Права доступа к файлам
Разрешение и владение файлами, обслуживаемыми apache (любым любым другим приложением), определяют, что это приложение может и не может читать, писать и выполнять. Это применяется при доступе к ресурсам.
Брандмауэры
Брандмауэры контролируют входящие и исходящие данные между интерфейсами (обычно сетевыми интерфейсами) с определенными списками управления доступом, чтобы ограничить обмен данными доверенными сторонами. Это применяется для входящего и исходящего транспорта.
Управление доступом Apache
Управление доступом Apache — это более тонкий контроль над обслуживаемыми ресурсами. Это также позволяет более тонко делегировать разрешения Apache и не полагаться на другие системы.
Примеры
Пример 1: я хочу разрешить всем пользователям доступ к сайту WordPress, но я хочу, чтобы только доверенные IP-адреса имели доступ к wp-admin.
В этом случае я бы настроил ниже для /wp-админ каталог в конфигурации (или в .htaccess файл в каталоге).
<Directory /wp-admin>
Order deny,allow
Deny from all
Allow from x.x.x.x
</Directory>
Пример 2: я хочу разрешить только членам группы отправлять данные на мой сайт
Я бы настроил apache со следующим
<LIMIT POST>
AuthType Basic
AuthName "Posty Mc Post Face"
# Optional line:
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
AuthGroupFile "/usr/local/apache/passwd/groups"
Require group canPostApacheGroup
</LIMIT>
Следующие примеры
В каждом из этих примеров есть брандмауэр, который пропускает трафик к apache, и разрешения операционной системы, позволяющие apache получать доступ к ресурсам в операционной системе, но теперь есть конфигурация для конкретного приложения, чтобы ограничить действия, которые пользователь может выполнять в приложении.
