Português do Brasil English
Devin no Facebook  Devin no Twitter  RSS do Site 
Servidores    

Tutorial Apache: htaccess


Comentários  63
Visualizações  
235,179

Um tutorial sobre como usar os arquivos .htaccess no Apache, incluindo autenticação de usuários, muito útil para quem mexe com servidores Web.

Oi pessoal, neste tutorial vou tocar em alguns métodos de segurança com os arquivos .htaccess do Apache, para proteger diretórios na Web, criar meios de login controlado e outras utilidades deste arquivo.

O .htaccess é um arquivo especial para o Apache. Quando um usuário está navegando por alguma página do seu servidor Apache, para todo diretório que ele tentar acessar (e se o servidor estiver configurado para isso), o Apache procura pelo tal do .htaccess e se encontrar, verifica alguma restrição ou liberação para o usuário. Com isso podemos fazer duas coisas básicas em relação à segurança: Restringir acesso aos arquivos e diretórios do servidor Web através de um usuário e senha, ou então pelo IP/Hostname de quem está acessando. Trataremos dos dois assuntos aqui neste tutorial.

Configurando o Apache

Antes de mais nada, você precisará se certificar que o Apache está configurado para aceitar os arquivos .htaccess como arquivos especiais. Para configurar, você precisará editar o arquivo de configuração do Apache, que é o “httpd.conf”. Geralmente ele está localizado no diretório “/etc/httpd/conf”. Dentro deste arquivo, você encontrará uma ou duas diretrizes mais ou menos desta forma:

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

ou
<Directory “/var/www/html”>
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

Nesta configuração do Apache, tudo que está dentro das significa restrtições e opções especialmente configuradas para aquele diretório. No caso acima, eu estou aplicando algumas regras tanto no diretório base do servidor Web (ou seja, todo o servidor Web, independente do domínio virtual ou qualquer outra coisa), como também estou aplicando no diretório “/var/www/html”, que aqui no caso é onde ficam as páginas Web. Então cabe a você decidir escolher entre as duas diretrizes (ou utilizar a configuração nova nas duas diretrizes mesmo, ou até então criar uma diretriz nova). Como eu quero ativar o .htaccess em todo o meu servidor Web, vou colocar da seguinte maneira:

<Directory />
Options FollowSymLinks Indexes
AllowOverride AuthConfig
</Directory>

O que eu fiz aqui foi adicionar a opção “Indexes” neste diretório e colocar o valor “AuthConfig” no AllowOverride. Em “Options”, eu digo algumas opções extras que podem ser colocadas neste diretório. Isso não tem muito haver com este tutorial e nem é necessário, mas é sempre bom saber alguma coisa a mais se já não se sabe :)

Como a própria documentação do Apache diz, podemos usar as seguintes opções para diretórios: “None”, “All”, ou qualquer combinação de “Indexes”, “Includes”, “FollowSymLinks”, “ExecCGI”, or “MultiViews”. A opção “Indexes” faz com que quando não tiver nenhum arquivo do tipo index.html, index.htm, ou “páginas iniciais”, o Apache cria uma página com a lista dos arquivos existentes no diretório. O “Includes” permite colocar arquivos do tipo SSI (Server Side Includes), que são páginas dinâmicas antigamente usadas por muitos (Agora a moda é PHP, Python, Perl, etc). O “FollowSymLinks” faz com que o Apache aceite links simbólicos no sistema, seguindo os diretórios ou arquivos que os links apontam. O “ExecCGI” faz com que neste diretório possam ser executados arquivos CGI (Common Gateway Interface). A opção ExecCGI pode ser (e geralmente é) encontrada para o diretório “/var/www/cgi-bin”, onde estão localizados os scripts CGI. Já o “multiViews” serve para por exemplo, servir páginas de acordo com a preferência de língua do usuário (index.html.pt_BR, indeex.html.en, etc).

O All significa todas as opções (menos o MultiViews) e o None significa nenhuma :)

Deixando de lado essa parte, vamos ao que realmente interessa. A opção “AllowOverride AuthConfig” é a que diz para o Apache verificar pelos arquivos .htaccess nos diretórios e aplicar as regras contidas no arquivo nos diretórios e subdiretórios de onde o arquivo esteja localizado. Colocada esta opção, é só dar um restart ou reload no servidor Web e tudo funcionará.

Para fins de entendimento, o nome “AllowOverride” já diz tudo: Ele sobrescreve as configurações padrões do servidor Apache para colocar novas configurações para aquele diretório. Estas configurações podem ser permissões dee acesso, opções (como as que mostrei acima), entre outros.

Utilizando o .htaccess

Agora que o servidor Apache já está configurado, teremos que criar o arquivo .htaccess com as regras. Utilize o seu editor prefeiro (no meu caso, o vim). Poderemos fazer várias coisas neste arquivo. Neste tutorial estarei usando vários arquivos .htaccess para demonstrar cada opção à cada caso, mas você pode utilizar um .htaccess no diretório principal do seu servidor, e definir as permissões e opções colocando-as dentro de tags , , etc. Tentarei dar alguns exemplos aqui.

Restringindo o acesso por IP/Hostname

As vezes precisamos restringir certos arquivos e diretórios para cecrtos IPs. Isso é válido por exemplo, quando você tem um provedor, e só se quer permitir acessar algumas páginas de administração os IPs da Intranet do provedor. Para isso pode-se aplicar estas regras no .htaccess. Veja o exemplo abaixo:

# Deixa a Intranet acessar
Order allow,deny
allow from 192.168.0.
deny from all

Esse exemplo de .htaccess fará com que o diretório, seus arquivos e seus subdiretórios só poderão ser acessados por quem estiver na faixa de IP de 192.168.0.1 até 192.168.0.254. Vamos supor agora que eu queira restringir apenas 1 IP, para não acessar um certo diretório. O .htaccess ficaria assim:

# Deixa todo mundo acessar, menos o IP 192.168.0.25
Order deny,allow
deny from 192.168.0.25
allow from all

E está feito, quando o IP 192.168.0.25 tentar acessar, não vai conseguir. Você pode substituir o IP por um hostname, contanto que a opção “HostnameLookups” no httpd.conf esteja habilitada (on).

Restringindo o acesso por usuário e senha

Agora vem uma parte muito interessante. As vezes não temos como restringir apenas por IPs, seja porque o usuário que tem que acessar possa etar em qualquer lugar, ou ter IP dinâmico, etc. Para resolver esse caso, podemos utilizar o método de usuário e senha. Antes de mais nada você terá que ter o utilitário “htpasswd”, que serve para criar um arquivo de senhas criptografadas. Neste tutorial, criaremos 3 usuários exemplo:

$ mkdir /etc/httpd/auth
$ cd /etc/httpd/auth

$ htpasswd -c acesso hugo
New password:
Re-type new password:
Adding password for user hugo

$ htpasswd acesso eitch
New password:
Re-type new password:
Adding password for user eitch

$ htpasswd acesso sakura
New password:
Re-type new password:
Adding password for user sakura

O resultado que temos é o arquivo /etc/httpd/auth/acesso com o seguinte conteúdo:

hugo:zEerw0euqYD3k
eitch:85QVc5DD0rB8M
sakura:UpZuXkyuIq9hw

Observação: Caso você não tenha o utilitário htpasswd, você pode criar as senhas criptografadas com um comando do perl. Por exemplo, se eu quiser criar a senha criptografada chamada “minhasenha”, farei o seguinte comando:

$ perl -e ‘print crypt(“minhasenha”, “Lq”), “\n”;’

E então é só incluir a senha no arquivo como no esquema acima.

Como pode ver, as senhas estão criptografadas. Este armazenamento de senhas é muito simples. Há outros métodos de se armazenar senhas (arquivos de banco de dados por exemplo), mas por enquanto não vou cobrir isto no tutorial porque não é tão necessário. Mas fica extremamente necessário se houver muitos e muitos usuários e senhas, pois se houver muitos, o processo de autenticação pode demorar um pouco.

Agora que o arquivo de usuários e senhas está criado, vamos criar o .htaccess que irá verificar este arquivo. Veja o exemplo do .htaccess:

AuthName “Acesso Restrito à Usuários”
AuthType Basic
AuthUserFile /etc/httpd/auth/acesso
require valid-user

Salve o arquivo e pronto, quando um usuário acessar a URL, o servidor irá verificar este arquivo .htaccess e irá perguntar pro cliente um usuário e senha. Epa, mas peraí, vamos explicar direitinho o arquivo acima!

  • AuthName: O nome que aparece como mensagem de Login. Pode usar algo como “Entre com Login e Senha”, ou coisa deste tipo.
  • AuthType: Tipo de autenticação. Atualmente o Basic é o tipo mais comum. Existe também o “Digest”, mas ainda não é muito utilizado e suportado pelos clientes.
  • AuthUserFile: Onde está o arquivo de usuários e senhas que agente criou.
  • require valid-user: O que o Apache precisa para validar o acesso. Neste caso a gente indicou que precisa de um usuário válido para acessar a página, ou seja, alguém que digitou um usuário e senha e bateu com o que está no arquivo de senhas. Pode-se restringir para apenas alguns usuários do arquivo de senhas. Por exemplo, se eu quisesse restringir apenas para o usuário eitch e sakura, ao invés de “require valid-user”, ficaria “require user eitch sakura”.

Mas se por acaso você tiver muitos usuários, e quer dividí-los em grupos, você pode muito bem fazer isso! Primeiro teremos que criar o arquivo com os grupos. Use o seu editor preferido, e vamos criar por exemplo, o arquivo “/etc/httpd/auth/grupos”:

admin:hugo eitch
visitante: sakura
empresa: hugo eitch sakura

Salve o arquivo e então criamos três grupos. Para usar estes grupos, teremos que modificar o arquivo .htaccess anterior para ficar desta maneira:

AuthName “Acesso Restrito à Usuários”
AuthType Basic
AuthUserFile /etc/httpd/auth/acesso
AuthGroupFile /etc/httpd/auth/grupos
require group admin

No arquivo acima eu adicionei a linha “AuthGroupFile”, que indica pro servidor onde está o arquivo dos grupos (bem parecido com o “AuthUserFile” hein?) e no “require”, coloquei que requer o grupo admin. Simples de entender, não? Agora já dá pra brincar bastante restringindo usuários :)

Opções diferentes

Lembra da diretriz “Options”? Pois é, você pode colocar estas opções também no .htaccess. Se por exemplo você quer que o diretório onde você colocou o .htaccess liste os arquivos caso não haja um index.html da vida, você adiciona o seguinte no .htaccess:

Options +Indexes

E para tirar essa opção:

Options -Indexes

E nisso você pode usar para qualquer uma das opções.

Mensagens de Erro personalizadas

Vamos supor que você tenha uma sub-página no seu servidor, e queira que as mensagens de erro do servidor sejam bonitinhas e no formato que você criou. Para fazer isso, você precisará apenas saber o que significa cada código de erro do servidor e apontar para a uma página com o .htaccess:

ErrorDocument 401 /erros/falhaautorizacao.html
ErrorDocument 404 /erros/naoencontrado.html
ErrorDocument 403 /erros/acessonegado.html
ErrorDocument 500 /erros/errointerno.html

Caso você não saiba os códigos de erro do Apache, a configuração do apache 2.x já tem uma boa ajuda quanto a isto, vou colocar as linhas aqui como referência (entenda se quiser e puder :P):

ErrorDocument 400 /error/HTTP_BAD_REQUEST.html.var
ErrorDocument 401 /error/HTTP_UNAUTHORIZED.html.var
ErrorDocument 403 /error/HTTP_FORBIDDEN.html.var
ErrorDocument 404 /error/HTTP_NOT_FOUND.html.var
ErrorDocument 405 /error/HTTP_METHOD_NOT_ALLOWED.html.var
ErrorDocument 408 /error/HTTP_REQUEST_TIME_OUT.html.var
ErrorDocument 410 /error/HTTP_GONE.html.var
ErrorDocument 411 /error/HTTP_LENGTH_REQUIRED.html.var
ErrorDocument 412 /error/HTTP_PRECONDITION_FAILED.html.var
ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var
ErrorDocument 414 /error/HTTP_REQUEST_URI_TOO_LARGE.html.var
ErrorDocument 415 /error/HTTP_SERVICE_UNAVAILABLE.html.var
ErrorDocument 500 /error/HTTP_INTERNAL_SERVER_ERROR.html.var
ErrorDocument 501 /error/HTTP_NOT_IMPLEMENTED.html.var
ErrorDocument 502 /error/HTTP_BAD_GATEWAY.html.var
ErrorDocument 503 /error/HTTP_SERVICE_UNAVAILABLE.html.var
ErrorDocument 506 /error/HTTP_VARIANT_ALSO_VARIES.html.var

Opções para arquivos e diretórios específicos

Agora vamos supor que você queira somente fazer restrições para certos arquivos e diretórios. Para isso você poderá fazer tudo o que fazia antes, só que dentro de tags como ou . Veja o exemplo de .htaccess a seguir com comentários embutidos explicando o contexto:

# Restringe o arquivo_secreto.html somente para o IP 192.168.0.30
<Files arquivo_secreto.html>
Order allow,Deny
Allow from 192.168.0.30
Deny from all
</Files>

# Restringe o diretório admin para utilizar senhas
<Directory /admin>
AuthName “Acesso Restrito à Usuários”
AuthType Basic
AuthUserFile /etc/httpd/auth/acesso
AuthGroupFile /etc/httpd/auth/grupos
require group admin
</Directory>

# Nega o acesso dos clientes ao .htaccess (bom colocar no httpd.conf)
# – Vem com a configuração padrão do Apache
<Files ~ “^\.ht”>
Order allow,deny
Deny from all
</Files>

Entendeu bem como funciona o esquema? Então é só brincar bastante :)

Conclusão

Pudemos aprender bastante como mexer com o .htaccess, mas o que vimos aqui não foi tudo não. Tem muita coisa ainda que se dá para colocar no .htaccess. Como eu disse no início dedste tutorial, o .htaccess poded comportar todo tipo de configuração de diretórios do Apache, sobrescrevendo as configurações padrões contidas no httpd.conf. Explorar as funcionalidades é uma questão de prática, então mãos a obra!


Comentários  63
Visualizações  
235,179


TagsLeia também

Apaixonado por Linux e administração de sistemas. Viciado em Internet, servidores, e em passar conhecimento. Idealizador do Devin, tem como meta aprender e ensinar muito Linux, o que ele vem fazendo desde 1997 :-)


Leia também



Comentários

63 respostas para “Tutorial Apache: htaccess”

  1. [...] ou se já existir, edite o .htaccess da pasta raiz de seu site. (sugiro que leiam um pouco sobre o .htaccess antes de prosseguir). No seu .htaccess ficarão as regras de reescrita, ou rewrite [...]

  2. italo disse:

    preciso de ajuda… tenho um site bloqueado pelo apache 2.2 como eu faço para desbloquear este site.

  3. Carlos Andrade disse:

    Como faço para saber quantos usuários estão conectados no Apache?

    • eitchugo disse:

      Você pode usar o Apache mod_sttatus para obter uma página de status do seu Apache atual. Para isso, você tem que ter habilitado o módulo mod_status (geralmente já vem habilitado), com a linha na configuração:

      LoadModule status_module modules/mod_status.so

      Depois você precisa configurar a URL do status, como no exemplo:

      <Location /server-status>
      SetHandler server-status

      Order Deny,Allow
      Deny from all
      Allow from .example.com
      </Location>

      Substituindo o .example.com por um IP/host permitido. O acesso do resto será negado.

      Por último, para habilitar o ExtendedStatus, que fornece mais informações:

      ExtendedStatus on

  4. [...] Nota: Usamos o arquivo .htaccess para fazer essa configuração, mas você pode colocar essas regras de Rewrite em outros lugares do Apache também (Directory, LocationMatch, VirtualHost, etc). Se quiser saber de mais informações sobre o arquivo htaccess no Apache, leia também o Tutorial Apache: htaccess. [...]

  5. Allex disse:

    Alquem mim ajudar a tirar umas restrinções de um sistema adminstrativo que gerencia sites?
    allexboy@live.com
    041 88 9636-7475
    vlw galera

  6. Marcelo Arantes disse:

    Boa noite, muita boa explicação, mas ainda tenho uma grande dúvida que me fez travar em meu projeto.

    Alguém poderia me ajudar com algo?

    RewriteEngine On
    RewriteRule ^imgs/(([a-z]+).(jpg|jpeg|png|gif|bmp))?$ img.php?foto=$1 [NC,L]

    a intenção disso é fazer com que caso a imagem seja aberta, sejam executados alguns comandos, e após isto, via GET, a imagem seja identificada e seja mostrada na tela, de forma que a URL (imgs/exemplo.jpg) mantenha-se, mas por trás ela seja tratada como "img.php?foto=exemplo.jpg".

    Eu não consigo exibir imagem alguma. O Apache entra em um loop e não retorna a figura… Apenas executa o script PHP e não a exibe.

    Haveria alguma forma de contornar esse problema? Ou outra forma de executar o código PHP, preferivelmente de alguma forma onde a URL possa ser mantida, sem mostrar que se trata de um arquivo PHP.

    Por favor, alguém poderia dar uma força? Não encontro ajuda em lugar nenhum…

  7. anderson disse:

    ola! eu estava pensando se ha algum modo para que o que vou explicar funcione :D
    bom, estava pensando em bloquear a pasta localhostdownload_update, (estou fazendo os testes localmente) ate que conseguir das duas maneiras

    #——————————————————————————
    # Server root folder www .htaccess
    # This file provides server security limiting access to the localhost only.
    # Comment next four lines to deactivate. (Allows external access)
    #——————————————————————————

    Order Deny,Allow
    Deny from all
    #Allow from 127.0.0.1
    #Allow from ::1

    AddHandler cgi-script .pl .cgi
    Options +ExecCGI +FollowSymLinks

    #AuthName "Uniform Server – Server Access"
    #AuthType Basic
    #AuthUserFile ../../htpasswd/www/_updater/.htpasswd
    #Require valid-user

    mas… a finalidade dessa pasta eh para que o meu programa verifique se houve novas atualizacoes e se houver ele faca os devidos updates, entao se eu "travar" esta pasta tanto com senha ou para todos, ele tenta e retorna em erro por que nao consegue baixar o arquivo verificador de arquivos novos o "file.lst"

    dai a questao: existe algum modo para que essa pasta seja apenas bloqueada se o usuario acessar por meio de navegadores ? http://www.meusite.com.br/_updater
    Forbidden
    You don't have permission to access /_updater on this server.

    mas fosse liberado usando as configuracoes do arquivo de atualizacoes

    obrigado

  8. Iusky disse:

    Pessoal, tenho uma duvida, estou o servidor apache aqui rodando legal e tudo, mas, como posso saber quem está entrando meu site? Tipo assim, existe alguma forma, um log que registre os acessos do usuários clientes?

Deixe uma resposta