos el acceso al pc conip 192.168.112.26 al directorio drupal.

Ahora comprobamos que la configuración anterior funciona desde elordenador con ip 192.168.112.26. Entramos a la carpeta drupal del servidor 192.168.112.28 y vemos como no tenemos permiso para entrar.



DENEGAR ACCESO A TODOS

Ninguna IP puede entrar a la carpeta /var/www/drupal

Ni desde el equipo en el que se encuentra alojado el sitio:

Ni desde el equipo remoto:



DENEGAR A WORDPRESS Y LOCALHOST

Vamos a probar si permitiendo el acceso a un subdirectorio como lo eswordpress de /var/www y negándolo a /var/www podemos acceder avar/www/wordpress a pesar de no tener permisos para acceder a /var/www



DENEGAR A WORDPRESS Y LOCALHOST

Comprobamos que apache da preferencia a lospermisos del directorio padre, por lo que nopodemos acceder al subdirectorio wordpress

Mod Access

Documents

Transcript of Mod Access