Introdu\u00e7\u00e3o
\nO servidor web \u00e9 um programa respons\u00e1vel por disponibilizar p\u00e1ginas, fotos, ou qualquer outro tipo
\nde objeto ao navegador do cliente. Ele tamb\u00e9m pode operar recebendo dados do cliente,
\nprocessando e enviando o resultado para que o cliente possa tomar a a\u00e7\u00e3o desejada (como em
\naplica\u00e7\u00f5es CGI’s, banco de dados web, preenchimento de formul\u00e1rios, etc).
\nO Apache \u00e9 um servidor Web extremamente configur\u00e1vel, robusto e de alta performance
\ndesenvolvido por uma equipe de volunt\u00e1rios (conhecida como Apache Group) buscando criar
\num servidor web com muitas caracter\u00edsticas e com c\u00f3digo fonte dispon\u00edvel gratuitamente via
\nInternet. Segundo a Netcraft (http:\/\/www.netcraft.com\/), o Apache \u00e9 mais usado que
\ntodos os outros servidores web do mundo juntos.
\nEste cap\u00edtulo n\u00e3o tenta ser um guia completo ao Apache, mas tentar\u00e1 mostrar como sua estrutura \u00e9
\norganizada, as diretivas principais de configura\u00e7\u00e3o, diretivas de seguran\u00e7a, virtual hosting, proxy, o
\nuso de utilit\u00e1rios de gerenciamento do servidor, como personalizar algumas partes do servidor e
\nprogramas \u00fateis de terceiros para an\u00e1lise e diagn\u00f3stico do servidor web. N\u00e3o deixe tamb\u00e9m de ver
\nExemplo comentado de um arquivo de configura\u00e7\u00e3o do Apache, Se\u00e7\u00e3o 12.14 pois cont\u00e9m diretivas
\nb\u00e1sicas de configura\u00e7\u00e3o comentadas e explica\u00e7\u00f5es interessante e faz parte do aprendizado.
\n12.1.1 Vers\u00e3o
\n\u00c9 assumido que esteja usando a vers\u00e3o 1.3.22 do apache. As explica\u00e7\u00f5es contidas aqui podem
\nfuncionar para vers\u00f5es posteriores, mas \u00e9 recomend\u00e1vel que leia a documenta\u00e7\u00e3o sobre
\nmodifica\u00e7\u00f5es no programa (changelog) em busca de mudan\u00e7as que alterem o sentido das
\nexplica\u00e7\u00f5es fornecidas aqui.
\n12.1.2 Um resumo da Hist\u00f3ria do Apache
\nO Apache tem como base o servidor web NCSA 1.3 (National Center of Supercomputing
\nApplications), que foi desenvolvido por Rob McCool. Quando Rob deixou o NCSA, o
\ndesenvolvimento foi interrompido, assim muitos desenvolvedores buscaram personalizar sua
\npr\u00f3pria vers\u00e3o do NCSA ou adicionar mais caracter\u00edsticas para atender as suas necessidades. Neste
\nmomento come\u00e7a a hist\u00f3ria do Apache com Brian Behlendorf e Cliff Skolnick abrindo uma lista de
\ndiscuss\u00e3o para interessados no desenvolvimento, conseguindo espa\u00e7o em um servidor doado pela
\nHotWired e trocando patches corrigindo problemas, adicionando recursos e discutindo id\u00e9ias com
\noutros desenvolvedores e hackers interessados neste projeto.
\nA primeira vers\u00e3o oficial do Apache foi a 0.6.2, lan\u00e7ada em Abril de 1995 (neste per\u00edodo a NCSA
\nretomava o desenvolvimento de seu servidor web, tendo como desenvolvedores Brandon Long e
\nBeth Frank que tamb\u00e9m se tornaram membros especiais do grupo Apache, compartilhando id\u00e9ias
\nsobre seus projetos).
\nNas vers\u00f5es 2.x do Apache, a escalabilidade do servidor foi ampliada suportando as plataformas
\nWin32 (n\u00e3o obtendo o mesmo desempenho que em plataformas UNIX mas sendo melhorado
\ngradativamente).
\n12.1.3 Enviando Corre\u00e7\u00f5es\/Contribuindo com o projeto
\nUm formul\u00e1rio est\u00e1 dispon\u00edvel na Web para o envio de corre\u00e7\u00f5es\/sugest\u00f5es em
\nhttp:\/\/www.apache.org\/bug_report.html\/. Uma lista de anuncio sobre o Apache
\nest\u00e1 dispon\u00edvel em apache-announce@apache.org que divulgam corre\u00e7\u00f5es, novas vers\u00f5es e
\nrealiza\u00e7\u00e3o de eventos.
\nMais detalhes sobre o desenvolvimento do Apache podem ser visualizadas na URL
\nhttp:\/\/dev.apache.org\/.
\n12.1.4 Caracter\u00edsticas do Apache
\nAbaixo est\u00e3o algumas caracter\u00edsticas que fazem esse servidor web o preferido entre os
\nadministradores de sistemas:
\n\u2022 Possui suporte a scripts cgi usando linguagens como Perl, PHP, Shell Script, ASP, etc.
\n\u2022 Suporte a autoriza\u00e7\u00e3o de acesso podendo ser especificadas restri\u00e7\u00f5es de acesso
\nseparadamente para cada endere\u00e7o\/arquivo\/diret\u00f3rio acessado no servidor.
\n\u2022 Autentica\u00e7\u00e3o requerendo um nome de usu\u00e1rio e senha v\u00e1lidos para acesso a alguma
\np\u00e1gina\/sub-diret\u00f3rio\/arquivo (suportando criptografia via Crypto e MD5).
\n\u2022 Negocia\u00e7\u00e3o de conte\u00fado, permitindo a exibi\u00e7\u00e3o da p\u00e1gina Web no idioma requisitado pelo
\nCliente Navegador.
\n\u2022 Suporte a tipos mime.
\n\u2022 Personaliza\u00e7\u00e3o de logs.
\n\u2022 Mensagens de erro.
\n\u2022 Suporte a virtual hosting (\u00e9 poss\u00edvel servir 2 ou mais p\u00e1ginas com endere\u00e7os\/ portas
\ndiferentes atrav\u00e9s do mesmo processo ou usar mais de um processo para controlar mais de
\num endere\u00e7o).
\n\u2022 Suporte a IP virtual hosting.
\n\u2022 Suporte a name virtual hosting.
\n\u2022 Suporte a servidor Proxy ftp e http, com limite de acesso, caching (todas flexivelmente
\nconfigur\u00e1veis).
\n\u2022 Suporte a proxy e redirecionamentos baseados em URLs para endere\u00e7os Internos.
\n\u2022 Suporte a criptografia via SSL,Certificados digitais
\n\u2022 M\u00f3dulos DSO (Dynamic Shared Objects) permitem adicionar\/remover funcionalidades e
\nrecursos sem necessidade de recompila\u00e7\u00e3o do programa.
\n12.1.5 Ficha t\u00e9cnica
\nPacote: apache
\nUtilit\u00e1rios:
\n\u2022 apache – Servidor Web Principal
\n\u2022 apachectl – Shell script que faz interface com o apache de forma mais amig\u00e1vel
\n\u2022 apacheconfig – Script em Perl para configura\u00e7\u00e3o interativa b\u00e1sica do Apache
\n\u2022 htpasswd – Cria\/Gerencia senhas criptografadas Crypto\/MD5
\n\u2022 htdigest – Cria\/Gerencia senhas criptografadas Crypto\/MD5
\n\u2022 dbmmanage – Cria\/Gerencia senhas em formato DBM (Perl)
\n\u2022 logresolve – Faz um DNS reverso dos arquivos de log do Apache para obter o
\nendere\u00e7o de hosts com base nos endere\u00e7os IP’s.
\n\u2022 ab – Apache Benchmarcking – Ferramenta de medida de desempenho do servidor Web
\nApache.
\nPor padr\u00e3o, os arquivos de configura\u00e7\u00e3o do Apache residem no diret\u00f3rio \/etc\/apache:
\nhttpd.conf
\nArquivo de configura\u00e7\u00e3o principal do Apache, possui diretivas que controlam a opera\u00e7\u00e3o do
\ndaemon servidor. Um arquivo de configura\u00e7\u00e3o alternativo pode ser especificado atrav\u00e9s da
\nop\u00e7\u00e3o “-f” da linha de comando.
\nsrm.conf
\nCont\u00e9m diretivas que controlam a especifica\u00e7\u00e3o de documentos que o servidor oferece aos
\nclientes. O nome desse arquivo pode ser substitu\u00eddo atrav\u00e9s da diretiva ResourceConfig no
\narquivo principal de configura\u00e7\u00e3o.
\naccess.conf
\nCont\u00e9m diretivas que controlam o acesso aos documentos. O nome desse arquivo pode ser
\nsubstitu\u00eddo atrav\u00e9s da diretiva AccessConfig no arquivo principal de configura\u00e7\u00e3o.
\nO servidor Web l\u00ea os arquivos acima na ordem que est\u00e3o especificados (httpd.conf,
\nsrm.conf e access.conf). As configura\u00e7\u00f5es tamb\u00e9m podem ser especificadas diretamente no
\narquivo httpd.conf. Note que n\u00e3o \u00e9 obrigat\u00f3rio usar os arquivos srm.conf e
\naccess.conf, mas isto proporciona uma melhor organiza\u00e7\u00e3o das diretivas do servidor,
\nprincipalmente quando se tem um grande conjunto de diretivas. Um exemplo comentado destes tr\u00eas
\narquivos de configura\u00e7\u00e3o \u00e9 encontrado em Exemplo comentado de um arquivo de configura\u00e7\u00e3o do
\nApache, Se\u00e7\u00e3o 12.14.
\n12.1.6 Requerimentos
\nA m\u00e1quina m\u00ednima para se rodar um servidor Apache para atender a uma rede padr\u00e3o 10MB\/s \u00e9
\num Pentium 90, 24MB de RAM, um HD com um bom desempenho e espa\u00e7o em disco consider\u00e1vel
\nde acordo com o tamanho projetado de seu servidor web (considerando seu crescimento).
\nUma configura\u00e7\u00e3o mais r\u00e1pida para redes 100MB\/s teria como processador um Cyrix MX ou Intel
\nPentium MMX como plataforma m\u00ednima (Cyrix \u00e9 o recomendado pelo alto desempenho no
\nprocessamento de strings), barramento de HD SCSI com uma boa placa controladora (Adaptec
\n19160 ou superior) com 64MB de RAM no m\u00ednimo.
\n12.1.7 Arquivos de log criados pelo Apache
\nO servidor httpd grava seus arquivos de log geralmente em \/var\/log\/apache, n\u00e3o \u00e9 poss\u00edvel
\ndescrever os arquivos de logs usados porque tanto seus nomes como conte\u00fado podem ser
\npersonalizados no arquivo httpd.conf. Mesmo assim, os arquivos de logs encontrados na
\ninstala\u00e7\u00e3o padr\u00e3o do Apache s\u00e3o os seguintes:
\n\u2022 access.log – Registra detalhes sobre o acesso as p\u00e1ginas do servidor httpd.
\n\u2022 error.log – Registra detalhes saber erros de acesso as p\u00e1ginas ou erros internos do
\nservidor.
\n\u2022 agent.log – Registra o nome do navegador do cliente (campo UserAgent do cabe\u00e7alho
\nhttp).
\nMais refer\u00eancias podem ser encontradas em Sistema de Log do Apache, Se\u00e7\u00e3o 12.10. Um bom
\nprograma para gera\u00e7\u00e3o de estat\u00edsticas de acesso com gr\u00e1ficos \u00e9 o Relat\u00f3rio gr\u00e1fico de acesso ao
\nsistema, Se\u00e7\u00e3o 12.10.15.
\n12.1.8 Instala\u00e7\u00e3o
\napt-get install apache apache-doc
\n(o pacote apache-doc cont\u00e9m a documenta\u00e7\u00e3o de referencia do Apache, \u00e9 recomend\u00e1vel
\ninstala-lo se estiver curioso e deseja entender melhor seu funcionamento ou consultar diretivas).
\n12.1.9 Iniciando o servidor\/reiniciando\/recarregando a configura\u00e7\u00e3o
\nO Apache pode ser executado tanto como um servidor Inetd ou como um Daemon. A inicializa\u00e7\u00e3o
\nde programas pelo Inetd \u00e9 uma boa estrat\u00e9gia quando voc\u00ea precisa de um controle de acesso b\u00e1sico
\n(o fornecido pelo tcpd), e o servi\u00e7o \u00e9 pouco usado na m\u00e1quina.
\nA seguran\u00e7a de um servi\u00e7o iniciado pelo inetd pode ser substitu\u00edda e melhorada por um firewall
\nbem configurado, garantindo facilidades extras como um relat\u00f3rio de tr\u00e1fego para a porta do
\nservidor web, por exemplo. Mesmo assim se o servidor Apache estiver rodando como daemon e
\nestiver ocioso, ele ser\u00e1 movido para swap liberando a mem\u00f3ria RAM para a execu\u00e7\u00e3o de outros
\nprogramas.
\nNeste cap\u00edtulo ser\u00e1 assumido seu funcionamento do Apache como Daemon, que \u00e9 o m\u00e9todo de
\nfuncionamento recomendado para sites de grande tr\u00e1fego onde ele \u00e9 freq\u00fcentemente requisitado e
\nconsiderado um servi\u00e7o cr\u00edtico.
\nO m\u00e9todo padr\u00e3o para iniciar programas como daemons na Debian \u00e9 atrav\u00e9s dos diret\u00f3rios
\n\/etc\/rc?.d. Cada diret\u00f3rio deste cont\u00e9m os programas que ser\u00e3o executados\/interrompidos no
\nn\u00edvel de execu\u00e7\u00e3o “?” (rc1.d\/, rc2.d\/ …). O conte\u00fado destes diret\u00f3rios s\u00e3o links para os scripts
\noriginais em \/etc\/init.d\/programa, o nosso programa alvo \u00e9 \/etc\/init.d\/apache. O
\n\/etc\/init.d\/apache aceita os seguintes par\u00e2metros:
\n\u2022 start – Inicia o Apache
\n\u2022 stop – Finaliza o Apache
\n\u2022 restart – Reinicia o Apache, efetuando uma pausa de 5 segundos entre a interrup\u00e7\u00e3o do
\nseu funcionamento e reinicio.
\n\u2022 reload – Recarrega os arquivos de configura\u00e7\u00e3o do Apache, as altera\u00e7\u00f5es entram em
\nfuncionamento imediatamente.
\n\u2022 reload-modules – Recarrega os m\u00f3dulos. Basicamente \u00e9 feito um restart no servidor.
\n\u2022 force-reload – Faz a mesma fun\u00e7\u00e3o que o reload
\nPara reiniciar o Apache usando o \/etc\/init.d\/apache, digite:
\n.\/etc\/init.d\/apache restart
\nou
\ncd \/etc\/init.d;.\/apache restart
\nNa realidade, o que o \/etc\/init.d\/apache faz \u00e9 interagir diretamente com o shell script
\napachectl.
\nO apachectl recebe os par\u00e2metros enviados pelo usu\u00e1rio e converte para sinais que ser\u00e3o
\nenviados para o bin\u00e1rio apache. Da mesma forma ele verifica os c\u00f3digos de sa\u00edda do apache e
\nos transforma em mensagens de erro leg\u00edveis para o usu\u00e1rio comum. Os seguintes comandos s\u00e3o
\naceitos pelo apachectl:
\n\u2022 httpd-server\/start – Inicia o Apache
\n\u2022 stop – Finaliza o Apache (enviando um sinal TERM)
\n\u2022 restart – Reinicia o Apache (enviando um sinal HUP)
\n\u2022 graceful – Recarrega os arquivos de configura\u00e7\u00e3o do Apache (enviando um sinal
\nUSR1)
\n\u2022 fullstatus – Mostra o status completo do servidor Apache (requer o lynx e o m\u00f3dulo
\nmod_status carregado).
\n\u2022 status – Mostra o status do processo do servidor Apache (requer o lynx e o m\u00f3dulo
\nmod_status carregado).
\n\u2022 configtest – Verifica se a sintaxe dos arquivos de configura\u00e7\u00e3o est\u00e1 OK (executa um
\napache -t).
\n12.1.10 Op\u00e7\u00f5es de linha de comando
\n\u2022 -D nome – define um nome que ser\u00e1 usado na diretiva <IfDefine nome>.
\n\u2022 -d diret\u00f3rio – especifica o diret\u00f3rio ServerRoot (substitui o do arquivo de
\nconfigura\u00e7\u00e3o).
\n\u2022 -f arquivo – especifica um arquivo ServerConfigFile alternativo.
\n\u2022 -C “diretiva” – processa a diretiva antes de ler os arquivo de configura\u00e7\u00e3o.
\n\u2022 -c “diretiva” – processa a diretiva depois de ler os arquivos de configura\u00e7\u00e3o.
\n\u2022 -v – mostra a vers\u00e3o do programa.
\n\u2022 -V – mostra op\u00e7\u00f5es usadas na compila\u00e7\u00e3o do Apache.
\n\u2022 -h – Mostra o help on-line do programa
\n\u2022 -l – lista m\u00f3dulos compilados junto com o Apache (embutidos)
\n\u2022 -L – lista diretivas de configura\u00e7\u00f5es dispon\u00edveis
\n\u2022 -S – Mostra configura\u00e7\u00f5es de Virtual Hosting
\n\u2022 -t – executa a checagem de sintaxe nos arquivos de configura\u00e7\u00e3o do Apache (incluindo a
\nchecagem da diretiva DocRoot).
\n\u2022 -T – executa a checagem de sintaxe nos arquivos de configura\u00e7\u00e3o do Apache (menos da
\ndiretiva DocRoot).
\n12.2 Configurando a porta padr\u00e3o do Apache
\nUse a diretiva Port para configurar a porta padr\u00e3o que o Apache receber\u00e1 requisi\u00e7\u00f5es por padr\u00e3o.
\nA diretiva Listen tamb\u00e9m \u00e9 usada para ajustar o endere\u00e7o\/portas alternativas (usadas tamb\u00e9m em
\nVirtual Hosts) e substituir\u00e1 as defini\u00e7\u00f5es de Port(veja Especificando endere\u00e7os\/portas
\nadicionais (a diretiva Listen ), Se\u00e7\u00e3o 12.5 para detalhes).
\nOBS:: Somente uma diretiva Port e um argumento poder\u00e3o ser especificados. Para mais controle
\nsobre as portas do sistema use a diretiva Listen.
\n12.3 Adicionando uma p\u00e1gina no Apache
\nExistem dois tipos de p\u00e1ginas que podem ser adicionadas ao Apache: a p\u00e1gina ra\u00edz e sub-p\u00e1ginas.
\nP\u00e1gina Ra\u00edz
\nA p\u00e1gina ra\u00edz \u00e9 especificada atrav\u00e9s da diretiva DocumentRoot e ser\u00e1 mostrada quando se
\nentrar no dom\u00ednio principal, como http:\/\/www.guiafoca.org. Na configura\u00e7\u00e3o
\npadr\u00e3o do Apache, DocumentRoot aponta para o diret\u00f3rio \/home\/viaza132\/www. Este diret\u00f3rio ser\u00e1
\nassumido como ra\u00edz caso os diret\u00f3rios n\u00e3o sejam iniciados por uma \/:
\n\u2022 home\/focalinux – Aponta para \/home\/viaza132\/www\/home\/focalinux
\n\u2022 \/home\/focalinux – Aponta para \/home\/focalinux
\nEste diret\u00f3rio deve conter um arquivo de \u00edndice v\u00e1lido (especificado pela diretiva
\nDocumentIndex no srm.conf) e permiss\u00f5es de acesso v\u00e1lidas no arquivo access.conf
\npara autorizar o acesso as p\u00e1ginas em \/home\/viaza132\/www (veja Restri\u00e7\u00f5es de Acesso, Se\u00e7\u00e3o 12.7
\npara detalhes).
\nSub-p\u00e1ginas
\nSub p\u00e1ginas s\u00e3o armazenadas abaixo do diret\u00f3rio da P\u00e1gina ra\u00edz, como
\nhttp:\/\/www.guiafoca.org\/download. Elas podem ser um subdiret\u00f3rio da p\u00e1gina
\nprincipal em \/home\/viaza132\/www ou serem criadas atrav\u00e9s da diretiva Alias no arquivo srm.conf.
\nCaso seja um sub-diret\u00f3rio, as permiss\u00f5es de acesso de \/home\/viaza132\/www ser\u00e3o herdadas para este
\nsubdiret\u00f3rio, mas tamb\u00e9m poder\u00e3o ser modificadas com a especifica\u00e7\u00e3o de uma nova diretiva
\nde acesso.
\nAtrav\u00e9s da diretiva Alias a p\u00e1gina pode estar localizada em outro diret\u00f3rio do disco (at\u00e9
\nmesmo outro sistema de arquivos) e as permiss\u00f5es de acesso dever\u00e3o ser definidas para
\naquela p\u00e1gina. Para criar um endere\u00e7o http:\/\/www.guiafoca.org\/iniciante que
\naponta para o diret\u00f3rio \/home\/focalinux\/download\/iniciante no disco local,
\nbasta usar a seguinte diretiva no srm.conf:
\nAlias \/iniciante \/home\/focalinux\/download\/iniciante
\nPode ser necess\u00e1rio permitir o acesso a nova p\u00e1gina caso o servidor tenha uma configura\u00e7\u00e3o
\nrestritiva por padr\u00e3o (veja Restri\u00e7\u00f5es de Acesso, Se\u00e7\u00e3o 12.7 para detalhes). Ap\u00f3s isto, fa\u00e7a o
\nservidor httpd re-ler os arquivos de configura\u00e7\u00e3o ou reinicia-lo. Ap\u00f3s isto, a p\u00e1gina
\n\/home\/focalinux\/download\/iniciante estar\u00e1 acess\u00edvel via
\nhttp:\/\/www.guiafoca.org\/iniciante.
\nOBS: Caso inclua uma \/ no diret\u00f3rio que ser\u00e1 acess\u00edvel via URL, o endere\u00e7o somente estar\u00e1
\ndispon\u00edvel caso voc\u00ea entre com \/ no final da URL:
\nAlias \/doc\/ \/usr\/doc\/
\nO diret\u00f3rio \/doc somente poder\u00e1 ser acessado usando
\nhttp:\/\/www.guiafoca.org\/doc\/, o uso de http:\/\/www.guiafoca.org\/doc
\nretornar\u00e1 uma mensagem de URL n\u00e3o encontrada.
\n12.4 Configurando as interfaces que o Apache atender\u00e1
\nA diretiva BindAddress \u00e9 usada para especificar endere\u00e7os IP das interfaces ou endere\u00e7os FQDN
\nque o Apache responder\u00e1 requisi\u00e7\u00f5es. Mais de um endere\u00e7o podem ser especificados separados
\npor espa\u00e7os. Caso n\u00e3o seja definido, o Apache assumir\u00e1 o valor “*” (atender\u00e1 requisi\u00e7\u00f5es vindas
\nde qualquer interface).
\nOBS1: – \u00c9 permitido usar somente uma diretiva BindAddress. A diretiva Listen dever\u00e1 ser usada se
\ndesejar mais controle sobre as portas do servidor web. Veja Especificando endere\u00e7os\/portas
\nadicionais (a diretiva Listen ), Se\u00e7\u00e3o 12.5 para detalhes.
\nOBS2: – As interfaces especificadas pela diretiva Listen substituir\u00e1 as especificadas em
\nBindAddress.
\nExemplo:
\n\u2022 BindAddress 192.168.1.1 – Especifica que os usu\u00e1rios da faixa de rede
\n192.168.1.* ter\u00e3o acesso ao servidor httpd. Isto assume que a m\u00e1quina possui o
\nendere\u00e7o 192.168.1.1 em sua interface de rede interna.
\n\u2022 BindAddress * – Atender\u00e1 requisi\u00e7\u00f5es vindas de qualquer interface de rede.
\n12.5 Especificando endere\u00e7os\/portas adicionais (a diretiva
\nListen)
\nA diretiva Listen \u00e9 usada para se ter um controle maior sobre a especifica\u00e7\u00e3o de endere\u00e7os\/portas
\nalternativas que o servidor web esperar\u00e1 por requisi\u00e7\u00f5es externas. Esta diretiva \u00e9 muito usada na
\nconstru\u00e7\u00e3o de Virtual Hosts. Esta diretiva pode substituir completamente as diretivas Port e
\nBindAddress. Podem ser usados o n\u00famero da porta, ou o par endere\u00e7o:porta:
\nListen 192.168.1.1:80
\nListen 192.168.7.1:81
\nListen 60000
\nO endere\u00e7o que dever\u00e1 ser usado \u00e9 o da interface de rede (assim como na diretiva BindAddress). No
\nexemplo acima, o servidor httpd esperar\u00e1 por requisi\u00e7\u00f5es vindas de 192.168.1.* na porta 80 e
\ntamb\u00e9m 60000, e requisi\u00e7\u00f5es vindas de 192.168.7.1 na porta 81 e tamb\u00e9m 60000.
\n12.6 Especificando op\u00e7\u00f5es\/permiss\u00f5es para as p\u00e1ginas
\nAs op\u00e7\u00f5es de restri\u00e7\u00e3o podem tanto ser especificadas nas diretivas <Directory>, <Location> ou
\n<Files> quanto nos arquivos .htaccess (ou outro nome de arquivo de controle de acesso
\nespecificado pela op\u00e7\u00e3o AccessFileName do arquivo de configura\u00e7\u00e3o do Apache). Cada diretiva
\nde acesso \u00e9 especificada entre <tags> e devem ser fechadas com <\/tag> (como na linguagem
\nHTML). As seguintes diretivas de acesso s\u00e3o v\u00e1lidas no Apache:
\nDirectory
\nAs restri\u00e7\u00e3o afetar\u00e1 o diret\u00f3rio no disco especificado, conseq\u00fcentemente a p\u00e1gina armazenada
\nnele. Por exemplo:
\n<Directory \/home\/viaza132\/www>
\nOrder deny,allow
\ndeny from all
\nallow from 10.1.0.1
\n<Directory>
\nO acesso ao diret\u00f3rio \/home\/viaza132\/www ser\u00e1 permitido somente ao computador com o endere\u00e7o IP
\n10.1.0.1.
\nDirectoryMatch
\nFunciona como a diretiva <Directory> mas trabalha com express\u00f5es regulares como
\nargumento. Por exemplo:
\n<DirectoryMatch “^\/www\/.*”>
\nOrder deny,allow
\ndeny from all
\n<DirectoryMatch>
\nBloquear\u00e1 o acesso ao diret\u00f3rio \/www e sub-diret\u00f3rios dentro dele.
\nFiles
\nAs restri\u00e7\u00f5es afetar\u00e3o os arquivos do disco que conferem com o especificado. \u00c9 poss\u00edvel usar
\nos coringas ? e * como no shell. Tamb\u00e9m podem ser usadas express\u00f5es regulares
\nespecificando um “~” ap\u00f3s Files e antes da express\u00e3o. Por exemplo:
\n<Files *.txt>
\nOrder deny,allow
\ndeny from all
\n<\/Files>
\nBloqueia o acesso a todos os arquivos com a extens\u00e3o .txt
\n<Files ~ “\\.(gif|jpe?g|bmp|png)$”>
\nOrder deny,allow
\n<\/Files>
\nBloqueia o acesso a arquivos gif, jpg, jpeg, bmp, png (note que o “~” ativa o
\nmodo de interpreta\u00e7\u00e3o de express\u00f5es regulares).
\nFilesMatch
\nPermite usar express\u00f5es regulares na especifica\u00e7\u00e3o de arquivos (equivalente a diretiva <Files
\n~ “express\u00e3o”>). Por exemplo:
\n<FilesMatch “\\.(gif|jpe?g|bmp|png)$”>
\nOrder deny,allow
\n<\/FilesMatch>
\nBloqueia o acesso a arquivos gif, jpg, jpeg, bmp, png.
\nLocation
\nAs restri\u00e7\u00f5es afetar\u00e3o o diret\u00f3rio base especificado na URL e seus sub-diret\u00f3rios. Por
\nexemplo:
\n<Location \/security>
\nOrder allow,deny
\n<\/Location>
\nBloqueia o acesso de todos os usu\u00e1rios ao diret\u00f3rio \/security da URL (a explica\u00e7\u00e3o
\nporque o acesso \u00e9 bloqueado neste caso ser\u00e1 explicado em Autoriza\u00e7\u00e3o, Se\u00e7\u00e3o 12.7.1).
\nLocationMatch
\nId\u00eantico a diretiva <Location> mas trabalha com express\u00f5es regulares. Por exemplo:
\n<LocationMatch “\/(extra|special)\/data”>
\nOrder deny,allow
\ndeny from all
\n<\/LocationMatch>
\nBloquear\u00e1 URLs que cont\u00e9m a substring “\/extra\/data” ou “\/special\/data”.
\nO uso das diretivas <Directory> e <Files> \u00e9 apropriada quando voc\u00ea deseja trabalhar com
\npermiss\u00f5es a n\u00edvel de diret\u00f3rios\/arquivos no disco local (o controle do proxy tamb\u00e9m \u00e9 feito via
\n<Directory>), o uso da diretiva <Location> \u00e9 adequado para trabalhar com permiss\u00f5es a n\u00edvel de
\nURL. A ordem de processamento das diretivas de acesso s\u00e3o processadas \u00e9 a seguinte:
\n\u2022 A diretiva <Directory> (com exce\u00e7\u00e3o de <DirectoryMatch>) e os arquivos .htaccess s\u00e3o
\nprocessados simultaneamente. As defini\u00e7\u00f5es dos arquivos .htaccess substituem as de
\n<Directory>)
\n\u2022 Express\u00f5es regulares de <DirectoryMatch>, <Directory>.
\n\u2022 <Files> e <FilesMatch> s\u00e3o processados simultaneamente.
\n\u2022 <Location> e <LocationMatch> s\u00e3o processados simultaneamente.
\nNormalmente \u00e9 encontrado a op\u00e7\u00e3o Options dentro de uma das diretivas acima, a fun\u00e7\u00e3o desta
\ndiretiva \u00e9 controlar os seguintes aspectos da listagem de diret\u00f3rios:
\nAll
\nTodas as op\u00e7\u00f5es s\u00e3o usadas exceto a MultiViews. \u00c9 a padr\u00e3o caso a op\u00e7\u00e3o Options n\u00e3o
\nseja especificada.
\nExecCGI
\nPermite a execu\u00e7\u00e3o de scripts CGI.
\nFollowSymLinks
\nO servidor seguir\u00e1 links simb\u00f3licos neste diret\u00f3rio (o caminho n\u00e3o \u00e9 modificado). Esta op\u00e7\u00e3o
\n\u00e9 ignorada caso apare\u00e7a dentro das diretivas <Location>, <LocationMatch> e
\n<DirectoryMatch>.
\nIncludes
\n\u00c9 permitido o uso de includes no lado do servidor.
\nIncludesNOEXEC
\n\u00c9 permitido o uso de includes do lado do servidor, mas o comando #exec e #include de
\num script CGI s\u00e3o desativados.
\nIndexes
\nSe n\u00e3o existir um arquivo especificado pela diretiva <DirectoryIndex> no diret\u00f3rio
\nespecificado, o servidor formatar\u00e1 automaticamente a listagem ao inv\u00e9s de gerar uma resposta
\nde acesso negado.
\nMultiViews
\nPermite o uso da Negocia\u00e7\u00e3o de conte\u00fado naquele diret\u00f3rio. A negocia\u00e7\u00e3o de conte\u00fado
\npermite o envio de um documento no idioma requisitado pelo navegador do cliente.
\nSymLinksIfOwnerMatch
\nO servidor somente seguir\u00e1 links simb\u00f3licos se o arquivo ou diret\u00f3rio alvo tiver como dono o
\nmesmo user ID do link. Esta op\u00e7\u00e3o \u00e9 ignorada caso apare\u00e7a dentro das diretivas <Location>,
\n<LocationMatch> e <DirectoryMatch>.
\nM\u00faltiplos par\u00e2metros para Options podem ser especificados atrav\u00e9s de espa\u00e7os.
\nOBS1: A op\u00e7\u00e3o Options n\u00e3o tem efeito dentro da diretiva FILES.
\nOBS2: Tanto faz usar mai\u00fasculas quanto min\u00fasculas nas diretivas de configura\u00e7\u00e3o, op\u00e7\u00f5es e
\npar\u00e2metros de configura\u00e7\u00e3o do Apache, a capitaliza\u00e7\u00e3o apenas ajuda a leitura e interpreta\u00e7\u00e3o:
\nSymLinksIfOwnerMatch (LinksSimb\u00f3licosSeDonoConferir).
\nAs op\u00e7\u00f5es especificadas para o diret\u00f3rio afetam tamb\u00e9m seus sub-diret\u00f3rios, a n\u00e3o ser que sejam
\nespecificadas op\u00e7\u00f5es separadas para o sub-diret\u00f3rio:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes FollowSymLinks
\n<\/Directory>
\nAo acessar o diret\u00f3rio \/home\/viaza132\/www\/focalinux, as permiss\u00f5es usadas ser\u00e3o de \/home\/viaza132\/www, ao
\nmenos que uma diretiva <Directory> ou <Location> seja especificada:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes FollowSymLinks
\n<\/Directory>
\n<Directory \/home\/viaza132\/www\/focalinux>
\nOptions Includes
\n<\/Directory>
\nAs op\u00e7\u00f5es e restri\u00e7\u00f5es de acesso de \/home\/viaza132\/www\/focalinux ser\u00e3o EXATAMENTE as
\nespecificadas no bloco da diretiva <Directory \/home\/viaza132\/www\/focalinux> e somente os includes ser\u00e3o
\npermitidos. Para adicionar ou remover uma op\u00e7\u00e3o individual definidas por diretivas anteriores,
\npodem ser usado os sinais “+” ou “-“, por exemplo:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes FollowSymLinks
\n<\/Directory>
\n<Directory \/home\/viaza132\/www\/focalinux>
\nOptions +Includes -Indexes
\n<\/Directory>
\nAs op\u00e7\u00f5es Indexes e FollowSymLinks s\u00e3o definidas para o diret\u00f3rio \/home\/viaza132\/www, ent\u00e3o as
\npermiss\u00f5es do diret\u00f3rio \/home\/viaza132\/www\/focalinux ser\u00e3o FollowSymLinks (do diret\u00f3rio
\n\/web\/docs) e Includes (adicionada) e o par\u00e2metro Indexes n\u00e3o ter\u00e1 efeito neste diret\u00f3rio.
\n\u00c9 permitido fazer um aninhamento das diretivas <Directory> e <Files>:
\n<Directory \/home\/viaza132\/www>
\nOrder allow,deny
\nallow from all
\n<Files LEIAME-DONO.txt>
\nOrder deny,allow
\ndeny from all
\n<\/Files>
\n<\/Directory>
\nNeste caso, somente os arquivos LEIAME-DONO.txt existentes no diret\u00f3rio \/home\/viaza132\/www e seus
\nsub-diret\u00f3rios ser\u00e3o bloqueados.
\nSe a diretiva <Files> for usada fora de uma estrutura <Directory>, ela ter\u00e1 efeito em todos os
\narquivos disponibilizados pelo servidor. Este \u00e9 excelente m\u00e9todo para proteger os arquivos de
\nacesso, senhas e grupos, conforme ser\u00e1 explicado mais adiante.
\nQualquer outro tipo de aninhamento de diretivas resultar\u00e1 em um erro de configura\u00e7\u00e3o ao se tentar
\ncarregar\/recarregar o Apache. Um exemplo de diretiva incorreta:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes FollowSymLinks
\n<Directory \/home\/viaza132\/www\/focalinux>
\nOptions +Includes -Indexes
\n<\/Directory>
\n<\/Directory>
\nO correto \u00e9:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes FollowSymLinks
\n<\/Directory>
\n<Directory \/home\/viaza132\/www\/focalinux>
\nOptions +Includes -Indexes
\n<\/Directory>
\nEspero que tenha observado o erro no exemplo acima.
\nOBS1: Voc\u00ea pode verificar se a configura\u00e7\u00e3o do apache est\u00e1 correta digitando apache -t como
\nusu\u00e1rio root, se tudo estiver correto com suas configura\u00e7\u00f5es ele retornar\u00e1 a mensagem: “Syntax
\nOK”.
\nOBS2: Se Options n\u00e3o for especificado, o padr\u00e3o ser\u00e1 permitir tudo exceto MultiViews.
\nOBS3: Qualquer restri\u00e7\u00e3o afetar\u00e1 o diret\u00f3rio atual e todos os seus sub-diret\u00f3rios! Defina permiss\u00f5es
\nde sub-diret\u00f3rios espec\u00edficos separadamente caso precise de um n\u00edvel de acesso diferente. Veja
\ntamb\u00e9m a se\u00e7\u00e3o sobre arquivos OverRide (.htaccess) para detalhes sobre este tipo de arquivo.
\nOBS4: A diretiva de acesso “<Directory \/>” n\u00e3o afetar\u00e1 outros sistemas de arquivos montados
\ndentro de seus subdiret\u00f3rios. Caso uma diretiva de acesso padr\u00e3o n\u00e3o seja especificada para outros
\nsistemas de arquivos, o acesso ser\u00e1 automaticamente negado.
\n12.7 Restri\u00e7\u00f5es de Acesso
\nA restri\u00e7\u00e3o de acesso do Apache \u00e9 feita atrav\u00e9s de Autoriza\u00e7\u00e3o (Autoriza\u00e7\u00e3o, Se\u00e7\u00e3o 12.7.1) e
\nAutentica\u00e7\u00e3o (Autentica\u00e7\u00e3o, Se\u00e7\u00e3o 12.7.2). Atrav\u00e9s da autoriza\u00e7\u00e3o, \u00e9 checado se o endere\u00e7o\/rede
\nespecificada tem ou n\u00e3o permiss\u00e3o para acessar a p\u00e1gina. A autentica\u00e7\u00e3o requer que seja passado
\nnome e senha para garantir acesso a p\u00e1gina. Os m\u00e9todos de Autoriza\u00e7\u00e3o e Autentica\u00e7\u00e3o podem ser
\ncombinados como veremos mais adiante.
\n12.7.1 Autoriza\u00e7\u00e3o
\nA restri\u00e7\u00e3o de acesso por autoriza\u00e7\u00e3o (controlado pelo m\u00f3dulo mod_access), permite ou n\u00e3o o
\nacesso ao cliente de acordo com o endere\u00e7o\/rede especificada. As restri\u00e7\u00f5es afetam tamb\u00e9m os subdiret\u00f3rios
\ndo diret\u00f3rio alvo. Abaixo um exemplo de restri\u00e7\u00e3o de acesso que bloqueia o acesso de
\nqualquer host que faz parte do dom\u00ednio .spammers.com.br a URL http:\/\/servidor\/teste:
\n<Location \/teste>
\nOption Indexes
\nOrder allow,deny
\nallow from all
\ndeny from .spammers.com.br
\n<\/Location>
\nA op\u00e7\u00e3o Option foi explicada acima, seguem as explica\u00e7\u00f5es das outras diretivas:
\nOrder
\nEspecifica em que ordem as op\u00e7\u00f5es de acesso allow\/deny ser\u00e3o pesquisadas. Caso n\u00e3o seja
\nespecificada, o padr\u00e3o ser\u00e1 deny\/allow. Note que a ordem de pesquisa de allow e deny \u00e9 a
\ninversa da especificada. A diretiva Order aceita os seguintes valores:
\n\u2022 deny,allow – Esta \u00e9 a padr\u00e3o, significa um servidor mais restritivo; a diretiva allow
\n\u00e9 processada primeiro e somente depois a diretiva deny. Caso nenhuma diretiva allow
\ne deny forem especificadas ou n\u00e3o conferirem, PERMITE TUDO como padr\u00e3o.
\n\u2022 allow,deny – Significa um servidor mais permissivo, a op\u00e7\u00e3o deny \u00e9 processada
\nprimeiro e somente depois a op\u00e7\u00e3o allow. Caso nenhuma diretiva allow e deny for
\nespecificadas ou n\u00e3o conferirem, BLOQUEIA TUDO como padr\u00e3o.
\n\u2022 mutual-failure – Somente permite o acesso se o usu\u00e1rio receber autoriza\u00e7\u00e3o
\natrav\u00e9s da op\u00e7\u00e3o allow e N\u00c3O ser bloqueado pela op\u00e7\u00e3o deny, caso uma das
\nchecagens falhe, o acesso \u00e9 imediatamente negado. \u00c9 uma op\u00e7\u00e3o interessante quando
\nvoc\u00ea quer somente pessoas de um determinado endere\u00e7o\/rede acessando o seu sistema
\ne n\u00e3o estejam em sua lista negra \ud83d\ude42
\nATEN\u00c7\u00c3O: \u00c9 importante saber se a p\u00e1gina ser\u00e1 permissiva ou restritiva para escolher a
\nordem mais adequada ao seu caso, tamb\u00e9m leve em considera\u00e7\u00e3o a possibilidade do
\nprocessamento cair na diretiva de acesso padr\u00e3o, caso nem a diretiva allow e deny conferiram
\ne estiver usando a ordem de acesso “allow,deny” ou “deny,allow”. Um sistema mal
\nconfigurado neste aspecto poder\u00e1 trazer s\u00e9rias conseq\u00fc\u00eancias.
\n\u00c9 comum em p\u00e1ginas permissivas se definir a seguinte configura\u00e7\u00e3o:
\nOrder allow,deny
\nallow from all
\nO motivo \u00e9 que em um grande site, se forem adicionadas mais restri\u00e7\u00f5es nesta p\u00e1gina (devido
\na alguns dom\u00ednios que tem usu\u00e1rios mal comportados, bloqueio de acesso a rede do
\nconcorrente, potenciais atacantes, etc…), estas dever\u00e3o ser lidas antes da diretiva “allow from
\nall” e podem passar desapercebidas ao administrador e podem simplesmente n\u00e3o funcionar
\ncaso a op\u00e7\u00e3o Order n\u00e3o esteja ajustada corretamente (lembre-se, voc\u00ea \u00e9 o administrador e a
\nintegridade do site depende de sua aten\u00e7\u00e3o na escolha da ordem correta das diretivas de
\nacesso).
\nallow from
\nEspecifica o endere\u00e7o que ter\u00e1 acesso ao recurso especificado. A diretiva allow from aceita os
\nseguintes valores:
\n\u2022 all – O acesso \u00e9 permitido a todos.
\n\u2022 um endere\u00e7o de dom\u00ednio completo (FQDN). Por exemplo www.debian.org.br.
\n\u2022 um endere\u00e7o de dom\u00ednio parcial. Qualquer computador que confira com o inicio ou
\nfim ter\u00e1 o acesso permitido. Por exemplo, .spammers.com.br, .debian.org.
\n\u2022 um endere\u00e7o IP completo, como 192.168.1.1
\n\u2022 um endere\u00e7o IP parcial como 192.168.1.
\n\u2022 um par rede\/m\u00e1scara como 10.1.0.0\/255.255.0.0 ou 10.1.0.0\/16, uma
\nfaixa de acesso a m\u00e1quinas de uma mesma rede pode ser definida facilmente atrav\u00e9s
\ndeste m\u00e9todo.
\nOBS1: \u00c9 necess\u00e1rio reiniciar o Apache depois de qualquer modifica\u00e7\u00e3o em seu arquivo de
\nconfigura\u00e7\u00e3o (executando apachectl restart), ou recarregar os arquivos de
\nconfigura\u00e7\u00e3o (apachectl graceful).
\nOBS2: Mais de um host pode ser especificado separando com um espa\u00e7o:
\nallow from 192.168. .debian.org.br
\nPermitir\u00e1 o acesso de qualquer m\u00e1quina que o endere\u00e7o IP confira com 192.168.*.* e
\nqualquer computador do dom\u00ednio debian.org.br
\nOBS3: Regras baseadas em nomes simples de hosts (como www) n\u00e3o conferir\u00e3o! Dever\u00e1 ser
\nusado o FQDN ou IP: www.dominio.com.br
\nOBS4: Caso Order n\u00e3o seja especificado, deny,allow ser\u00e1 usado como padr\u00e3o (ou seja,
\npermitir\u00e1 tudo como padr\u00e3o).
\ndeny from
\nEspecifica os endere\u00e7os que N\u00c3O ter\u00e3o acesso ao recurso especificado. As explica\u00e7\u00f5es
\nreferentes a esta diretiva de acesso s\u00e3o id\u00eantica as de allow from.
\n\u00c9 recomend\u00e1vel o uso de endere\u00e7os IP ao inv\u00e9s de endere\u00e7os DNS e um mecanismo anti-spoofing
\nno firewall ou c\u00f3digo de roteamento, pois ficar\u00e1 mais dif\u00edcil um ataque baseado em DNS spoofing,
\naumentando consideravelmente a seguran\u00e7a de seu servidor web.
\nATEN\u00c7\u00c3O: Caso receba erros 403 (acesso negado) sem bloquear a URL nas diretivas de acesso,
\numa dos seguintes problemas pode ser a causa:
\n\u2022 O servidor Web n\u00e3o tem permiss\u00f5es para acessar\/abrir o diret\u00f3rio da p\u00e1gina. Certifique-se
\nque o dono e grupo do processo Apache (especificado pela diretiva User e Group)
\npossuem permiss\u00f5es de acesso \u00e0quele diret\u00f3rio.
\n\u2022 Quando quer fazer uma listagem de arquivos do diret\u00f3rio e n\u00e3o especifica a op\u00e7\u00e3o Option
\nIndexes como op\u00e7\u00e3o de listagem.
\n\u2022 Quando n\u00e3o est\u00e1 usando Option Indexes para impedir a listagem de conte\u00fado do
\ndiret\u00f3rio e o n\u00e3o foi encontrado um arquivo de \u00edndice v\u00e1lido dentre os existentes na diretiva
\nDirectoryIndex no diret\u00f3rio atual.
\nAbaixo alguns exemplos de permiss\u00f5es de acesso:
\n<Directory \/home\/viaza132\/www>
\nOptions SymLinksIfOwnerMatch Indexes MultiViews
\nOrder allow,deny
\nallow from all
\n<\/Directory>
\nPermite o acesso a de qualquer usu\u00e1rio de qualquer lugar (allow from all), permite tamb\u00e9m a
\nvisualiza\u00e7\u00e3o da listagem formatada de arquivos caso nenhum arquivo especificado na diretiva
\nDirectoryIndex seja encontrado (Indexes), permite negocia\u00e7\u00e3o de conte\u00fado (MultiViews) e seguir
\nlinks caso o dono do arquivo confira com o nome do link (SymLinksIfOwnerMatch).
\n<Directory \/home\/viaza132\/www>
\nOptions SymLinksIfOwnerMatch Indexes MultiViews
\n<\/Directory>
\nTem o mesmo significado da diretiva acima por m\u00e9todos diferentes; quando nenhuma op\u00e7\u00e3o Order
\n\u00e9 especificada, deny,allow \u00e9 definido como padr\u00e3o, e como nenhuma op\u00e7\u00e3o de acesso allow\/deny
\nfoi especificada, o padr\u00e3o “Order deny,allow” \u00e9 usado e permite TUDO como padr\u00e3o.
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nOrder deny,allow
\ndeny from all
\n<\/Directory>
\nEsta regra acima n\u00e3o tem muita l\u00f3gica pois restringe o acesso de todos os usu\u00e1rios ao diret\u00f3rio
\n\/home\/viaza132\/www, ao menos se esta for sua inten\u00e7\u00e3o…
\n<Location \/focalinux>
\nOptions All
\nOrder allow,deny
\nallow from all
\n<\/Location>
\nA regra acima permite o acesso a URL http:\/\/www.servidor.org\/focalinux de
\nqualquer host na Internet
\n<Files .htaccess>
\nOrder deny,allow
\ndeny from all
\n<\/Files>
\nBloqueia o acesso a qualquer arquivo .htaccess do sistema
\n<Files ~ “leiame-(arm|alpha|m68k|sparc|powerpc)\\.txt”>
\nOrder deny,allow
\ndeny from all
\n<\/Files>
\nBloqueia o acesso a qualquer arquivo leiame-arm.txt, leiame-alpha.txt, leiamem68k.
\ntxt, leiame-sparc.txt e leiame-powerpc.txt fazendo uso de express\u00f5es
\nregulares.
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nOrder mutual-failure
\nallow from .dominio.com.br
\ndeny from lammer.dominio.com.br
\n<\/Directory>
\nA diretiva acima somente permite acesso ao diret\u00f3rio \/home\/viaza132\/www de m\u00e1quinas pertencentes ao
\ndom\u00ednio .dominio.com.br desde que n\u00e3o seja lammer.dominio.com.br.
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes MultiViews
\nOrder allow,deny
\ndeny from .com .com.br
\nallow from all
\n<\/Directory>
\nBloqueia o acesso ao diret\u00f3rio \/home\/viaza132\/www de computadores pertencentes aos dom\u00ednios .com e
\n.com.br.
\n<Directory \/home\/viaza132\/www>
\nOptions None
\nOrder deny,allow
\nallow from 192.168.1. .guiafoca.org .debian.org
\ndeny from 200.200.123.
\n<\/Directory>
\nA regra acima permite o acesso de m\u00e1quinas da rede 192.168.1.*, do dom\u00ednio
\n*.guiafoca.org e *.debian.org, o acesso de m\u00e1quinas da rede 200.200.123.* \u00e9
\nbloqueado (nada contra, peguei nesse n\u00famero ao acaso :-).
\nNote que a m\u00e1quina 192.168.4.10 ter\u00e1 acesso LIVRE a regra acima, pois n\u00e3o conferir\u00e1 nem
\ncom allow nem com deny, ent\u00e3o o processamento cair\u00e1 na diretiva padr\u00e3o de deny,allow, que neste
\ncaso permite o acesso caso nem allow e deny conferiram com o padr\u00e3o.
\n<Directory \/home\/viaza132\/www>
\nOptions None
\nOrder allow,deny
\nallow from 192.168.1. .cipsga.org.br .debian.org
\ndeny from 200.200.123.
\n<\/Directory>
\nA regra acima \u00e9 id\u00eantica a anterior somente com a mudan\u00e7a da op\u00e7\u00e3o Order. Bloqueia o acesso de
\nm\u00e1quinas da rede 200.200.123.* e permite o acesso de m\u00e1quinas da rede 192.168.1.*, do
\ndom\u00ednio *.cipsga.org.br e *.debian.org.
\nNote que a m\u00e1quina 192.168.4.10 ter\u00e1 acesso BLOQUEADO a regra acima, pois n\u00e3o conferir\u00e1
\nnem com allow nem com deny, ent\u00e3o o processamento cair\u00e1 na diretiva padr\u00e3o de allow,deny que
\nneste caso bloqueia o acesso.
\n12.7.2 Autentica\u00e7\u00e3o
\nAtrav\u00e9s da autentica\u00e7\u00e3o (controlado pelo m\u00f3dulo mod_auth) \u00e9 poss\u00edvel especificar um nome e
\nsenha para acesso ao recurso solicitado. As senhas s\u00e3o gravadas em formato criptografado usando
\nCrypto ou MD5 (conforme desejado). O arquivo de senhas pode ser centralizado ou especificado
\nindividualmente por usu\u00e1rio, diret\u00f3rio ou at\u00e9 mesmo por arquivo acessado.
\n12.7.2.1 Criando um arquivo de Senhas
\nO arquivo de senhas pode ser criado e mantido atrav\u00e9s do uso de 3 utilit\u00e1rios: htpasswd,
\nhtdigest e dbmmanage:
\n12.7.2.1.1 htpasswd
\nEste \u00e9 usado para criar o arquivo de senhas. Para criar um banco de dados com o nome senhas
\npara o usu\u00e1rio convidado, \u00e9 usada a seguinte sintaxe:
\nhtpasswd -c -m senhas convidado
\nVoc\u00ea ser\u00e1 perguntado por uma senha para o usu\u00e1rio convidado e para redigita-la. A op\u00e7\u00e3o “-c”
\nindica que dever\u00e1 ser criado um arquivo, a op\u00e7\u00e3o “-m” indica a utiliza\u00e7\u00e3o de senhas criptografadas
\nusando o algoritmo MD5, que garante maior seguran\u00e7a que o m\u00e9todo Crypto. A senha pode ser
\nespecificada diretamente na linha de comando atrav\u00e9s da op\u00e7\u00e3o “-b” (isto \u00e9 um \u00f3timo recurso para
\nutiliza\u00e7\u00e3o em shell scripts ou programas CGI de integra\u00e7\u00e3o com o navegador).
\nhtpasswd -b -d senhas chefe abcdef
\nNo exemplo acima, uma senha de alta seguran\u00e7a ser\u00e1 introduzida no banco de dados senhas
\ntornando imposs\u00edvel o acesso a p\u00e1gina do usu\u00e1rio \ud83d\ude42
\nNote que esta senha foi cadastrada usando o algoritmo de criptografia Crypto (op\u00e7\u00e3o -d). O
\nalgoritmo SHA tamb\u00e9m pode ser usado como alternativa, atrav\u00e9s da op\u00e7\u00e3o “-s”. Para modificar a
\nsenha do usu\u00e1rio convidado, basta usar a mesma sintaxe (sem a op\u00e7\u00e3o “-c” que \u00e9 usada para criar
\num novo arquivo):
\nhtpasswd -m senhas convidado
\nou
\nhtpasswd -b -m senhas convidado nova_senha
\nOpcionalmente voc\u00ea pode especificar a op\u00e7\u00e3o “-d” para atualizar tamb\u00e9m o formato da senha para
\nCrypto. Podem existir senhas de criptografias mistas (SHA, Crypto, MD5) no mesmo arquivo sem
\nnenhum problema.
\nA mudan\u00e7a do formato de senhas \u00e9 \u00fatil quando se deseja aumentar o n\u00edvel de seguran\u00e7a oferecido
\npor um melhor sistema ou para manter a compatibilidade com alguns scripts\/programas que
\ncompartilhem o arquivo de senhas.
\n12.7.2.1.2 htdigest e dbmmanage
\nEstes s\u00e3o id\u00eanticos ao htpasswd, a diferen\u00e7a \u00e9 que o htdigest permite criar\/manter um
\narquivo de senhas usando a autentica\u00e7\u00e3o Digest, enquanto o dbmmanage permite manter o banco
\nde dados de senhas em um arquivo DB, DBM, GDBM e NDBM, formatos conhecidos pelo Perl.
\n12.7.2.2 Autentica\u00e7\u00e3o atrav\u00e9s de usu\u00e1rios
\nAtrav\u00e9s deste m\u00e9todo \u00e9 poss\u00edvel especificar que usu\u00e1rios ter\u00e3o acesso ao recurso definido, usando
\nsenhas de acesso individuais criptografadas usando um dos utilit\u00e1rios da se\u00e7\u00e3o anterior. Para
\nrestringir o acesso ao endere\u00e7o http:\/\/servidor.org\/teste:
\n<Location \/teste>
\nAuthName “Acesso a p\u00e1gina do Foca Linux”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/SenhaUsuario
\n# AuthGroupFile \/home\/users\/SenhaGrupo
\nRequire valid-user
\n<\/Location>
\nAo tentar acessar o endere\u00e7o http:\/\/servidor\/teste, ser\u00e1 aberta uma janela no navegador
\ncom o t\u00edtulo Enter username for Acesso a p\u00e1gina do Foca Linux at servidor.org, a diretiva Require
\nvalid-user definem que o usu\u00e1rio e senha digitados devem existir no arquivo especificado por
\nAuthUserFile para que o acesso seja garantido. Uma explica\u00e7\u00e3o de cada op\u00e7\u00e3o de acesso usado na
\nautentica\u00e7\u00e3o:
\nAuthName
\nSer\u00e1 o nome que aparecer\u00e1 na janela de autentica\u00e7\u00e3o do seu navegador indicando qual \u00e1rea
\nrestrita est\u00e1 solicitando senha (podem existir v\u00e1rias no servidor, bastando especificar v\u00e1rias
\ndiretivas de restri\u00e7\u00f5es).
\nAuthType
\nEspecifica o m\u00e9todo de que o nome e senha ser\u00e3o passados ao servidor. Este m\u00e9todo de
\nautentica\u00e7\u00e3o pode ser Basic ou Digest
\n\u2022 Basic – Utiliza a codifica\u00e7\u00e3o base64 para encodifica\u00e7\u00e3o de nome e senha, enviando o
\nresultado ao servidor. Este \u00e9 um m\u00e9todo muito usado e pouco seguro, pois qualquer
\nsniffer instalado em um roteador pode capturar e descobrir facilmente seu nome e
\nsenha.
\n\u2022 Digest – Transmite os dados de uma maneira que n\u00e3o pode ser facilmente
\ndecodificada, incluindo a codifica\u00e7\u00e3o da \u00e1rea protegida (especificada pela diretiva
\nAuthName) que possui a seq\u00fcencia de login\/senha v\u00e1lida. A diferen\u00e7a deste m\u00e9todo \u00e9
\nque voc\u00ea precisar\u00e1 de arquivos de senhas diferentes para cada \u00e1rea protegida
\nespecificada por AuthName (tamb\u00e9m chamada de Realm).
\nAuthUserFile
\n\u00c9 o arquivo gerado pelo utilit\u00e1rio htpasswd que cont\u00e9m a senha correspondente ao usu\u00e1rio
\nAuthGroupFile
\n\u00c9 um arquivo texto que cont\u00e9m o nome do grupo, dois pontos (“:”) e o nome dos usu\u00e1rios que
\npodem ter acesso ao recurso, separados por v\u00edrgulas. No exemplo acima ele se encontra
\ncomentado, mas a seguir encontrar\u00e1 exemplos que explicam em detalhes o funcionamento
\ndesta diretiva.
\nRequire
\nEspecifica que usu\u00e1rios podem ter acesso ao diret\u00f3rio. Podem ser usadas uma das 3 sintaxes:
\n\u2022 Require user usu\u00e1rio1 usu\u00e1rio2 usu\u00e1rio3 – Somente os usu\u00e1rios
\nespecificados s\u00e3o considerados v\u00e1lidos para ter acesso ao diret\u00f3rio.
\n\u2022 Require group grupo1 grupo2 grupo3 – Somente os usu\u00e1rios dos grupos
\nespecificados s\u00e3o considerados v\u00e1lidos para terem acesso ao diret\u00f3rio. Esta diretiva \u00e9
\n\u00fatil quando deseja que somente alguns usu\u00e1rios de determinado grupo tenham acesso
\nao recurso (por exemplo, usu\u00e1rios do grupo admins).
\n\u2022 Require valid-user – Qualquer usu\u00e1rio v\u00e1lido no banco de dados de senhas
\npode acessar o diret\u00f3rio. \u00c9 bem \u00fatil quando as op\u00e7\u00f5es de acesso especificadas por
\nRequire user s\u00e3o muito longas.
\nA op\u00e7\u00e3o Require deve ser acompanhado das diretivas AuthName, AuthType e as
\ndiretivas AuthUserFile e AuthGroupFile para funcionar adequadamente.
\nOBS: \u00c9 necess\u00e1rio reiniciar o Apache depois de qualquer modifica\u00e7\u00e3o em seu arquivo de
\nconfigura\u00e7\u00e3o (apachectl restart), ou recarregar os arquivos de configura\u00e7\u00e3o (apachectl
\ngraceful). Note que o apachectl \u00e9 somente um shell script para intera\u00e7\u00e3o mais amig\u00e1vel com
\no servidor web apache, retornando mensagens indicando o sucesso\/falha no comando ao inv\u00e9s de
\nc\u00f3digos de sa\u00edda.
\nAlguns exemplos para melhor assimila\u00e7\u00e3o:
\n<Location \/teste>
\nAuthName “Acesso a p\u00e1gina do Foca Linux”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/SenhaUsuario
\nRequire user gleydson
\n<\/Location>
\nAs explica\u00e7\u00f5es s\u00e3o id\u00eanticas a anterior, mas somente permite o acesso do usu\u00e1rio gleydson a
\nURL http:\/\/servidor.org\/teste, bloqueando o acesso de outros usu\u00e1rios contidos no
\narquivo AuthUserFile.
\n<Location \/teste>
\nAuthName “Acesso a p\u00e1gina do Foca Linux”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/SenhaUsuario
\nRequire user gleydson usuario1 usuario2
\n<\/Location>
\n<Location \/teste>
\nAuthName “Acesso a p\u00e1gina do Foca Linux”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/SenhaUsuario
\nRequire user gleydson
\nRequire user usuario1
\nRequire user usuario2
\n<\/Location>
\nAs 2 especifica\u00e7\u00f5es acima s\u00e3o equivalentes e permite o acesso aos usu\u00e1rios gleydson,
\nusuario1 e usuario2 a p\u00e1gina http:\/\/servidor.org\/teste.
\n12.7.2.3 Autentica\u00e7\u00e3o usando grupos
\nH\u00e1 casos onde existem usu\u00e1rios de um arquivo de senhas que devem ter acesso a um diret\u00f3rio e
\noutros n\u00e3o, neste caso a diretiva valid-user n\u00e3o pode ser especificada (porque permitiria o acesso de
\ntodos os usu\u00e1rios do arquivo de senha ao diret\u00f3rio) e uma grande lista de usu\u00e1rios ficaria bastante
\ncomplicada de ser gerenciada com v\u00e1rios usu\u00e1rios na diretiva Require user.
\nQuando existe esta situa\u00e7\u00e3o, \u00e9 recomendado o uso de grupos de usu\u00e1rios. Para fazer uso desse
\nrecurso, primeiro dever\u00e1 ser criado um arquivo quer armazenar\u00e1 o nome do grupo e dos usu\u00e1rios
\npertencente \u00e0quele grupo usando a seguinte sintaxe (vamos chamar este arquivo de SenhaGrupo):
\nadmins: gleydson usuario2
\nusuarios: usuario1 usuario2 usuario3 gleydson
\nAgora adaptamos o exemplo anterior para que somente os usu\u00e1rios especificados no grupo admins
\ndo arquivo criado acima:
\n<Location \/teste>
\nAuthName “Acesso a p\u00e1gina do Foca Linux”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/SenhaUsuario
\nAuthGroupFile \/home\/gleydson\/SenhaGrupo
\nRequire group admins
\n<\/Location>
\nAgora somente os usu\u00e1rios pertencentes ao grupo admins (gleydson e usuario2) poder\u00e3o ter acesso
\nao diret\u00f3rio \/teste.
\nOBS1: Verifique se o servidor Web possui acesso a leitura no arquivo de senhas de usu\u00e1rios e
\ngrupos, caso contr\u00e1rio ser\u00e1 retornado um c\u00f3digo “500 – Internal Server Error”. Este tipo de erro \u00e9
\ncaracterizado por tudo estar OK na sintaxe dos arquivos de configura\u00e7\u00e3o ap\u00f3s checagem com
\n“apache -t” e todas as diretivas de controle de acesso apontam para os diret\u00f3rios e arquivos corretos.
\nOBS2:: Sempre use espa\u00e7os para separar os nomes de usu\u00e1rios pertencentes a um grupo.
\nOBS3: NUNCA coloque os arquivos que cont\u00e9m senhas e grupos em diret\u00f3rios de acesso p\u00fablico
\nonde usu\u00e1rios podem ter acesso via o servidor Web. Tais localiza\u00e7\u00f5es s\u00e3o \/home\/viaza132\/www,
\n\/home\/”usuario”\/public_html e qualquer outro diret\u00f3rio de acesso p\u00fablico que defina em
\nseu sistema.
\n\u00c9 recomend\u00e1vel tamb\u00e9m ocultar estes arquivos atrav\u00e9s da diretiva <Files> evitando poss\u00edveis riscos
\nde seguran\u00e7a com usu\u00e1rios acessando os arquivos de senha e grupo.
\nNa distribui\u00e7\u00e3o Debian, qualquer arquivo iniciando com .ht* ser\u00e1 automaticamente ocultado
\npelo sistema, pois j\u00e1 existe uma diretiva <Files ~ “\\.ht”>. Tal diretiva pode tamb\u00e9m ser especificada
\nno arquivo de acesso .htaccess. Assim um arquivo .htsenha e .htgroup s\u00e3o bons nomes
\nse estiver desejando ocultar dados de olhos curiosos…
\n12.7.3 Usando autoriza\u00e7\u00e3o e autentica\u00e7\u00e3o juntos
\nOs m\u00e9todos de autoriza\u00e7\u00e3o e autentica\u00e7\u00e3o podem ser usados ao mesmo tempo dentro de qualquer
\numa das diretivas de controle de acesso. As diretivas de autoriza\u00e7\u00e3o s\u00e3o processadas primeiro
\n(mod_access) e depois as diretivas de autentica\u00e7\u00e3o (mod_auth). Segue um exemplo:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nOrder deny,allow
\nallow from .dominiolocal.com.br
\ndeny from all
\nAuthName “Acesso ao diret\u00f3rio do servidor Web”
\nAuthType basic
\nAuthUserFile \/var\/cache\/apache\/senhas
\nRequire valid-user
\n<\/Directory>
\nPara ter acesso ao diret\u00f3rio \/home\/viaza132\/www, primeiro o computador deve fazer parte do dom\u00ednio
\n.dominiolocal.com.br, assim ela passa pelo teste de autoriza\u00e7\u00e3o, depois disso ser\u00e1
\nnecess\u00e1rio fornecer o login e senha para acesso a p\u00e1gina, digitando o login e senha corretos, o teste
\nde autentica\u00e7\u00e3o ser\u00e1 completado com sucesso e o acesso ao diret\u00f3rio \/home\/viaza132\/www autorizado.
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nOrder mutual-failure
\nallow from .dominiolocal.com.br
\ndeny from lammer.dominiolocal.com.br
\nAuthName “Acesso ao diret\u00f3rio do servidor Web”
\nAuthType basic
\nAuthUserFile \/var\/cache\/apache\/senhas
\nAuthGroupFile \/var\/cache\/apache\/grupos
\nRequire group admins
\n<\/Directory>
\nNo exemplo acima, \u00e9 usado o m\u00e9todo de autoriza\u00e7\u00e3o com a op\u00e7\u00e3o Order mutual-failure e o m\u00e9todo
\nde autentica\u00e7\u00e3o atrav\u00e9s de grupos. Primeiro \u00e9 verificado se o usu\u00e1rio pertence ao dom\u00ednio
\n.dominiolocal.com.br e se ele n\u00e3o est\u00e1 acessando da m\u00e1quina
\nlammer.dominiolocal.com.br, neste caso ele passa pelo teste de autoriza\u00e7\u00e3o. Depois disso
\nele precisar\u00e1 fornecer o nome e senha v\u00e1lidos, com o login pertencente ao AuthGroupFile, passando
\npelo processo de autentica\u00e7\u00e3o e obtendo acesso ao diret\u00f3rio \/home\/viaza132\/www.
\n12.7.3.1 Acesso diferenciado em uma mesma diretiva
\n\u00c9 interessante permitir usu\u00e1rios fazendo conex\u00f5es de locais confi\u00e1veis terem acesso direto sem
\nprecisar fornecer nome e senha e de locais inseguros acessarem somente ap\u00f3s comprovarem quem
\nrealmente s\u00e3o. Como \u00e9 o caso de permitir usu\u00e1rios de uma rede privada terem acesso completo aos
\nrecursos e permitir o acesso externo ao mesmo recurso somente atrav\u00e9s de senha. Isto pode ser feito
\ncom o uso da diretiva Satisfy junto ao bloco de autoriza\u00e7\u00e3o\/autentica\u00e7\u00e3o. Vamos tomar como base
\no exemplo anterior:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nOrder mutual-failure
\nallow from .dominiolocal.com.br
\ndeny from lammer.dominiolocal.com.br
\nAuthName “Acesso ao diret\u00f3rio do servidor Web”
\nAuthType basic
\nAuthUserFile \/var\/cache\/apache\/senhas
\nAuthGroupFile \/var\/cache\/apache\/grupos
\nRequire group admins
\nSatisfy any
\n<\/Directory>
\nNote que o exemplo \u00e9 o mesmo com a adi\u00e7\u00e3o da diretiva Satisfy any no final do bloco do arquivo.
\nQuando a op\u00e7\u00e3o Satisfy n\u00e3o \u00e9 especificada, ela assumir\u00e1 “all” como padr\u00e3o, ou seja, o usu\u00e1rio
\ndever\u00e1 passar no teste de autoriza\u00e7\u00e3o e autentica\u00e7\u00e3o para ter acesso.
\nA diferen\u00e7a do exemplo acima em rela\u00e7\u00e3o ao da se\u00e7\u00e3o anterior \u00e9 se a m\u00e1quina passar no teste de
\nautoriza\u00e7\u00e3o ela j\u00e1 ter\u00e1 acesso garantido. Caso falhe no teste de autoriza\u00e7\u00e3o, ainda ter\u00e1 a chance de
\nter acesso a p\u00e1gina passando na checagem de autentica\u00e7\u00e3o.
\nIsto garante acesso livre aos usu\u00e1rios do dom\u00ednio .dominiolocal.com.br. J\u00e1 os outros
\nusu\u00e1rios, incluindo acessos vindos de lammer.dominiolocal.com.br que pode ser uma
\nm\u00e1quina com muito uso, poder\u00e1 ter acesso ao recurso caso tenha fornecido um nome e senha
\nv\u00e1lidos para passar pelo processo de autentica\u00e7\u00e3o. Tenha isto em mente… este tipo de problema \u00e9
\ncomum e depende mais de uma pol\u00edtica de seguran\u00e7a e conduta interna, o sistema de seguran\u00e7a n\u00e3o
\npode fazer nada a n\u00e3o ser permitir acesso a um nome e senha v\u00e1lidos.
\nTenha cuidado com o uso da op\u00e7\u00e3o Satisfy em diretivas que especificam somente o m\u00e9todo de
\nautentica\u00e7\u00e3o:
\n<Directory \/home\/viaza132\/www>
\nOptions Indexes
\nAuthName “Acesso ao diret\u00f3rio do servidor Web”
\nAuthType basic
\nAuthUserFile \/var\/cache\/apache\/senhas
\nAuthGroupFile \/var\/cache\/apache\/grupos
\nRequire group admins
\nSatisfy any
\n<\/Directory>
\nATEN\u00c7\u00c3O PARA O DESCUIDO ACIMA!: Como o m\u00e9todo de autoriza\u00e7\u00e3o N\u00c3O \u00e9 especificado, \u00e9
\nassumido deny,allow como padr\u00e3o, que permite o acesso a TODOS os usu\u00e1rios. O bloco acima
\nNUNCA executar\u00e1 o m\u00e9todo de autentica\u00e7\u00e3o por este motivo. A melhor coisa \u00e9 N\u00c3O usar a op\u00e7\u00e3o
\nSatisfy em casos que s\u00f3 requerem autentica\u00e7\u00e3o ou usar Satisfy all (que ter\u00e1 o mesmo efeito de n\u00e3o
\nusa-la, hehehe).
\nA falta de aten\u00e7\u00e3o nisto pode comprometer silenciosamente a seguran\u00e7a de seu sistema.
\n12.7.4 O arquivo .htaccess
\nO arquivo .htaccess deve ser colocado no diret\u00f3rio da p\u00e1gina que dever\u00e1 ter suas permiss\u00f5es de
\nacesso\/listagem controladas. A vantagem em rela\u00e7\u00e3o a inclus\u00e3o direta de diretivas de acesso dentro
\ndo arquivo de configura\u00e7\u00e3o do Apache, \u00e9 que o controle de acesso poder\u00e1 ser definido pelo
\npr\u00f3prio webmaster da p\u00e1gina, sem precisar ter acesso direto a configura\u00e7\u00e3o do Apache, que
\nrequerem privil\u00e9gios de root.
\nOutro ponto fundamental \u00e9 que n\u00e3o h\u00e1 necessidade de reiniciar o servidor Web, pois este arquivo \u00e9
\nlido no momento de cada acesso ao diret\u00f3rio que controla. O nome do arquivo OverRide pode ser
\ndefinido atrav\u00e9s da diretiva AccessFileName no arquivo de configura\u00e7\u00e3o do Apache, .htaccess
\n\u00e9 usado como padr\u00e3o.
\nO controle de que op\u00e7\u00f5es estar\u00e3o dispon\u00edveis no .htaccess s\u00e3o definidas na diretiva
\nAllowOverride que pode conter o seguintes par\u00e2metros:
\n\u2022 None – O servidor n\u00e3o buscar\u00e1 o arquivo .htaccess nos diret\u00f3rios
\n\u2022 All – O servidor utilizar\u00e1 todas as op\u00e7\u00f5es abaixo no arquivo .htaccess
\n\u2022 AuthConfig – Permite o uso de diretivas de autentica\u00e7\u00e3o (AuthDBMGroupFile,
\nAuthDBMUserFile, AuthGroupFile, AuthName, AuthType, AuthUserFile, Require, etc.).
\n\u2022 FileInfo – Permite o uso de diretivas controlando o tipo de documento (AddEncoding,
\nAddLanguage, AddType, DefaultType, ErrorDocument, LanguagePriority, etc.).
\n\u2022 Indexes – Permite o uso de diretivas controlando a indexa\u00e7\u00e3o de diret\u00f3rio
\n(AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon,
\nDirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOptions, ReadmeName,
\netc.).
\n\u2022 Limit – Permite o uso de diretivas controlando o acesso ao computador (allow, deny e
\norder).
\n\u2022 Options – Permite o uso de diretivas controlando caracter\u00edsticas espec\u00edficas do diret\u00f3rio
\n(Options e XBitHack).
\nOBS: N\u00e3o tem sentido usar a op\u00e7\u00e3o AllowOverride dentro da diretiva <Location>, ela ser\u00e1
\nsimplesmente ignorada.
\nPara acesso ao arquivo .htaccess do diret\u00f3rio \/home\/viaza132\/www\/focalinux, o Apache buscar\u00e1 os
\narquivos .htaccess na seq\u00fcencia: \/.htaccess, \/var\/.htaccess,
\n\/home\/viaza132\/www\/.htaccess, \/home\/viaza132\/www\/focalinux\/.htaccess, qualquer diretiva que n\u00e3o
\nexista no .htaccess do diret\u00f3rio \/home\/viaza132\/www\/focalinux ter\u00e1 seu valor definido pela diretiva
\ndos arquivos .htaccess dos diret\u00f3rios anteriores. Somente ap\u00f3s esta seq\u00fcencia de checagens o
\nacesso ao documento \u00e9 permitido (ou negado).
\nPor este motivo, muitos administradores decidem desativar completamente o uso de arquivos
\n.htaccess no diret\u00f3rio ra\u00edz e habilitar somente nos diret\u00f3rios especificados pela diretiva
\n<Directory> no arquivo de configura\u00e7\u00e3o do Apache, evitando brechas de seguran\u00e7a na
\nmanipula\u00e7\u00e3o destes arquivos (esta \u00e9 uma boa id\u00e9ia a n\u00e3o ser que se dedique 24 horas somente na
\nadministra\u00e7\u00e3o do seu servidor Web e conhe\u00e7a toda sua estrutura hier\u00e1rquica de seguran\u00e7a:
\n<Directory \/>
\nAllowOverride none
\n<\/Directory>
\n<Directory \/home\/viaza132\/www>
\nAllowOverride limit authconfig indexes
\n<\/Directory>
\nNa especifica\u00e7\u00e3o acima, o arquivo .htaccess ser\u00e1 procurado no diret\u00f3rio \/home\/viaza132\/www e seus
\nsub-diret\u00f3rios, usando somente op\u00e7\u00f5es que controlam a autoriza\u00e7\u00e3o de acesso (limit), autentica\u00e7\u00e3o e
\nop\u00e7\u00f5es (authconfig) e de indexa\u00e7\u00e3o de documentos (indexes).
\nAlguns exemplos do uso do arquivo .htaccess:
\nPara permitir o acesso direto de usu\u00e1rios da rede 192.168.1.* diretamente, e requerer senha de
\nacesso para outros usu\u00e1rios, o seguinte arquivo .htaccess deve ser criado no diret\u00f3rio
\n\/home\/viaza132\/www:
\nOrder deny,allow
\nallow from 192.168.1.0\/24
\ndeny from all
\nAuthName “Acesso a p\u00e1gina Web principal da Empresa”
\nAuthType basic
\nAuthUserFile \/var\/cache\/apache\/senhas
\nRequire valid-user
\nSatisfy any
\nNote que a sintaxe \u00e9 exatamente a mesma das usadas na diretivas de acesso, por este motivo vou
\ndispensar explica\u00e7\u00f5es detalhadas a respeito.
\nATEN\u00c7\u00c3O: A diretiva Options Indexes dever\u00e1 ser especificada no AllowOverRide e n\u00e3o no
\narquivo .htaccess. Agora voc\u00ea j\u00e1 sabe o que fazer se estiver recebendo erros 500 ao tentar
\nacessar a p\u00e1gina (Erro interno no servidor)…
\n12.7.5 Usando a diretiva SetEnvIf com Allow e Deny
\n\u00c9 poss\u00edvel especificar o acesso baseado em vari\u00e1veis de ambiente usando a diretiva SetEnvIf, isto
\nlhe permite controlar o acesso de acordo com o conte\u00fado de cabe\u00e7alhos HTTP. A sintaxe \u00e9 a
\nseguinte:
\nSetEnvIf [atributo] [express\u00e3o] [vari\u00e1vel]
\nIsto poder ser facilmente interpretado como: Se o “atributo” especificado conter a “express\u00e3o”, a
\n“vari\u00e1vel” ser\u00e1 criada e armazenar\u00e1 o valor verdadeiro. Veja abaixo:
\nSetEnvIf User-Agent “.*MSIE*.” EXPLODER
\n<Directory \/home\/viaza132\/www>
\nOrder deny,allow
\nallow from all
\ndeny from env=EXPLODER
\n<\/Directory>
\nSe o Navegador (campo User-Agent do cabe\u00e7alho http) usado para acessar a p\u00e1gina for o
\nInternet Explorer, a vari\u00e1vel EXPLODER ser\u00e1 criada e ter\u00e1 o valor verdadeiro (porque a
\nexpress\u00e3o de SetEnvIf conferiu com a express\u00e3o).
\nNote o uso de “deny from env=VARI\u00c1VEL”. Neste caso se o navegador for o Internet
\nExplorer, o acesso ser\u00e1 bloqueado (pois o navegador conferiu, assim a vari\u00e1vel EXPLODER
\nrecebeu o valor verdadeiro).
\n\u00c9 permitido especificar as diretivas de acesso normais junto com especifica\u00e7\u00e3o de vari\u00e1veis de
\nambiente, basta separa-los com espa\u00e7os. Uma descri\u00e7\u00e3o completa dos cabe\u00e7alhos HTTP, conte\u00fado e
\npar\u00e2metros aceitos por cada um s\u00e3o descritos na RFC 2068.
\n12.7.6 A diretiva <Limit>
\nEsta diretiva \u00e9 semelhante a <Directory> mas trabalha com m\u00e9todos HTTP (como GET, PUT,
\nPOST, etc) ao inv\u00e9s de diret\u00f3rios. A diretiva <Limit> pode ser usada dentro da diretiva de acesso
\n<Directory>, <Location>, mas nenhuma diretiva de controle de acesso pode ser colocada dentro de
\n<Limit>.
\nOs m\u00e9todos HTTP v\u00e1lidos s\u00e3o: GET, POST, PUT DELETE, CONNECT, OPTIONS, TRACE,
\nPATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK e UNLOCK. Note que os
\nm\u00e9todos s\u00e3o case-sensitive. Por exemplo:
\n<Directory \/home\/viaza132\/www>
\nOption Indexes
\n<Limit POST PUT DELETE>
\nOrder deny,allow
\nallow from 192.168.1.0\/24
\ndeny from all
\n<\/Limit>
\n<\/Directory>
\nSomente permitem o uso dos m\u00e9todos POST, PUT, DELETE de m\u00e1quinas da rede interna.
\nOBS1: Se o m\u00e9todo GET \u00e9 bloqueado, o cabe\u00e7alho HTTP tamb\u00e9m ser\u00e1 bloqueado.
\nOBS2: A diretiva de acesso <Limit> somente ter\u00e1 efeito na diretiva <Location> se for especificada
\nno arquivo de configura\u00e7\u00e3o do servidor web. A diretiva <Location> simplesmente \u00e9 ignorada nos
\narquivos .htaccess…
\nEste abaixo \u00e9 usado por padr\u00e3o na distribui\u00e7\u00e3o Debian para restringir para somente leitura o
\nacesso aos diret\u00f3rios de usu\u00e1rios acessados via m\u00f3dulo mod_userdir:
\n<Directory \/home\/*\/public_html>
\nAllowOverride FileInfo AuthConfig Limit
\nOptions MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
\n<Limit GET POST OPTIONS PROPFIND>
\nOrder allow,deny
\nAllow from all
\n<\/Limit>
\n<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
\nOrder deny,allow
\nDeny from all
\n<\/Limit>
\n<\/Directory>
\n12.7.7 Diretiva <LimitExcept>
\nEsta diretiva \u00e9 semelhante a <Limit>, mas atinge todos os m\u00e9todos HTTP, menos os especificados.
\n12.8 Definindo documentos de erro personalizados
\nDocumentos de erros personalizados s\u00e3o definidos atrav\u00e9s da diretiva ErrorDocument. \u00c9 poss\u00edvel
\nespecificar c\u00f3digos de erros que ser\u00e3o atendidos por certos documentos ou colocar esta diretiva
\ndentro de blocos de controle de acesso <Directory>, <Location> ou <VirtualHost> para que tenham
\nmensagens de erro personalizadas, ao inv\u00e9s da padr\u00e3o usada pelo servidor httpd.
\nErrorDocument [c\u00f3digo de erro] [documento]
\nOnde:
\nc\u00f3digo de erro
\nC\u00f3digo de erro da mensagem (veja C\u00f3digos HTTP, Se\u00e7\u00e3o 12.15 como refer\u00eancia). O c\u00f3digo
\nde erro 401 deve referir-se a um arquivo local.
\ndocumento
\nDocumento, mensagem de erro ou redirecionamento que ser\u00e1 usado no servidor caso aquele
\nc\u00f3digo de erro seja encontrado:
\nPara definir uma mensagem de erro padr\u00e3o para todo servidor web, basta colocar a diretiva
\nErrorDocument fora das diretivas que controlam o acesso a diret\u00f3rios e virtual hosts (o inicio do
\narquivo httpd.conf \u00e9 ideal).
\nExemplos:
\n\u2022 ErrorDocument 404 \/cgi-bin\/erros404.pl – Direciona para um script em Perl
\nque manda um e-mail ao administrador falando sobre o link quebrado e envia o usu\u00e1rio a
\numa p\u00e1gina de erro padr\u00e3o.
\n\u2022 ErrorDocument 404 \/naoencontrada.html – Direciona o usu\u00e1rio para o arquivo
\nnaoencontrada.html (dentro de DocumentRoot) quando ocorrer o erro 404. Note que
\no diret\u00f3rio \/ levado em considera\u00e7\u00e3o \u00e9 o especificado pela diretiva DocumentRoot.
\n\u2022 ErrorDocument 500 “Erro Interno no servidor” – Mostra a mensagem na
\ntela quando ocorrer o erro 500.
\n\u2022 ErrorDocument 401 \/obtendoacesso.html – Direciona o usu\u00e1rio ao arquivo
\nexplicando como obter acesso ao sistema.
\n\u2022 ErrorDocument 503 http:\/\/www.guiafoca.org\/servicos.html –
\nRedireciona o usu\u00e1rio a URL especificada.
\n\u2022 ErrorDocument 403 “Acesso negado” – Mostra a mensagem na tela no caso de
\nerros 403.
\n12.9 M\u00f3dulos DSO
\nOs m\u00f3dulos DSO permitem adicionar\/remover caracter\u00edsticas do Apache sem necessidade de
\nrecompilar todo o servidor web, assim interrompendo o servi\u00e7o para a atualiza\u00e7\u00e3o dos arquivos.
\nM\u00f3dulos de programas terceiros tamb\u00e9m podem ser compilados e adicionado sem problemas
\natrav\u00e9s deste recurso.
\nOs m\u00f3dulos s\u00e3o carregados para a mem\u00f3ria no momento que o apache \u00e9 iniciado atrav\u00e9s da
\ndiretiva LoadModule no arquivo de configura\u00e7\u00e3o. Dessa forma, toda vez que um novo m\u00f3dulo for
\nadicionado, removido ou alterado, ser\u00e1 necess\u00e1rio reiniciar o servidor apache. A sintaxe da linha
\npara carregar m\u00f3dulos .so \u00e9 a seguinte:
\nLoadModule [nome_do_modulo] [caminho_do_arquivo_so]
\nnome_do_modulo
\nEspecifica o nome do m\u00f3dulo, n\u00e3o deve conter espa\u00e7os.
\ncaminho_do_arquivo_so
\nDefine a localiza\u00e7\u00e3o do arquivo que cont\u00e9m o m\u00f3dulo especificado. Por padr\u00e3o os m\u00f3dulos
\nest\u00e3o localizados em \/usr\/lib\/apache\/[vers\u00e3o]
\nA posi\u00e7\u00e3o em que os m\u00f3dulos aparecem podem ter influ\u00eancia em seu funcionamento, alguns
\nrequerem que sejam especificados antes de outros m\u00f3dulos para funcionarem corretamente (como o
\nm\u00f3dulo php3_module, que deve ser carregado antes de qualquer m\u00f3dulo de controle de CGI’s). Leia
\na documenta\u00e7\u00e3o espec\u00edfica sobe o m\u00f3dulo em caso de d\u00favidas, os m\u00f3dulos que acompanham o
\nApache s\u00e3o documentados em detalhes no manual do Apache.
\nPara usar uma caracter\u00edstica\/diretiva\/op\u00e7\u00e3o do Apache que dependa de um certo m\u00f3dulo,
\nobviamente voc\u00ea dever\u00e1 carregar o m\u00f3dulo correspondente (em caso de d\u00favidas, leia a
\ndocumenta\u00e7\u00e3o sobre o m\u00f3dulo). Veja a httpd.conf, Se\u00e7\u00e3o 12.14.1 para exemplos do uso da diretiva
\nLoadModule.
\nPor exemplo, se voc\u00ea quiser utilizar as diretivas de autoriza\u00e7\u00e3o (allow, deny, order) dever\u00e1 ter o
\nm\u00f3dulo mod_access carregado, para usar as diretivas de autoriza\u00e7\u00e3o (authname, authuserfile,
\nauthtype, etc) dever\u00e1 ter o m\u00f3dulo mod_auth carregado. Mais detalhes podem ser encontrados em
\nAutoriza\u00e7\u00e3o, Se\u00e7\u00e3o 12.7.1. OBS1: O suporte a DSO atualmente s\u00f3 est\u00e1 dispon\u00edvel para plataforma
\nUNIX e seus derivados, como o Linux.
\nTamb\u00e9m \u00e9 poss\u00edvel ativar certas diretivas verificando se o m\u00f3dulo correspondente estiver ou n\u00e3o
\ncarregado atrav\u00e9s da diretiva IfModule:
\n<IfModule mod_userdir.c>
\nUserDir disabled root
\nUserDir public_html
\n<\/IfModule>
\nNas linhas acima, as diretivas UserDir somente ser\u00e3o executadas se o m\u00f3dulo mod_userdir.c estiver
\ncarregado atrav\u00e9s da diretiva LoadModule.
\nSegue abaixo uma lista de m\u00f3dulos padr\u00f5es que acompanham do Apache, os m\u00f3dulos marcados
\ncom “*” s\u00e3o ativados por padr\u00e3o:
\nCria\u00e7\u00e3o de Ambiente
\n\u2022 * mod_env – Ajusta vari\u00e1veis de ambiente para scripts CGI\/SSI
\n\u2022 * mod_setenvif – Ajusta vari\u00e1veis de ambiente de acordo com cabe\u00e7alhos http
\n\u2022 mod_unique_id – Gera identificadores \u00fanicos para requisi\u00e7\u00f5es
\nDecis\u00e3o de tipo de conte\u00fado de arquivos
\n\u2022 * mod_mime – Determina\u00e7\u00e3o de tipo\/encodifica\u00e7\u00e3o do conte\u00fado (configurado)
\n\u2022 mod_mime_magic – Determina\u00e7\u00e3o de tipo\/encodifica\u00e7\u00e3o do conte\u00fado (autom\u00e1tico)
\n\u2022 * mod_negotiation – Sele\u00e7\u00e3o de conte\u00fado baseado nos cabe\u00e7alhos “HTTP
\nAccept*”
\nMapeamento de URL
\n\u2022 * mod_alias – Tradu\u00e7\u00e3o e redirecionamento de URL simples
\n\u2022 mod_rewrite – Tradu\u00e7\u00e3o e redirecionamento de URL avan\u00e7ado
\n\u2022 * mod_userdir – Sele\u00e7\u00e3o de diret\u00f3rios de recursos por nome de usu\u00e1rio
\n\u2022 mod_speling – Corre\u00e7\u00e3o de URLs digitadas incorretamente
\n\u2022 mod_vhost_alias – Suporte para virtual hosts dinamicamente configurados em
\nmassa.
\nManipula\u00e7\u00e3o de Diret\u00f3rios
\n\u2022 * mod_dir – Manipula\u00e7\u00e3o de Diret\u00f3rio e arquivo padr\u00e3o de diret\u00f3rio
\n\u2022 * mod_autoindex – Gera\u00e7\u00e3o de \u00edndice autom\u00e1tico de diret\u00f3rio
\nControle de Acesso
\n\u2022 * mod_access – Controle de acesso por autoriza\u00e7\u00e3o (usu\u00e1rio, endere\u00e7o, rede)
\n\u2022 * mod_auth – Autentica\u00e7\u00e3o HTTP b\u00e1sica (usu\u00e1rio, senha)
\n\u2022 mod_auth_dbm – Autentica\u00e7\u00e3o HTTP b\u00e1sica (atrav\u00e9s de arquivos NDBM do Unix)
\n\u2022 mod_auth_db – Autentica\u00e7\u00e3o HTTP b\u00e1sica (atrav\u00e9s de arquivos Berkeley-DB)
\n\u2022 mod_auth_anon – Autentica\u00e7\u00e3o HTTP b\u00e1sica para usu\u00e1rios no estilo an\u00f4nimo
\n\u2022 mod_auth_digest – Autentica\u00e7\u00e3o MD5
\n\u2022 mod_digest – Autentica\u00e7\u00e3o HTTP Digest
\nRespostas HTTP
\n\u2022 mod_headers – Cabe\u00e7alhos de respostas HTTP (configurado)
\n\u2022 mod_cern_meta – Cabe\u00e7alhos de respostas HTTP (arquivos no estilo CERN)
\n\u2022 mod_expires – Respostas de expira\u00e7\u00e3o HTTP
\n\u2022 * mod_asis – Respostas HTTP em formato simples (raw)
\nScripts
\n\u2022 * mod_include – Suporte a Includes no lado do servidor (SSI – Server Sides
\nIncludes)
\n\u2022 * mod_cgi – Suporte a CGI (Common Gateway Interface)
\n\u2022 * mod_actions – Mapeia scripts CGI para funcionarem como ‘handlers’ internos.
\nManipuladores de conte\u00fado Interno
\n\u2022 * mod_status – Visualiza status do servidor em tempo de execu\u00e7\u00e3o.
\n\u2022 mod_info – Visualiza sum\u00e1rio de configura\u00e7\u00e3o do servidor.
\nRegistros de Requisi\u00e7\u00f5es
\n\u2022 * mod_log_config – Registro de requisi\u00e7\u00f5es personaliz\u00e1veis
\n\u2022 mod_log_agent – Registro especializado do User-Agent HTTP (depreciado)
\n\u2022 mod_log_refer – Registro especializado do Referrer HTTP (depreciado)
\n\u2022 mod_usertrack – Registro de cliques de usu\u00e1rios atrav\u00e9s de Cookies HTTP
\nOutros
\n\u2022 * mod_imap – Suporte a Mapeamento de Imagem no lado do servidor.
\n\u2022 mod_proxy – M\u00f3dulo de Cache do Proxy (HTTP, HTTPS, FTP).
\n\u2022 mod_so – Inicializa\u00e7\u00e3o do Dynamic Shared Object (DSO)
\nExperimental
\n\u2022 mod_mmap_static – Cache de p\u00e1ginas freq\u00fcentemente servidas via mmap()
\nDesenvolvimento
\n\u2022 mod_example – Demonstra\u00e7\u00e3o da API do Apache (somente desenvolvedores)
\n12.10 Sistema de Log do Apache
\nO Apache \u00e9 bem flex\u00edvel na especifica\u00e7\u00e3o do que ser\u00e1 registrado em seus arquivos de log,
\npossibilitando utilizar um arquivo de log \u00fanico, diversos arquivos de logs registrando cada evento
\nocorrido no sistema (conex\u00e3o, navegador, bloqueio de acesso, erros, etc) incluindo os campos que
\ndeseja em cada arquivo e a ordem dos campos em cada um deles.
\nEnfim qualquer coisa pode ser especificada de forma que atenda as suas necessidades particulares
\nde logging.
\n12.10.1 AgentLog
\nAgentLog arquivo\/pipe: Indica o nome do arquivo que registrar\u00e1 o nome do navegador que
\nest\u00e1 acessando a p\u00e1gina (conte\u00fado do cabe\u00e7alho User-Agent). \u00c9 poss\u00edvel usar o pipe “|” para
\ndirecionar os erros para um programa de formata\u00e7\u00e3o ou processamento. ATEN\u00c7\u00c3O: Se um
\nprograma for usado como pipe, ele ser\u00e1 executado sob o usu\u00e1rio que iniciou o apache. Revise o
\nc\u00f3digo fonte do programa para ter certeza que n\u00e3o cont\u00e9m falhas que possam comprometer a
\nseguran\u00e7a de seu sistema.
\nExemplo: AgentLog \/var\/log\/apache\/agent.log
\n12.10.2 ErrorLog
\nErrorLog arquivo\/pipe – Especifica o arquivo que registrar\u00e1 as mensagens de erro do
\nservidor Apache. \u00c9 poss\u00edvel usar o pipe “|” para direcionar os erros para um programa de
\nformata\u00e7\u00e3o ou processamento.
\nExemplo: ErrorLog \/var\/log\/apache\/errors.log
\n12.10.3 CustomLog
\nPermite especificar onde os logs ser\u00e3o gravados para os arquivos de logs personalizados. Esta
\ndiretiva tamb\u00e9m aceita apelidos definidos pela diretiva LogFormat.
\nCustomLog [arquivo\/pipe] [formato\/nome]
\nOnde:
\narquivo\/pipe
\nArquivo de log personalizado ou pipe.
\nformato\/nome
\nEspecifica o formato do arquivo de log (da mesma forma que o especificado na op\u00e7\u00e3o
\nLogFormat). Dever\u00e1 ser especificado entre “aspas” caso tiver espa\u00e7os. Veja LogFormat, Se\u00e7\u00e3o
\n12.10.10 para detalhes.
\nAo inv\u00e9s de especificar o formato, tamb\u00e9m \u00e9 poss\u00edvel usar um apelido definido pela op\u00e7\u00e3o
\nLogFormat (LogFormat, Se\u00e7\u00e3o 12.10.10), neste caso os par\u00e2metros definidos pelo LogFormat para
\n“nome” ser\u00e3o atribu\u00eddos a diretiva CustomLog.
\nExemplos:
\n\u2022 CustomLog \/var\/log\/apache\/common.log “%h %l %u %t \\”%r\\” %>s
\n%b”
\n\u2022 CustomLog \/var\/log\/apache\/common.log common
\n12.10.4 RefererLog
\nRefererLog [arquivo\/pipe]: Indica que arquivo\/pipe registrar\u00e1 os campos Referer do
\ncabe\u00e7alho HTTP. Esta diretiva \u00e9 mantida por compatibilidade com o servidor web NCSA 1.4.
\nA configura\u00e7\u00e3o padr\u00e3o do Apache usa uma diretiva alternativa para a especifica\u00e7\u00e3o do referer que
\n\u00e9 a seguinte:
\nLogFormat “%{Referer}i -> %U” referer
\nCustomLog \/var\/log\/apache\/referer.log referer
\nExemplo: RefererLog \/var\/log\/apache\/referer.log
\n12.10.5 RewriteLog
\nRewriteLog: [arquivo\/pipe]: Indica o arquivo\/pipe que registrar\u00e1 qualquer regrava\u00e7\u00e3o de
\nURL feita pelo Apache.
\nOBS: N\u00e3o \u00e9 recomend\u00e1vel direcionar o nome de arquivo para \/dev\/null como forma de
\ndesativar este log, porque o m\u00f3dulo de regrava\u00e7\u00e3o n\u00e3o cria a sa\u00edda para um arquivo de log, ele cria
\na sa\u00edda de log internamente. Isto somente deixar\u00e1 o servidor lento. Para desativar este registro,
\nsimplesmente remova\/comente a diretiva RewriteLog ou use a op\u00e7\u00e3o RewriteLogLevel 0.
\nExemplo: RewriteLog “\/usr\/local\/var\/apache\/logs\/rewrite.log
\n12.10.6 RewriteLogLevel
\nRewriteLogLevel [num]: Especifica os detalhes que ser\u00e3o inclu\u00eddos no registro da op\u00e7\u00e3o
\nRewriteLog, os valores permitidos est\u00e3o entre 0 e 9. Se for usado 0, o registro do RewriteLog \u00e9
\ntotalmente desativado (esta \u00e9 a padr\u00e3o). OBS: Qualquer valor acima de 2 deixa o servidor Web cada
\nvez mais lento devido ao processamento e a quantidade de detalhes registrados no arquivo
\nespecificado por RewriteLog.
\n12.10.7 ScriptLog
\nScriptLog [arquivo]: Especifica o nome do arquivo de log que receber\u00e1 as mensagens de
\nerros gerados por scripts CGI executados no servidor. Esta op\u00e7\u00e3o \u00e9 controlada pelo m\u00f3dulos
\nmod_cgi.
\nOs arquivos de log ser\u00e3o abertos por um sub-processo rodando com as permiss\u00f5es do usu\u00e1rio
\nespecificado na diretiva “user”.
\nOBS: Esta op\u00e7\u00e3o somente \u00e9 recomendada como depuradora de scripts CGI, n\u00e3o para uso cont\u00ednuo
\nem servidores ativos.
\nExemplo: ScriptLog \/var\/log\/apache\/cgiscripts.log
\n12.10.8 ScriptLogBuffer
\nScriptLogBuffer: Especifica o tamanho do cabe\u00e7alho PUT ou POST gravado no arquivo
\nespecificado por ScriptLog. O valor padr\u00e3o \u00e9 1024 bytes. Esta op\u00e7\u00e3o \u00e9 controlada pelo m\u00f3dulos
\nmod_cgi
\nExemplo: ScriptLogBuffer 512
\n12.10.9 ScriptLogLength
\nScriptLogLength: [tamanho]: Especifica o tamanho m\u00e1ximo do arquivo de log gerado
\npela op\u00e7\u00e3o ScriptLog. O valor padr\u00e3o \u00e9 10385760 bytes (10.3MB). Esta op\u00e7\u00e3o \u00e9 controlada pelo
\nm\u00f3dulos mod_cgi
\nExemplo: ScriptLogLength 1024480
\n12.10.10 LogFormat
\nLogFormat: Define os campos padr\u00f5es do arquivo gerado pela op\u00e7\u00e3o TransferLog. O seu formato
\n\u00e9 o seguinte:
\nLogFormat [formato] [nome]
\nQuando o formato n\u00e3o \u00e9 especificado, assume o valor padr\u00e3o %h %l %u %t \\”%r\\” %s %b.
\nA especifica\u00e7\u00e3o do [nome] permite que voc\u00ea utilize o formato especificado em uma op\u00e7\u00e3o
\nCustomLog ou outra diretiva LogFormat, facilitando a especifica\u00e7\u00e3o do formato do log.
\nOs seguintes formatos s\u00e3o v\u00e1lidos:
\n\u2022 %b – Bytes enviados, excluindo cabe\u00e7alhos HTTP.
\n\u2022 %f – Nome do arquivo.
\n\u2022 %{FOOBAR}e – O conte\u00fado da vari\u00e1vel de ambiente FOOBAR.
\n\u2022 %h – M\u00e1quina cliente.
\n\u2022 %a – Endere\u00e7o IP da m\u00e1quina cliente.
\n\u2022 %A – Endere\u00e7o IP local. Muito \u00fatil em virtual hostings.
\n\u2022 %{Foobar}i – O conte\u00fado de Foobar: linhas de cabe\u00e7alho na requisi\u00e7\u00e3o enviada ao
\nservidor.
\n\u2022 %l – O nome de login remoto enviado pelo identd (se fornecido).
\n\u2022 %{Foobar}n – O conte\u00fado de “FooBar” de outro m\u00f3dulo.
\n\u2022 %{Foobar}o: – O conte\u00fado de Foobar: linhas de cabe\u00e7alho na resposta.
\n\u2022 %p – A porta do servidor servindo a requisi\u00e7\u00e3o.
\n\u2022 %P – A identifica\u00e7\u00e3o do processo filho que serviu a requisi\u00e7\u00e3o.
\n\u2022 %r – A primeira linha da requisi\u00e7\u00e3o.
\n\u2022 %s – Status. Para requisi\u00e7\u00f5es que foram redirecionadas. internamente. Este \u00e9 o status de uma
\nrequisi\u00e7\u00e3o *original*. Use %s para a \u00faltima.
\n\u2022 %t – Hora, no formato do arquivo de log (formato ingl\u00eas padr\u00e3o).
\n\u2022 %{format}t – Hora, no formato definido por strftime.
\n\u2022 %T – O tempo necess\u00e1rio para servir a requisi\u00e7\u00e3o, em segundos.
\n\u2022 %u – Usu\u00e1rio remoto (atrav\u00e9s do auth, pode ser falso se o status de retorno (%s) for 401).
\n\u2022 %U – O caminho da URL requisitada.
\n\u2022 %v – O nome can\u00f4nico definido por ServerName que serviu a requisi\u00e7\u00e3o.
\n\u2022 %V – O nome do servidor de acordo com a configura\u00e7\u00e3o de UseCanonicalName.
\nExemplos:
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\” %T
\n%v” full
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\” %P
\n%T” debug
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\””
\ncombined
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b” common
\nLogFormat “%{Referer}i -> %U” referer
\nLogFormat “%{User-agent}i” agent
\n12.10.11 TransferLog
\nTransferLog [arquivo\/pipe]: Indica o arquivo que armazenar\u00e1 as transfer\u00eancias entre o
\nservidor http e o cliente. Ela cria o arquivo de log com o formato definido pela op\u00e7\u00e3o LogFormat
\nmais recente (sem a especifica\u00e7\u00e3o do nome associado a diretiva) ou o formato padr\u00e3o CLF do log
\ndo Apache.
\nSe omitido, o arquivo n\u00e3o ser\u00e1 gerado
\nExemplo: TransferLog \/var\/log\/apache\/transfer\u00eancias.log
\nOBS: Se esta n\u00e3o \u00e9 uma op\u00e7\u00e3o muito utilizada na administra\u00e7\u00e3o de seus sistemas, \u00e9 recomend\u00e1vel o
\nuso da diretiva CustomLog (veja CustomLog, Se\u00e7\u00e3o 12.10.3) para evitar confus\u00f5es futuras.
\n12.10.12 LogLevel
\nDefine o n\u00edvel de alerta das mensagens que ser\u00e3o gravadas no arquivo especificado pela diretiva
\nErrorLog. Quando n\u00e3o \u00e9 especificado, assume o n\u00edvel “error” como padr\u00e3o. Abaixo os par\u00e2metros
\naceitos em sua respectiva ordem de import\u00e2ncia:
\n\u2022 emerg – O sistema est\u00e1 inutiliz\u00e1vel.
\n\u2022 alert – A a\u00e7\u00e3o deve ser tomada imediatamente.
\n\u2022 crit – Condi\u00e7\u00f5es cr\u00edticas.
\n\u2022 error – Condi\u00e7\u00f5es de erro.
\n\u2022 warn – Condi\u00e7\u00f5es de alerta.
\n\u2022 notice – Condi\u00e7\u00e3o normal mas significante.
\n\u2022 info – Mensagens informativas.
\n\u2022 debug – Mensagens do n\u00edvel de depura\u00e7\u00e3o.
\nNote que os n\u00edveis s\u00e3o os mesmos usados pelo syslog. Quando um n\u00edvel particular \u00e9
\nespecificado, as mensagens de todos os n\u00edveis de maior import\u00e2ncia tamb\u00e9m ser\u00e3o registrados. Por
\nexemplo, se o n\u00edvel “info” for especificado, as mensagens com os n\u00edveis de “notice” e “warn”
\ntamb\u00e9m ser\u00e3o registradas. \u00c9 recomendado o uso de um n\u00edvel de no m\u00ednimo crit.
\n12.10.13 Anonymous_LogEmail
\nSe estiver como “on” a senha digitada ser\u00e1 registrada no arquivo especificado por ErrorLog. Esta
\ndiretiva \u00e9 ativada por padr\u00e3o.
\nExemplo: Anonymous_LogEmail off
\n12.10.14 CookieLog
\nEspecifica o arquivo que ser\u00e1 usado para registrar os cookies
\nOBS1: Caso o caminho do arquivo n\u00e3o for especificado nas diretivas, ser\u00e1 assumido DocumentRoot
\ncomo diret\u00f3rio padr\u00e3o.
\nOBS2: Caso esteja usando o pipe, o dono do processo ser\u00e1 o mesmo que iniciou o servidor WEB
\nApache. Tenha certeza do funcionamento do programa para n\u00e3o comprometer o seu sistema, e cuide
\npara que ele n\u00e3o possa ser modificado indevidamente por outros usu\u00e1rios.
\nExemplo: CookieLog \/var\/log\/apache\/cookies.log
\n12.10.15 Relat\u00f3rio gr\u00e1fico de acesso ao sistema
\nO programa webalizer poder\u00e1 ser instalado para gerar um relat\u00f3rio gr\u00e1fico com a estat\u00edsticas de
\nvisitas por ano\/mes\/dia\/hora usando os dados do access.log. Outra interessante caracter\u00edstica
\ns\u00e3o as estat\u00edsticas de c\u00f3digos http (veja C\u00f3digos HTTP, Se\u00e7\u00e3o 12.15), onde \u00e9 poss\u00edvel saber a
\nquantidade de links quebrados existentes em nosso servidor (estes poder\u00e3o ser detectados usando o
\npacote de an\u00e1lise de sites linbot). O webalizer tamb\u00e9m \u00e9 compat\u00edvel com os formatos de log
\ndo squid e proftpd. Na distribui\u00e7\u00e3o Debian ele pode ser instalado a partir do pacote
\nwebalizer e gera um relat\u00f3rio geral quando \u00e9 executado sem op\u00e7\u00f5es.
\n12.11 Configurando o Apache como servidor proxy
\nO Apache pode ser configurado para funcionar como servidor proxy transparente para sua rede
\ninterna, possibilitando inclusive o uso de cache de disco. \u00c9 poss\u00edvel se fazer conex\u00f5es HTTP
\n(incluindo SSL) e FTP. Atrav\u00e9s desta caracter\u00edstica tamb\u00e9m \u00e9 poss\u00edvel usar uma das caracter\u00edsticas
\nmais interessante desse servidor web: o redirecionamento de conex\u00f5es para uma determinada URL
\npara uma outra m\u00e1quina, que pode ser um outro host remoto ou uma m\u00e1quina da rede interna (n\u00e3o
\nacess\u00edvel diretamente via Internet).
\nO primeiro passo \u00e9 ativar o m\u00f3dulo de proxy no arquivo httpd.conf, basta descomentar a linha:
\n# LoadModule proxy_module \/usr\/lib\/apache\/1.3\/libproxy.so
\nO seguinte bloco pode ser colocado no final do arquivo httpd.conf para configurar um servidor
\nproxy para realizar conex\u00f5es diretas (sem o uso de cache) e permitir o uso de servidores proxy em
\nsua rede:
\n# Suporte a Proxy
\n#
\n<IfModule mod_proxy.c>
\nProxyRequests off
\nProxyRemote * http:\/\/debian:3128
\nProxyBlock microsoft.com microsoft.com.br
\nNoProxy 192.168.1.0\/24
\nProxyDomain .gms.com.br
\n# Ativa\/Desativa a manipula\u00e7\u00e3o de cabe\u00e7alhos HTTP\/1.1 “Via:”.
\n#
\n# (“Full” adiciona a vers\u00e3o do servidor Apache; “Block” remove todos os
\ncabe\u00e7alhos
\n# de sa\u00edda “Via:”)
\n# Escolha uma das op\u00e7\u00f5es: Off | On | Full | Block
\n#
\n#ProxyVia On
\n#<\/IfModule>
\nSegue a explica\u00e7\u00e3o de cada uma das diretivas acima:
\nProxyRequests [on\/off]
\nAtiva (on) ou Desativa (off) o servi\u00e7o de proxy do servidor Apache. Note que o m\u00f3dulo
\nlibproxy.so deve estar carregado para que o bloco <IfModule libproxy.c> seja
\nprocessado. A desativa\u00e7\u00e3o desta diretiva n\u00e3o afeta a diretiva ProxyPass.
\nProxyRemote [origem] [URL]
\nEsta op\u00e7\u00e3o \u00e9 \u00fatil para fazer o Apache redirecionar suas requisi\u00e7\u00f5es para outro servidor proxy
\n(como o squid ou o gateway da rede, caso o Apache estiver sendo executado em uma
\nm\u00e1quina interna). A origem pode ser uma URL completa (como http:\/\/www.debian.org), uma
\nURL parcial (como ftp, http) ou “*” para que o redirecionamento seja sempre usado.
\nProxyBlock [padr\u00e3o]
\nPermite bloquear o acesso a endere\u00e7os que contenham o padr\u00e3o especificado. Podem ser
\nespecificadas palavras, m\u00e1quinas, dom\u00ednios, URLs separados por espa\u00e7os. O Apache far\u00e1 a
\nresolu\u00e7\u00e3o DNS no caso de endere\u00e7os IP e far\u00e1 o cache para requisi\u00e7\u00f5es futuras.
\nNoProxy [endere\u00e7os]
\nPermite especificar endere\u00e7os Internos que n\u00e3o ser\u00e3o redirecionados para o servidor proxy
\nespecificado por ProxyRemote. Podem ser usados nomes de m\u00e1quinas, endere\u00e7os IP, subredes
\nou dom\u00ednios separados por espa\u00e7os.
\nProxyDomain [endere\u00e7o]
\nEspecifica o endere\u00e7o que ser\u00e1 adicionado a URL caso seja recebida uma requisi\u00e7\u00e3o que
\ncontenha somente um nome de m\u00e1quina. \u00c9 \u00fatil em redes Internas.
\nNote que quando o suporte a proxy n\u00e3o est\u00e1 ativado no Apache, qualquer endere\u00e7o de URL
\nexterna levar\u00e1 a p\u00e1gina definida pela diretiva DocumentRoot. Isto deixar\u00e1 de funcionar ap\u00f3s
\nconfigurar o servi\u00e7o de proxy.
\nO uso do cache \u00e9 interessante para acelerar as requisi\u00e7\u00f5es http da rede interna para a rede externa,
\ndesta forma, se uma requisi\u00e7\u00e3o foi feita anteriormente, ser\u00e1 descarregado o arquivo do disco r\u00edgido
\ne assim evitar uma nova conex\u00e3o externa (isto libera a rede para outras coisas). Para configurar um
\ncache no servi\u00e7o proxy, adicione as seguintes linhas no final do bloco anterior de proxy:
\n# As linhas abaixo ativam o cache do apache, o cache n\u00e3o funcionar\u00e1 ao
\nmenos que
\n# CacheRoot seja especificado
\nCacheRoot \/var\/spool\/apache
\nCacheForceCompletion 70
\nCacheSize 5
\nCacheGcInterval 3
\nCacheDefaultExpire 5
\nCacheMaxExpire 300
\nNoCache 192.168.1.0\/24 a_domain.com outrodom\u00ednio.com.br outro.dominio.net
\nCada diretiva acima possui o seguinte significado:
\nCacheRoot
\nDiret\u00f3rio base onde ser\u00e3o criados os outros diret\u00f3rios de cache. O cache s\u00f3 ser\u00e1 ativado se
\nesta diretiva for definida.
\nCacheForceCompletion [num]
\nSe uma transfer\u00eancia for cancelada e passar de num%, o Apache continuar\u00e1 a transfer\u00eancia e
\narmazenar\u00e1 o arquivo no cache. O valor padr\u00e3o \u00e9 90.
\nCacheSize [num]
\nDefine o tamanho m\u00e1ximo do diret\u00f3rio de cache do Apache, em KB. N\u00e3o especifique um
\nvalor que tome mais de 70% do espa\u00e7o em disco. O valor padr\u00e3o \u00e9 5.
\nCacheGcInterval [num]
\nDefine o tempo que o cache ser\u00e1 checado em busca de arquivos maiores que o total do cache.
\nArquivos que ultrapassem o tamanho do cache s\u00e3o automaticamente eliminados.
\nCacheDefaultExpire [num]
\nDefine o tempo que os documentos ficar\u00e3o no cache, se foram transferidos atrav\u00e9s de
\nprotocolos que n\u00e3o suportam horas de expira\u00e7\u00e3o. O valor padr\u00e3o \u00e9 1 hora.
\nCacheMaxExpire [num]
\nDefine o tempo que os documentos permanecer\u00e3o armazenados no cache (em horas). Esta
\nop\u00e7\u00e3o ignora a hora de expira\u00e7\u00e3o do documento (caso fornecida). O valor padr\u00e3o \u00e9 24 horas.
\nNoCache [endere\u00e7os]
\nPermite especificar lista de palavras, m\u00e1quinas, dom\u00ednios, IP’s que n\u00e3o ser\u00e3o armazenados no
\ncache do Apache. Caso seja usado NoCache * o cache ser\u00e1 desativado completamente.
\nNote que o cache tamb\u00e9m pode ser desativado comentando a diretiva CacheRoot.
\nSe voc\u00ea desejar um servidor cache mais flex\u00edvel, r\u00e1pido, din\u00e2mico, configur\u00e1vel (com possibilidade
\nde uso de restri\u00e7\u00f5es baseadas em URL, tempo de acesso, autentica\u00e7\u00e3o), instale o squid e
\nconfigure o apache para fazer forward de conex\u00f5es para ele (Redirecionamento de conex\u00f5es no
\nApache, Se\u00e7\u00e3o 12.11.2).
\n12.11.1 Controlando o acesso ao servidor proxy
\nIncluir o bloco abaixo no arquivo access.conf para definir o acesso dos servi\u00e7os de proxy nas
\nredes desejadas (se a sua configura\u00e7\u00e3o for aberta como padr\u00e3o isto pode ser opcional):
\n# Acesso aos servi\u00e7os proxy do apache
\n<Directory proxy:*>
\nOrder deny,allow
\nDeny from all
\nAllow from .seudominio.com.br
\n<\/Directory>
\nPara explica\u00e7\u00f5es sobre o processo de bloqueio acima, veja Autoriza\u00e7\u00e3o, Se\u00e7\u00e3o 12.7.1.
\n12.11.2 Redirecionamento de conex\u00f5es no Apache
\nEste recurso do Apache \u00e9 interessante para criar clusters de servidores em sua rede interna. O que
\nele faz \u00e9 pegar uma requisi\u00e7\u00e3o a um determinado endere\u00e7o e redireciona-lo a outra m\u00e1quina e as
\nrespostas s\u00e3o repassadas ao servidor web (para o cliente a mesma m\u00e1quina esta atendendo a
\nrequisi\u00e7\u00e3o, para voc\u00ea o processamento das requisi\u00e7\u00f5es esta sendo distribu\u00eddo internamente na rede).
\nAs seguintes diretivas s\u00e3o usadas para realizar o redirecionamento de conex\u00f5es: ProxyPass e
\nProxyPassReverse
\nProxyPass [diret\u00f3rio_da_url [outro_servidor:\/diret\u00f3rio]
\nA ProxyPass permite que a URL seja redirecionada para o servidor local e diret\u00f3rio
\nespecificado. Por exemplo, assumindo que o endere\u00e7o principal de nosso servidor \u00e9
\nhttp:\/\/www.guiafoca.org e desejamos que a URL
\nhttp:\/\/www.guiafoca.org\/download seja atendida por uma m\u00e1quina localizada na
\nnossa rede privada com o endere\u00e7o http:\/\/192.168.1.54. Basta incluir a linha:
\nProxyPass \/download http:\/\/192.168.1.54
\nQualquer requisi\u00e7\u00e3o externa a http:\/\/www.guiafoca.org\/download\/iniciante
\nser\u00e1 atendida por http:\/\/192.168.1.54\/iniciante.
\nProxyPassRemote [diret\u00f3rio_da_url [outro_servidor:\/diret\u00f3rio]
\nEsta diretiva permite modificar o cabe\u00e7alho Location nas mensagens de respostas de
\nredirecionamento enviadas pelo Apache. Isto permite que o endere\u00e7o retornado seja o do
\nservidor (que faz a interface externa com o cliente) e n\u00e3o da m\u00e1quina do redirecionamento.
\nProxyPass \/download http:\/\/192.168.1.54
\nProxyPassReverse \/download http:\/\/192.168.1.54
\nSe a m\u00e1quina 192.168.1.54 redirecionar a URL para
\nhttp:\/\/192.168.1.54\/download\/iniciante, a resposta ser\u00e1 modificada para
\nhttp:\/\/www.guiafoca.org\/download\/iniciante antes de ser retornada ao
\ncliente.
\n\\
\n12.12 Virtual Hosts
\nVirtual Hosts (sites virtuais) \u00e9 um recurso que permite servir mais de um site no mesmo servidor.
\nPodem ser usadas diretivas espec\u00edficas para o controle do site virtual, como nome do administrador,
\nerros de acesso a p\u00e1gina, controle de acesso e outros dados \u00fateis para personalizar e gerenciar o site.
\nExistem 2 m\u00e9todos de virtual hosts:
\n\u2022 Virtual Hosts baseados em IP – Requer um endere\u00e7o IP diferente para cada site.
\nEste poder\u00e1 ser um IP real (da interface de rede) ou um apelido (veja IP Alias, Se\u00e7\u00e3o 5.1), o
\nque interessa \u00e9 que deve haver um endere\u00e7o IP diferente para cada site. O n\u00famero de sites
\nservidos estar\u00e1 limitado a quantidade de endere\u00e7os IP dispon\u00edveis em sua classe de rede.
\nVeja Virtual hosts baseados em IP, Se\u00e7\u00e3o 12.12.1 para detalhes de como construir um virtual
\nhost deste tipo.
\nO apache foi um dos primeiros servidores web a incluir suporte a virtual hosts baseados
\nem IP.
\n\u2022 Virtual Hosts baseados em nome – Este utiliza nomes para identificar os sites
\nservidos e requerem somente um endere\u00e7o IP. Desta maneira \u00e9 poss\u00edvel servir um n\u00famero
\nilimitado de sites virtuais. O navegador do cliente deve suportar os cabe\u00e7alhos necess\u00e1rios
\npara garantir o funcionamento deste recurso (praticamente todos os navegadores atuais
\npossuem este suporte). Veja Virtual hosts baseados em nome, Se\u00e7\u00e3o 12.12.2 para detalhes de
\ncomo construir um virtual host deste tipo.
\nAs explica\u00e7\u00f5es desta se\u00e7\u00e3o s\u00e3o baseadas na documenta\u00e7\u00e3o do Apache.
\n12.12.1 Virtual hosts baseados em IP
\nExistem duas maneiras de rodar este tipo de host virtual: Atrav\u00e9s de daemons httpd separados ou
\nem um \u00fanico daemon httpd usando a diretiva <VirtualHost>.
\nAs vantagens do uso de daemons separados para servir requisi\u00e7\u00f5es \u00e9 a prote\u00e7\u00e3o sob UID e GID
\ndiferente dos outros servidores, assim o administrador do site1 n\u00e3o ter\u00e1 acesso ao httpd.conf,
\np\u00e1gina do site2 (porque ele estar\u00e1 rodando sob uma UID e GID diferentes e o acesso \u00e9 restrito).
\nPara usar este m\u00e9todo, especifique a op\u00e7\u00e3o -f [arquivo_cfg] para utilizar um arquivo de
\nconfigura\u00e7\u00e3o personalizado e a diretiva Listen endere\u00e7o:porta para dizer onde o servidor aguardar\u00e1
\nas requisi\u00e7\u00f5es.
\nAs vantagens do uso de um mesmo daemon para servir as requisi\u00e7\u00f5es s\u00e3o: quando n\u00e3o h\u00e1 problema
\nse os administradores de outros sites tenham acesso ao mesmo arquivo de configura\u00e7\u00e3o ou quando
\nh\u00e1 a necessidade de servir muitas requisi\u00e7\u00f5es de uma s\u00f3 vez (quanto menos servidores web
\nestiverem em execu\u00e7\u00e3o, melhor o desempenho do sistema). Abaixo um exemplo de configura\u00e7\u00e3o de
\nvirtual hosts servindo os sites www.site1.com.br e www.site2.com.br:
\nServerAdmin webmaster@site.com.br
\n<VirtualHost www.site1.com.br>
\nServerName www.site1.com.br
\nServerAdmin site1@site1.com.br
\nDocumentRoot \/home\/viaza132\/www\/www_site1_com_br
\nTransferLog \/var\/log\/apache\/site1\/access.log
\nErrorLog \/var\/log\/apache\/site1\/error.log
\nUser www-data
\nGroup www-data
\n<\/VirtualHost>
\n<VirtualHost www.site2.com.br>
\nServerName www.site2.com.br
\nDocumentRoot \/home\/viaza132\/www\/www_site2_com_br
\nCustomLog \/var\/log\/apache\/site2\/access.log combined
\nErrorLog \/var\/log\/apache\/site2\/error.log
\n<\/VirtualHost>
\nQualquer diretiva dentro de <VirtualHost> controlar\u00e3o ter\u00e3o efeito no site virtual especificado.
\nQuando uma diretiva n\u00e3o for especificada dentro de <VirtualHost>, ser\u00e3o usados os valores padr\u00f5es
\nespecificados no arquivo de configura\u00e7\u00e3o do Apache (como a diretiva ServerAdmin
\nwebmaster@site.com.br que ser\u00e1 usado como padr\u00e3o na configura\u00e7\u00e3o de www.site2.com.br).
\nDigite apache -S para ver suas configura\u00e7\u00f5es de virtual hosts atual.
\nOBS1: Desative a diretiva UseCanonicalName off quando utilizar o recurso de m\u00e1quinas
\nvirtuais, esta diretiva faz que o nome do servidor retornado usando o valor em ServerName
\nquando o cliente digita um endere\u00e7o qualquer.
\nOBS2: Utilize sempre que poss\u00edvel endere\u00e7os IP em configura\u00e7\u00f5es cr\u00edticas, assim os servi\u00e7os n\u00e3o
\nser\u00e3o t\u00e3o vulner\u00e1veis a poss\u00edveis falsifica\u00e7\u00f5es ou erros. Veja \/etc\/host.conf, Se\u00e7\u00e3o 4.6.2.2 e Prote\u00e7\u00e3o
\ncontra IP spoofing, Se\u00e7\u00e3o 10.6.5. Leia tamb\u00e9m a se\u00e7\u00e3o Seguran\u00e7a no uso de IP’s em Virtual Hosts,
\nSe\u00e7\u00e3o 12.12.3.
\nOBS3: N\u00e3o permita que outros usu\u00e1rios a n\u00e3o ser o root e o dono do processo Apache
\n(especificado pela diretiva User) tenham acesso de grava\u00e7\u00e3o aos logs gerados pelo servidor, pois os
\ndados podem ser apagados ou criados links simb\u00f3licos para bin\u00e1rios do sistema que ser\u00e3o
\ndestru\u00eddos quando o Apache gravar dados. Alguns bin\u00e1rios e bibliotecas s\u00e3o essenciais para o
\nfuncionamento do sistema.
\n12.12.2 Virtual hosts baseados em nome
\nEste m\u00e9todo \u00e9 id\u00eantico ao baseado em IP, em especial adicionamos a diretiva NameVirtualHost para
\ndizer qual \u00e9 o endere\u00e7o IP do servidor que est\u00e1 servindo os virtual hosts baseados em nome. Veja o
\nexemplo de configura\u00e7\u00e3o:
\nNameVirtualHost 200.200.200.10:80
\n<VirtualHost _default_:80 200.200.200.10:80>
\nServerName www.site.com.br
\nServerAdmin admin@site.com.br
\nDocumentRoot \/home\/viaza132\/www
\nTransferLog \/var\/log\/apache\/access.log
\nErrorLog \/var\/log\/apache\/error.log
\n<\/VirtualHost>
\n<VirtualHost 200.200.200.10>
\nServerName www.site1.com.br
\nServerAdmin admin1@site1.com.br
\nDocumentRoot \/home\/viaza132\/www\/www_site1_com_br
\nTransferLog \/var\/log\/apache\/site1\/access.log
\nErrorLog \/var\/log\/apache\/site1\/error.log
\n<\/VirtualHost>
\n<VirtualHost 200.200.200.10>
\nServerName www.site2.com.br
\nServerAdmin admin2@site2.com.br
\nDocumentRoot \/home\/viaza132\/www\/www_site2_com_br
\nTransferLog \/var\/log\/apache\/site2\/access.log
\nErrorLog \/var\/log\/apache\/site2\/error.log
\n<\/VirtualHost>
\nA diretiva NameVirtualHost diz que ser\u00e1 usado virtual hosts baseados em nome servidos pela
\nm\u00e1quina com IP 200.200.200.10. Os par\u00e2metros dentro do bloco das diretivas <VirtualHost >
\ns\u00e3o espec\u00edficas somente no site virtual especificado, caso contr\u00e1rio os valores padr\u00f5es definidos no
\narquivo de configura\u00e7\u00e3o ser\u00e3o usados. Caso nenhum virtual host confira com a configura\u00e7\u00e3o, o
\nvirtualhost _default_ ser\u00e1 usado.
\nDigite apache -S para ver suas configura\u00e7\u00f5es de virtual hosts atual. Se sua inten\u00e7\u00e3o \u00e9 criar um
\ngrande n\u00famero de virtual hosts que ser\u00e3o servidos pela mesma m\u00e1quina, o uso da expans\u00e3o %0 e
\ndiretivas VirtualDocumentRoot e VirtualScriptAlias s\u00e3o recomendados:
\nNameVirtualHost 200.200.200.10:80
\n<VirtualHost 200.200.200.10>
\nVirtualDocumentRoot \/home\/viaza132\/www\/%0
\nVirtualScriptAlias \/home\/viaza132\/www\/%0\/cgi-bin
\nTransferLog log\/apache\/site1\/access.log
\nErrorLog log\/apache\/site1\/error.log
\n<\/VirtualHost>
\nAgora crie os diret\u00f3rios em \/home\/viaza132\/www correspondentes aos nomes de dom\u00ednios que ser\u00e3o servidos
\npor sua m\u00e1quina: mkdir \/home\/viaza132\/www\/www.site1.com.br, mkdir
\n\/home\/viaza132\/www\/www.site2.com.br. Note que sua m\u00e1quina dever\u00e1 estar com o DNS configurado
\npara responder por estes dom\u00ednios .
\nATEN\u00c7\u00c3O \u00c9 importante que os endere\u00e7os especificados nas diretivas ServerName
\n(www.site1.com.br) resolvam o endere\u00e7o IP da diretiva VirtualHost (200.200.200.10).
\nIsto deve ser feito via DNS ou nos arquivos \/etc\/hosts.
\nOBS1: Utilize sempre que poss\u00edvel endere\u00e7os IP em configura\u00e7\u00f5es cr\u00edticas, assim os servi\u00e7os n\u00e3o
\nser\u00e3o t\u00e3o vulner\u00e1veis a poss\u00edveis falsifica\u00e7\u00f5es ou erros. Veja \/etc\/host.conf, Se\u00e7\u00e3o 4.6.2.2 e Prote\u00e7\u00e3o
\ncontra IP spoofing, Se\u00e7\u00e3o 10.6.5. Leia tamb\u00e9m a se\u00e7\u00e3o Seguran\u00e7a no uso de IP’s em Virtual Hosts,
\nSe\u00e7\u00e3o 12.12.3.
\nOBS2: N\u00e3o permita que outros usu\u00e1rios a n\u00e3o ser o root e o dono do processo Apache
\n(especificado pela diretiva User) tenha acesso de grava\u00e7\u00e3o aos logs gerados pelo servidor. Pois os
\ndados podem ser apagados ou criados links para bin\u00e1rios do sistema que ser\u00e3o destru\u00eddos quando o
\napache gravar dados para os logs. Alguns bin\u00e1rios e bibliotecas s\u00e3o essenciais para o funcionamento
\ndo sistema.
\n12.12.3 Seguran\u00e7a no uso de IP’s em Virtual Hosts
\nQuando voc\u00ea est\u00e1 colocando um nome na diretiva de configura\u00e7\u00e3o do seu virtual hosts, est\u00e1
\nassumindo que ele resolver\u00e1 o endere\u00e7o IP corretamente (como www.site1.com.br =>
\n200.200.200.10). Se por algum motivo o servidor DNS for modificado (por outra pessoa que
\ntem acesso a isto), o endere\u00e7o IP resolvido para o site www.site1.com.br poder\u00e1 ser
\nmodificado para 200.200.200.20, isto redirecionar\u00e1 as requisi\u00e7\u00f5es para outra m\u00e1quina ao inv\u00e9s
\nda m\u00e1quina correta. Este tipo de ataque \u00e9 chamado “DNS Spoofing” e o uso de endere\u00e7o IP (ao
\ninv\u00e9s de nomes) praticamente evita que isto aconte\u00e7a. Esta situa\u00e7\u00e3o pode acontecer com a diretiva
\nabaixo:
\n<VirtualHost www.gms.com.br>
\nServerName www.gms.com.br
\nServerAdmin gleydson@guiafoca.org
\nDocumentRoot \/home\/viaza132\/www\/www_gms_com_br
\n<\/VirtualHost>
\nOutra situa\u00e7\u00e3o, que impede o funcionamento do servidor Web, \u00e9 quando o servidor DNS est\u00e1 em
\nmanuten\u00e7\u00e3o ou por algum outro motivo n\u00e3o pode resolver o endere\u00e7o IP de um nome especificado
\n(como www.site1.com.br). O apache precisa saber qual \u00e9 o seu endere\u00e7o IP para ser
\nexecutado. Veja a pr\u00f3xima modifica\u00e7\u00e3o:
\n<VirtualHost 192.168.1.1>
\nServerName www.gms.com.br
\nServerAdmin gleydson@guiafoca.org
\nDocumentRoot \/home\/viaza132\/www\/www_gms_com_br
\n<\/VirtualHost>
\nNa configura\u00e7\u00e3o acima usamos o IP do servidor para especificar o virtual host. O apache tentar\u00e1
\nfazer o DNS reverso para determinar qual nome \u00e9 servido por aquele endere\u00e7o IP
\n(www.site1.com.br). Se ele falhar, somente a se\u00e7\u00e3o <VirtualHost> correspondente ser\u00e1
\ndesativada. Isto j\u00e1 \u00e9 uma melhoria sobre a primeira configura\u00e7\u00e3o. O nome do servidor na diretiva
\nServerName garante que o servidor responda com o nome correto.
\nPara evitar ataques baseados em DNS siga os seguintes procedimentos de seguran\u00e7a:
\n\u2022 Preferencialmente utilize o arquivo \/etc\/hosts para a resolu\u00e7\u00e3o de nomes em m\u00e1quinas
\nlocais (principalmente quando existe somente um administrador). \u00c9 um m\u00e9todo que evita
\ndiversas consultas ao servidor DNS (que pode deixar o acesso lento) e este arquivo \u00e9
\ngerenciado pelo usu\u00e1rio root, isto evita o acesso de qualquer usu\u00e1rio para a falsifica\u00e7\u00e3o de
\nendere\u00e7os.
\nEste arquivo tamb\u00e9m \u00e9 \u00fatil caso a pesquisa DNS falhe (quando a ordem de pesquisa for do servidor
\nDNS para o arquivo hosts no arquivo \/etc\/host.conf), pois de qualquer forma o nome ser\u00e1
\nresolvido e o servidor Apache ser\u00e1 executado.
\n\u2022 Evite dar poderes a outros administradores manipularem seu pr\u00f3prio dom\u00ednio DNS, n\u00e3o h\u00e1
\nnada que possa impedi-lo de modificar o endere\u00e7o “X” para ser servido pelo IP “Y”
\ndesviando o tr\u00e1fego para seu pr\u00f3prio servidor web. Se isto n\u00e3o for poss\u00edvel, siga as dicas
\nabaixo para diminuir poss\u00edveis problemas.
\n\u2022 Utilize endere\u00e7os IP na diretiva <VirtualHost>.
\n\u2022 Use endere\u00e7os IP na diretiva Listen.
\n\u2022 Use um endere\u00e7o IP na diretiva BindAddress.
\n\u2022 Sempre utilize o par\u00e2metro ServerName em todas as diretivas <VirtualHost>, isto evita o
\nretorno incorreto de nomes (que pode evitar\/revelar fraudes).
\n\u2022 Quando utilizar virtual hosts, crie uma diretiva <VirtualHost _default_L:*> usando uma
\ndiretiva DocumentRoot que n\u00e3o aponte para lugar algum. Esta diretiva ser\u00e1 acessada quando
\nnenhuma diretiva VirtualHost servir a requisi\u00e7\u00e3o, conferindo com o endere\u00e7o\/ip.
\n12.13 Uso de criptografia SSL
\nEsta se\u00e7\u00e3o \u00e9 uma refer\u00eancia r\u00e1pida para configura\u00e7\u00e3o e uso do m\u00f3dulo apache-ssl com o
\nservidor Apache. Este m\u00f3dulo realiza a comunica\u00e7\u00e3o segura de dados (criptografada) via porta
\n443 (que \u00e9 usada como padr\u00e3o quando especificamos uma url iniciando com https:\/\/). A transmiss\u00e3o
\ncriptografada de dados \u00e9 importante quanto temos dados confidenciais que precisamos transmitir
\ncomo movimenta\u00e7\u00e3o banc\u00e1ria, senhas, n\u00famero de cart\u00f5es de cr\u00e9dito, fazer a administra\u00e7\u00e3o remota
\ndo servidor, etc. SSL significa Secure Sockets Layer (camada segura de transfer\u00eancia) e TLS
\nTransport Layer Security (camada segura de Transporte).
\nA inten\u00e7\u00e3o aqui \u00e9 fornecer explica\u00e7\u00f5es pr\u00e1ticas para colocar um servidor Apache com suporte a
\nSSL funcionando no menor tempo poss\u00edvel. Detalhes sobre funcionamento de certificados, m\u00e9todos
\nde criptografia, assinatura, etc. dever\u00e3o ser buscados na documenta\u00e7\u00e3o deste m\u00f3dulo ou em sites
\nespecializados (\u00e9 um assunto muito longo).
\n12.13.1 Servidor apache com suporte a ssl
\nAo inv\u00e9s de utilizar o m\u00f3dulo mod_ssl, voc\u00ea poder\u00e1 usar o pacote apache-ssl, ele nada mais
\n\u00e9 que um servidor Apache com o suporte SSL j\u00e1 incluso e n\u00e3o interfere no servidor Apache
\npadr\u00e3o, porque \u00e9 executado somente na porta 443.
\nSe voc\u00ea tem um grande site com configura\u00e7\u00f5es de acesso personalizadas, ele trar\u00e1 mais trabalho de
\nadministra\u00e7\u00e3o, pois as configura\u00e7\u00f5es e diretivas de restri\u00e7\u00f5es de acesso dever\u00e3o ser copiadas para
\neste servidor web. No entanto, ele \u00e9 indicado para m\u00e1quinas que ser\u00e3o servidores SSL dedicados ou
\nquando n\u00e3o possui configura\u00e7\u00f5es especiais em seu servidor web principal.
\nEsta se\u00e7\u00e3o tem por objetivo a instala\u00e7\u00e3o do suporte ao m\u00f3dulo SSL (mod_ssl) no servidor
\nApache padr\u00e3o.
\n12.13.2 Instalando o suporte a m\u00f3dulo SSL no Apache
\nInstale o pacote libapache-mod-ssl. Ap\u00f3s instala-lo, edite o arquivo
\n\/etc\/apache\/httpd.conf adicionando a linha:
\nLoadModule ssl_module \/usr\/lib\/apache\/1.3\/mod_ssl.so
\nDepois, gere um certificado digital ssl com o programa mod-ssl-makecert. Ele ser\u00e1
\narmazenado por padr\u00e3o nos diret\u00f3rios em \/etc\/apache\/ssl.??? e seu uso explicado no resto
\ndesta se\u00e7\u00e3o.
\n12.13.3 Gerando um certificado digital
\nO certificado digital \u00e9 a pe\u00e7a que garante a transfer\u00eancia segura de dados. Ele cont\u00e9m detalhes sobre
\na empresa que far\u00e1 seu uso e quem o emitiu. Para gerar ou modificar um certificado digital, execute
\no comando mod-ssl-makecert e siga as instru\u00e7\u00f5es. O m\u00e9todo de criptografia usado pelo
\ncertificado digital \u00e9 baseado no conceito de chave p\u00fablica\/privada, a descri\u00e7\u00e3o sobre o
\nfuncionamento deste sistema de criptografia \u00e9 feito em Usando pgp ( gpg )para criptografia de
\narquivos, Se\u00e7\u00e3o 20.5.
\nOBS N\u00e3o utilize acentos nos dados de seu certificado.
\n12.13.4 Exemplo de configura\u00e7\u00e3o do m\u00f3dulo mod-ssl
\nAbaixo uma configura\u00e7\u00e3o r\u00e1pida para quem deseja ter um servidor com suporte a SSL funcionando
\nem menor tempo poss\u00edvel (ela \u00e9 feita para operar em todas as instala\u00e7\u00f5es e n\u00e3o leva em
\nconsidera\u00e7\u00e3o o projeto de seguran\u00e7a de sua configura\u00e7\u00e3o atual do Apache). Note que todas as
\ndiretivas relacionadas com o m\u00f3dulo mod_ssl come\u00e7am com o nome “SSL”:
\n# Somente processa as diretivas relacionadas a SSL caso o m\u00f3dulo mod_ssl
\nestiver
\n# carregado pela diretiva LoadModule
\n<IfModule mod_ssl.c>
\n# \u00c9 necess\u00e1rio especificar as portas que o servidor Web aguardar\u00e1 conex\u00f5es
\n(normais e
\n# ssl).
\nListen 80
\nListen 443
\n# Ativa o tratamento de conex\u00f5es com o destino na porta 443 pela diretiva
\n# VirtualHost abaixo
\n<VirtualHost _default_:443>
\n# Ativa ou desativa o m\u00f3dulo SSL para este host virtual
\nSSLEngine on
\n# Certificado do servidor
\nSSLCertificateFile \/etc\/apache\/ssl.crt\/server.crt
\n# Chave privada de certificado do servidor.
\nSSLCertificateKeyFile \/etc\/apache\/ssl.key\/server.key
\n# A linha abaixo for\u00e7a o fechamento de conex\u00f5es quando a
\n# conex\u00e3o com o navegador Internet Explorer \u00e9 interrompida. Isto
\n# viola o padr\u00e3o SSL\/TLS mas \u00e9 necess\u00e1rio para este tipo de
\n# navegador. Alguns problemas de conex\u00f5es de navegadores tamb\u00e9m
\n# s\u00e3o causados por n\u00e3o saberem lidar com pacotes keepalive.
\nSetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
\n<\/VirtualHost>
\n<\/IfModule>
\n###########################################################################
\n######
\n# Adicionalmente poder\u00e3o ser especificadas as seguintes op\u00e7\u00f5es para
\nmodificar #
\n# o comportamento da se\u00e7\u00e3o SSL (veja mais detalhes na documenta\u00e7\u00e3o do modssl)
\n#
\n###########################################################################
\n######
\n# Formato e localiza\u00e7\u00e3o do cache paralelo de processos da se\u00e7\u00e3o. O cache de
\nse\u00e7\u00e3o \u00e9
\n# feito internamente pelo m\u00f3dulo mas esta diretiva acelera o processamento
\n# de requisi\u00e7\u00f5es paralelas feitas por modernos clientes navegadores. Por
\npadr\u00e3o
\n# nenhum cache \u00e9 usado (“none”).
\nSSLSessionCache dbm:\/var\/run\/ssl-cache
\n# Localiza\u00e7\u00e3o do arquivo de lock que o m\u00f3dulo SSL utiliza para
\n# sincroniza\u00e7\u00e3o entre processos. O padr\u00e3o \u00e9 nenhum.
\nSSLMutex file:\/var\/run\/ssl-mutex
\n# Especifica o m\u00e9todo de embaralhamento de dados que ser\u00e1 utilizado
\n# durante o inicio de uma se\u00e7\u00e3o SSL (startup) ou durante o processo
\n# de conex\u00e3o (connect). Podem ser especificados “builtin” (\u00e9 muito r\u00e1pido
\n# pois consome poucos ciclos da CPU mas n\u00e3o gera tanta combina\u00e7\u00e3o
\naleat\u00f3ria), um
\n# programa que gera n\u00fameros aleat\u00f3rios (com “exec”) ou os dispositivos
\naleat\u00f3rios
\n# \/dev\/random e \/dev\/urandom (com “file”). Por padr\u00e3o nenhuma fonte
\n# adicional de n\u00fameros aleat\u00f3rios \u00e9 usada.
\nSSLRandomSeed startup builtin
\nSSLRandomSeed connect builtin
\n#SSLRandomSeed startup file:\/dev\/urandom 512
\n#SSLRandomSeed connect file:\/dev\/urandom 512
\n#SSLRandomSeed connect exec:\/pub\/bin\/NumAleat
\n# Tipos MIME para download de certificados
\nAddType application\/x-x509-ca-cert .crt
\nAddType application\/x-pkcs7-crl .crl
\n# Tempo m\u00e1ximo de perman\u00eancia dos objetos do cache acima. O valor padr\u00e3o \u00e9
\n# 300 segundos (5 minutos).
\nSSLSessionCacheTimeout 300
\n# Vers\u00e3o do protocolo SSL que ser\u00e1 usada. Podem ser especificadas
\n# SSLv2, SSLv3 TLSv1 ou all. O mais compat\u00edvel com os navegadores atuais
\n# \u00e9 o “SSLv2”. Por padr\u00e3o “all” \u00e9 usado.
\n#SSLProtocol all
\n#SSLProtocol -all +SSLv3
\n# Registra detalhes sobre o tr\u00e1fego neste arquivo. Mensagens de erro
\n# tamb\u00e9m s\u00e3o armazenadas no arquivo de registro padr\u00e3o do Apache
\nSSLLog \/var\/log\/apache\/ssl-mod.log
\n# N\u00edvel das mensagens de log registradas por SSLLog
\nSSLLogLevel info
\nAlgumas diretivas deste m\u00f3dulo podem fazer parte tanto da configura\u00e7\u00e3o global do servidor como
\ndiretivas de acesso (Directory, Location, .htaccess, veja a op\u00e7\u00e3o “Context” na
\ndocumenta\u00e7\u00e3o do mod_ssl).
\n12.13.5 Autorizando acesso somente a conex\u00f5es SSL
\nExistem casos que precisa restringir o uso de conex\u00f5es normais e permitir somente conex\u00f5es via
\nSSL (como por exemplo, dentro da diretiva de acesso que controla seu acesso a uma p\u00e1gina com
\nlistagem de clientes). A op\u00e7\u00e3o SSLRequereSSL \u00e9 usada para tal e deve ser usada dentro das diretivas
\nde controle acesso:
\n<Directory \/home\/viaza132\/www\/secure\/clientes>
\nOptions Indexes
\nOrder deny,allow
\nDeny from evil.cracker.com
\nSSLRequireSSL
\n<\/Directory>
\nA diretiva acima requer que sejam feitas conex\u00f5es SSL (porta 443 – https:\/\/) para acesso ao diret\u00f3rio
\n\/home\/viaza132\/www\/secure\/clientes, qualquer conex\u00e3o padr\u00e3o n\u00e3o criptografada (feita na porta 80)
\nser\u00e1 rejeitada com o erro 403.
\nOBS: A diretiva SSLRequireSSL podia ser colocada entre as condicionais “IfModule mod_ssl.c”
\nmas o servidor web permitiria conex\u00f5es n\u00e3o criptografadas se por algum motivo esse m\u00f3dulo n\u00e3o
\nestivesse carregado. Na configura\u00e7\u00e3o acima, ocorrer\u00e1 um erro e impedir\u00e1 o funcionamento do
\nservidor web caso ocorra algum problema com o mod_ssl.
\n12.13.6 Iniciando o servidor Web com suporte a SSL
\nVerifique se a configura\u00e7\u00e3o do Apache est\u00e1 ok com apache -t. Caso positivo, reinicie o
\nservidor usando um dos m\u00e9todos descritos em Iniciando o servidor\/reiniciando\/recarregando a
\nconfigura\u00e7\u00e3o, Se\u00e7\u00e3o 12.1.9. O servidor web lhe pedir\u00e1 a FraseSenha para descriptografar a chave
\nprivada SSL (esta senha foi escolhida durante o processo de cria\u00e7\u00e3o do certificado).
\nEsta senha garante uma seguran\u00e7a adicional caso a chave privada do servidor seja copiada de
\nalguma forma. Somente quem tem conhecimento da FraseSenha poder\u00e1 iniciar o servidor com
\nsuporte a transfer\u00eancia segura de dados. Verifique se o virtual host est\u00e1 servindo as requisi\u00e7\u00f5es na
\nporta 443 com apache -S.
\nO \u00fanico m\u00e9todo para fazer o servidor web evitar de pedir a senha para descriptografar a chave
\nprivada \u00e9 colocando uma senha em branco. Isto s\u00f3 \u00e9 recomendado em ambientes seguros e o
\ndiret\u00f3rio que cont\u00e9m a chave privada dever\u00e1 ter somente permiss\u00f5es para o dono\/grupo que executa
\no servidor Web. Qualquer outra permiss\u00e3o poder\u00e1 por em risco a seguran\u00e7a da instala\u00e7\u00e3o caso a
\nchave privada seja roubada. Depois disso, execute o comando:
\n# entre no diret\u00f3rio que cont\u00e9m a chave privada
\ncd \/etc\/apache\/ssl.key
\n# renomeie a chave privada para outro nome
\nren server.key server.key-Csenha
\nopenssl rsa -in server.key-Csenha -out server.key
\nDigite a senha quando pedido. A chave original (com senha) estar\u00e1 gravada no arquivo
\nserver.key-Csenha e poder\u00e1 ser restaurada se necess\u00e1rio. Reinicie o servidor Apache, desta
\nvez ele n\u00e3o pedir\u00e1 a senha.
\nOBS1: Tire uma c\u00f3pia de seguran\u00e7a da chave privada original antes de executar esta opera\u00e7\u00e3o.
\nOBS2: N\u00e3o se esque\u00e7a de ajustar as permiss\u00f5es de acesso no diret\u00f3rio \/etc\/apache\/ssl.key
\ncaso n\u00e3o utilize senha para proteger seu certificado digital.
\n12.14 Exemplo comentado de um arquivo de configura\u00e7\u00e3o do
\nApache
\nO exemplo abaixo foi retirado da distribui\u00e7\u00e3o Debian GNU\/Linux, fiz sua tradu\u00e7\u00e3o,
\nmodifica\u00e7\u00f5es e inclui alguns coment\u00e1rios sobre as diretivas para deixa-lo mais de acordo com o
\nconte\u00fado abordado pelo guia e mais auto-explicativo.
\nA configura\u00e7\u00e3o do Apache est\u00e1 distribu\u00edda nos arquivos httpd.conf, srm.conf e
\naccess.conf e podem ser usados como modelo para a constru\u00e7\u00e3o da configura\u00e7\u00e3o de seu
\nservidor.
\n12.14.1 httpd.conf
\n##
\n## httpd.conf — Arquivo de configura\u00e7\u00e3o do servidor httpd Apache
\n##
\n#
\n# Baseado nos arquivos de configura\u00e7\u00e3o originais do servidor NCSA por Rob
\nMcCool.
\n# Modificado para distribui\u00e7\u00e3o junto ao guia Foca GNU\/Linux Avan\u00e7ado
\n# http:\/\/focalinux.cipsga.org.br\/ <gleydson@guiafoca.org>
\n#
\n# Este \u00e9 o arquivo de configura\u00e7\u00e3o principal do servidor Apache. Ele cont\u00e9m
\nas
\n# diretivas de configura\u00e7\u00e3o que d\u00e3o ao servidor suas instru\u00e7\u00f5es.
\n# Veja <http:\/\/www.apache.org\/docs\/> para informa\u00e7\u00f5es detalhadas sobre as
\n# diretivas.
\n#
\n# N\u00c3O leia simplesmente as instru\u00e7\u00f5es deste arquivo sem entender o que
\nsignificam
\n# e o que fazem, se n\u00e3o tiver certeza do que est\u00e1 fazendo consulte a
\ndocumenta\u00e7\u00e3o
\n# on-line ou leia as se\u00e7\u00f5es apropriadas do guia. Voc\u00ea foi avisado.
\n#
\n# Ap\u00f3s este arquivo ser processado, o servidor procurar\u00e1 e processar\u00e1 o
\narquivo
\n# \/etc\/apache\/srm.conf e ent\u00e3o \/etc\/apache\/access.conf
\n# a n\u00e3o ser que voc\u00ea tenha modificado o nome dos arquivos acima atrav\u00e9s das
\n# diretivas ResourceConfig e\/ou AccessConfig neste arquivo.
\n#
\n# Configura\u00e7\u00e3o e nomes de arquivos de log: Se os nomes de arquivos que
\n# especificar para os arquivos de controle do servidor iniciam com uma
\n# “\/”, o servidor usar\u00e1 aquele caminho explicitamente. Se os nomes *n\u00e3o*
\n# iniciarem com uma “\/”, o valor de ServerRoot \u00e9 adicionado — assim
\n# “logs\/foo.log” com ServerRoot ajustado para “\/usr\/local\/apache” ser\u00e1
\n# interpretado pelo servidor como “\/usr\/local\/apache\/logs\/foo.log”.
\n#
\n# Originalmente por Rob McCool
\n# modificado por Gleydson Mazioli da Silva para o guia Foca GNU\/Linux
\n# Carga dos M\u00f3dulos de Objetos Compartilhados:
\n# Para voc\u00ea ser capaz de usa a funcionalidade de um m\u00f3dulo que foi
\nconstru\u00eddo como
\n# um m\u00f3dulo compartilhado, ser\u00e1 necess\u00e1rio adicionar as linhas ‘LoadModule’
\n# correspondente a sua localiza\u00e7\u00e3o, assim as diretivas que os m\u00f3dulos
\ncont\u00e9m
\n# estar\u00e3o dispon\u00edveis _antes_ de serem usadas.
\n# Exemplo:
\n#
\n# ServerType pode ser inetd, ou standalone. O modo Inetd somente \u00e9
\nsuportado nas
\n# plataformas Unix. O modo standalone inicia o servidor como um daemon.
\n#
\nServerType standalone
\n# Se estiver executando a partir do inetd, v\u00e1 at\u00e9 a diretiva “ServerAdmin”.
\n# Port: A porta que o servidor standalone escutar\u00e1. Para portas < 1023,
\nser\u00e1
\n# necess\u00e1rio o servidor funcionando como root inicialmente.
\nPort 80
\n#
\n# HostnameLookups: Registra os nomes DNS dos clientes ou apenas seus
\nendere\u00e7os
\n# IP’s
\n# ex., www.apache.org (on) ou 204.62.129.132 (off).
\n# O valor padr\u00e3o \u00e9 off porque permitir\u00e1 menos tr\u00e1fego na rede. Ativando
\n# esta op\u00e7\u00e3o significa que cada acesso de um cliente resultar\u00e1 em
\n# NO M\u00cdNIMO uma requisi\u00e7\u00e3o de procura ao servidor de nomes (DNS).
\n#
\nHostnameLookups off
\n# Caso desejar que o servidor http seja executado como um usu\u00e1rio ou grupo
\ndiferente
\n# voc\u00ea deve executar o httpd inicialmente como root e ele modificar\u00e1 sua ID
\npara a
\n# especificada.
\n# User\/Group: O nome (ou #n\u00famero) do usu\u00e1rio\/grupo que executar\u00e1 o servidor
\nhttpd.
\n# No SCO (ODT 3) use “User nouser” e “Group nogroup”
\n# No HPUX voc\u00ea pode n\u00e3o ser\u00e1 capaz de usar mem\u00f3ria compartilhada como
\nnobody, e
\n# \u00e9 sugerido que seja criado um usu\u00e1rio www e executar o servidor httpd
\ncomo
\n# este usu\u00e1rio, adequando as permiss\u00f5es onde necess\u00e1rias.
\nUser www-data
\nGroup www-data
\n# ServerAdmin: Seu endere\u00e7o de e-mail, onde os problemas com o servidor
\ndevem ser
\n# enviadas. Este endere\u00e7o aparecer\u00e1 nas mensagens de erro do servidor.
\nServerAdmin gleydson@guiafoca.org
\n#
\n# ServerRoot: O topo da \u00e1rvore de diret\u00f3rios onde os arquivos de
\nconfigura\u00e7\u00e3o do
\n# servidor, erros, e log s\u00e3o mantidos.
\n#
\n# NOTA: Se tiver a inten\u00e7\u00e3o de colocar isto em um sistema de arquivos
\nmontado
\n# em um servidor NFS (ou outra rede) ent\u00e3o por favor leia a documenta\u00e7\u00e3o do
\n# LockFile
\n# (dispon\u00edvel em <http:\/\/www.apache.org\/docs\/mod\/core.html#lockfile>);
\n# e se salvar\u00e1 de v\u00e1rios problemas.
\n#
\n# N\u00e3o adicione uma barra no fim do caminho do diret\u00f3rio.
\n#
\nServerRoot \/etc\/apache
\n# BindAddress: Voc\u00ea pode usar esta op\u00e7\u00e3o em virtual hosts. Esta
\n# op\u00e7\u00e3o \u00e9 usada para dizer ao servidor que endere\u00e7o IP escutar. Ele pode
\n# conter ou “*”, um endere\u00e7o IP, ou um nome de dom\u00ednio completamente
\nqualificado
\n# (FQDN). Veja tamb\u00e9m a diretiva VirtualHost.
\nBindAddress *
\n#
\n# Suporte a Objetos Compartilhados Dinamicamente (DSO – Dynamic Shared
\nObject)
\n#
\n# Para ser capaz de usar a funcionalidade de um m\u00f3dulo que foi compilado
\ncomo
\n# um m\u00f3dulo DSO, voc\u00ea ter\u00e1 que adicionar as linhas ‘LoadModule’
\ncorrespondentes
\n# nesta localiza\u00e7\u00e3o, assim as diretivas contidas nela estar\u00e3o dispon\u00edveis
\n# _antes_ de serem usadas. Por favor leia o arquivo README.DSO na
\ndistribui\u00e7\u00e3o
\n# 1.3 do Apache para mais detalhes sobre o mecanismo DSO e execute o
\ncomando
\n# “apache -l” para a lista de m\u00f3dulos j\u00e1 compilados (estaticamente linkados
\ne
\n# assim sempre dispon\u00edveis) em seu bin\u00e1rio do Apache.
\n#
\n# Please keep this LoadModule: line here, it is needed for installation.
\n# LoadModule vhost_alias_module \/usr\/lib\/apache\/1.3\/mod_vhost_alias.so
\n# LoadModule env_module \/usr\/lib\/apache\/1.3\/mod_env.so
\nLoadModule config_log_module \/usr\/lib\/apache\/1.3\/mod_log_config.so
\n# LoadModule mime_magic_module \/usr\/lib\/apache\/1.3\/mod_mime_magic.so
\nLoadModule mime_module \/usr\/lib\/apache\/1.3\/mod_mime.so
\nLoadModule negotiation_module \/usr\/lib\/apache\/1.3\/mod_negotiation.so
\nLoadModule status_module \/usr\/lib\/apache\/1.3\/mod_status.so
\n# LoadModule info_module \/usr\/lib\/apache\/1.3\/mod_info.so
\n# LoadModule includes_module \/usr\/lib\/apache\/1.3\/mod_include.so
\nLoadModule autoindex_module \/usr\/lib\/apache\/1.3\/mod_autoindex.so
\nLoadModule dir_module \/usr\/lib\/apache\/1.3\/mod_dir.so
\nLoadModule php3_module \/usr\/lib\/apache\/1.3\/libphp3.so
\nLoadModule cgi_module \/usr\/lib\/apache\/1.3\/mod_cgi.so
\n# LoadModule asis_module \/usr\/lib\/apache\/1.3\/mod_asis.so
\n# LoadModule imap_module \/usr\/lib\/apache\/1.3\/mod_imap.so
\n# LoadModule action_module \/usr\/lib\/apache\/1.3\/mod_actions.so
\n# LoadModule speling_module \/usr\/lib\/apache\/1.3\/mod_speling.so
\nLoadModule userdir_module \/usr\/lib\/apache\/1.3\/mod_userdir.so
\nLoadModule alias_module \/usr\/lib\/apache\/1.3\/mod_alias.so
\nLoadModule rewrite_module \/usr\/lib\/apache\/1.3\/mod_rewrite.so
\nLoadModule access_module \/usr\/lib\/apache\/1.3\/mod_access.so
\nLoadModule auth_module \/usr\/lib\/apache\/1.3\/mod_auth.so
\n# LoadModule anon_auth_module \/usr\/lib\/apache\/1.3\/mod_auth_anon.so
\n# LoadModule dbm_auth_module \/usr\/lib\/apache\/1.3\/mod_auth_dbm.so
\n# LoadModule db_auth_module \/usr\/lib\/apache\/1.3\/mod_auth_db.so
\n# LoadModule proxy_module \/usr\/lib\/apache\/1.3\/libproxy.so
\n# LoadModule digest_module \/usr\/lib\/apache\/1.3\/mod_digest.so
\n# LoadModule cern_meta_module \/usr\/lib\/apache\/1.3\/mod_cern_meta.so
\nLoadModule expires_module \/usr\/lib\/apache\/1.3\/mod_expires.so
\n# LoadModule headers_module \/usr\/lib\/apache\/1.3\/mod_headers.so
\n# LoadModule usertrack_module \/usr\/lib\/apache\/1.3\/mod_usertrack.so
\nLoadModule unique_id_module \/usr\/lib\/apache\/1.3\/mod_unique_id.so
\nLoadModule setenvif_module \/usr\/lib\/apache\/1.3\/mod_setenvif.so
\n# LoadModule sys_auth_module \/usr\/lib\/apache\/1.3\/mod_auth_sys.so
\n# LoadModule put_module \/usr\/lib\/apache\/1.3\/mod_put.so
\n# LoadModule throttle_module \/usr\/lib\/apache\/1.3\/mod_throttle.so
\n# LoadModule allowdev_module \/usr\/lib\/apache\/1.3\/mod_allowdev.so
\n# LoadModule auth_mysql_module \/usr\/lib\/apache\/1.3\/mod_auth_mysql.so
\n# LoadModule pgsql_auth_module \/usr\/lib\/apache\/1.3\/mod_auth_pgsql.so
\n# LoadModule eaccess_module \/usr\/lib\/apache\/1.3\/mod_eaccess.so
\n# LoadModule roaming_module \/usr\/lib\/apache\/1.3\/mod_roaming.so
\n#
\n# ExtendedStatus: Controla de o Apache gerar\u00e1 detalhes completos de status
\n# (ExtendedStatus On) ou apenas detalhes b\u00e1sicos (ExtendedStatus Off)
\nquando o
\n# manipulador (handler) “server-status” for usado. O padr\u00e3o \u00e9 Off.
\n#
\nExtendedStatus on
\n#
\n# ErrorLog: A localiza\u00e7\u00e3o do arquivo de log de erros.
\n# Se n\u00e3o estiver especificando a diretiva ErrorLog dentro de <VirtualHost>,
\n# as mensagens de erros relativas aos hosts virtuais ser\u00e3o registradas
\nneste
\n# arquivo. Se definir um arquivo de log de erros para <VirtualHost>, as
\n# mensagens relativas ao servidor controlados por ela ser\u00e3o registradas l\u00e1
\ne
\n# n\u00e3o neste arquivo.
\n#
\nErrorLog \/var\/log\/apache\/error.log
\n#
\n# LogLevel: Controla o n\u00famero de mensagens registradas no ErrorLog.
\n# Facilidades poss\u00edveis incluem: debug, info, notice, warn, error, crit,
\n# alert, emerg.
\n# Veja as facilidades na se\u00e7\u00e3o do guia sobre o syslog para detalhes
\n#
\nLogLevel warn
\n# As seguintes diretivas definem alguns formatos de nomes que ser\u00e3o usadas
\ncom a
\n# diretiva CustomLog (veja abaixo).
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\” %T
\n%v” full
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\” %P
\n%T” debug
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-Agent}i\\””
\ncombined
\nLogFormat “%h %l %u %t \\”%r\\” %>s %b” common
\nLogFormat “%{Referer}i -> %U” referer
\nLogFormat “%{User-agent}i” agent
\n#
\n# A localiza\u00e7\u00e3o e formato do arquivo de log de acesso (definida pela
\ndiretiva
\n# LogFormat acima).
\n# Se n\u00e3o definir quaisquer arquivos de log de acesso dentro de um
\n# <VirtualHost>, elas ser\u00e3o registradas aqui. Se for definida dentro
\n# de <VirtualHost> o arquivo de log de acesso ser\u00e1 registrado no
\n# arquivo especificado na diretiva e n\u00e3o aqui.
\n#
\n#CustomLog \/var\/log\/apache\/access.log common
\n# Se voc\u00ea desejar ter um arquivo de log separado para o agent (navegador
\nusado)
\n# e referer, descomente as seguintes diretivas.
\n#CustomLog \/var\/log\/apache\/referer.log referer
\n#CustomLog \/var\/log\/apache\/agent.log agent
\n# Se preferir um arquivo de log simples, com os detalhes de acesso, agent,
\ne
\n# referer (usando o formato combined da diretiva LogFile acima), use a
\nseguinte
\n# diretiva.
\nCustomLog \/var\/log\/apache\/access.log combined
\n#
\n# Incluir uma linha contendo a vers\u00e3o do servidor e um nome de host virtual
\n# para as p\u00e1ginas geradas pelo servidor (documentos de erro, listagens
\n# de diret\u00f3rios FTP, sa\u00edda dos m\u00f3dulos mod_status e mod_info, etc., exceto
\n# para documentos gerados via CGI). Use o valor “EMail” para tamb\u00e9m incluir
\n# um link mailto: para o ServerAdmin. Escolha entre “On”, “Off” ou “EMail”.
\n#
\nServerSignature On
\n#
\n# PidFile: O arquivo que o servidor gravar\u00e1 os detalhes sobre seu PID
\nquando
\n# iniciar.
\n#
\nPidFile \/var\/run\/apache.pid
\n#
\n# ScoreBoardFile: Arquivo usado para armazenar detalhes do processo interno
\ndo
\n# servidor. Nem todas as arquiteturas requerem esta diretiva, mas se a sua
\n# requerer (voc\u00ea saber\u00e1 porque este arquivo ser\u00e1 criado quando executar o
\n# Apache) ent\u00e3o voc\u00ea *dever\u00e1* ter certeza que dois processos do Apache n\u00e3o
\n# utilizam o mesmo arquivo ScoreBoardFile.
\n#
\nScoreBoardFile \/var\/run\/apache.scoreboard
\n#
\n# Na configura\u00e7\u00e3o padr\u00e3o, o servidor processar\u00e1 este arquivo, o
\n# srm.conf e o access.conf neste ordem. Voc\u00ea pode fazer o servidor
\n# ignorar estes arquivos usando “\/dev\/null”.
\n#
\nResourceConfig \/etc\/apache\/srm.conf
\nAccessConfig \/etc\/apache\/access.conf
\n#
\n# A diretiva LockFile define o caminho do lockfile usado quando o servidor
\n# Apache for compilado com a op\u00e7\u00e3o USE_FCNTL_SERIALIZED_ACCEPT ou
\n# USE_FLOCK_SERIALIZED_ACCEPT. Esta diretiva normalmente deve ser deixada
\nem seu
\n# valor padr\u00e3o. A raz\u00e3o principal de modifica-la \u00e9 no caso do diret\u00f3rio de
\nlogs
\n# for montado via um servidor NFS< pois o arquivo especificado em LockFile
\n# DEVE SER ARMAZENADO EM UM DISCO LOCAL. O PID do processo do servidor
\nprincipal
\n# \u00e9 automaticamente adicionado neste arquivo.
\n#
\nLockFile \/var\/run\/apache.lock
\n# ServerName permite ajustar o nome de host que ser\u00e1 enviado
\n# aos clientes, caso for diferente do nome real (por exemplo, se desejar
\nusar
\n# www ao inv\u00e9s do nome real de seu servidor).
\n#
\n# Nota: Voc\u00ea n\u00e3o pode simplesmente inventar nomes e esperar que funcionem.
\nO nome
\n# que definir dever\u00e1 ser um nome DNS v\u00e1lido para sua m\u00e1quina.
\nServerName debian.meudominio.org
\n# UseCanonicalName: Com esta op\u00e7\u00e3o ligada, se o Apache precisar construir
\numa
\n# URL de refer\u00eancia (uma url que \u00e9 um retorno do servidor a uma requisi\u00e7\u00e3o)
\nele
\n# usar\u00e1 ServerName e Port para fazer o “nome can\u00f4nico”. Com esta op\u00e7\u00e3o
\ndesligada,
\n# o Apache usar\u00e1 computador:porta que o cliente forneceu, quando poss\u00edvel.
\n# Isto tamb\u00e9m afeta SERVER_NAME e SERVER_PORT nos scripts CGIs.
\n#
\n# Dependendo de sua configura\u00e7\u00e3o, principalmente em virtual hosts, \u00e9
\nrecomend\u00e1vel
\n# deixa-la desativada ou com o valor DNS. O valor DNS obt\u00e9m o nome do
\nservidor
\n# atrav\u00e9s de uma requisi\u00e7\u00e3o DNS reversa do endere\u00e7o IP (muito \u00fatil para
\nvirtual
\n# hosts baseados em IP).
\nUseCanonicalName off
\n# CacheNegotiatedDocs: Por padr\u00e3o, o Apache envia Pragma: no-cache com cada
\n# documento que foi negociado na base do conte\u00fado. Isto permite dizer a
\n# servidores proxy para n\u00e3o fazerem cache do documento. Descomentando a
\n# seguinte linha desativa esta caracter\u00edstica, e os proxyes ser\u00e3o capazes
\n# de fazer cache dos documentos.
\n#CacheNegotiatedDocs
\n# Timeout: O n\u00famero de segundos antes de receber e enviar um time out
\nTimeout 300
\n# KeepAlive: Se vai permitir ou n\u00e3o conex\u00f5es persistentes (mais que uma
\nrequisi\u00e7\u00e3o
\n# por conex\u00e3o). Mude para “Off” para desativar.
\nKeepAlive On
\n# MaxKeepAliveRequests: O n\u00famero m\u00e1ximo de requisi\u00e7\u00f5es que ser\u00e3o permitidas
\n# durante uma conex\u00e3o persistente. Mude para 0 para permitir uma quantidade
\n# ilimitada. N\u00f3s recomendamos deixar este n\u00famero alto, para obter a m\u00e1xima
\n# performance
\nMaxKeepAliveRequests 100
\n# KeepAliveTimeout: N\u00famero de segundos que aguardar\u00e1 a pr\u00f3xima requisi\u00e7\u00e3o
\nKeepAliveTimeout 15
\n# Regulagem do tamanho de pool do servidor. Ao inv\u00e9s de fazer voc\u00ea
\nadivinhar
\n# quantos processos servidores precisar\u00e1, o Apache adapta dinamicamente
\n# de acordo com a carga que ele v\u00ea — isto \u00e9, ele tenta manter o n\u00famero de
\n# processos o bastante para manipular a carga atual, mas alguns poucos
\n# servidores esparsos para manipular requisi\u00e7\u00f5es transientes (ex.
\nrequisi\u00e7\u00f5es
\n# simult\u00e2neas m\u00faltiplas de um navegador Netscape simples).
\n# Ele faz isto verificando periodicamente quantos servidores est\u00e3o
\n# aguardando por uma requisi\u00e7\u00e3o. Se l\u00e1 existe menos que MinSpareServers,
\n# ele cria um novo processo. Se existe mais que MaxSpareServers, ele
\n# fecha alguns processos. Os valores abaixo est\u00e3o adequados para muitos
\n# sites
\nMinSpareServers 5
\nMaxSpareServers 10
\n# N\u00famero de servidores que ser\u00e3o iniciados — deve conter um valor
\nrazo\u00e1vel.
\nStartServers 5
\n# Limita o n\u00famero total de servidores rodando, i.e., limita o n\u00famero de
\nclientes
\n# que podem conectar simultaneamente — se este limite \u00e9 sempre atingido,
\n# os clientes podem ser\u00e3o BARRADOS, assim este valor N\u00c3O DEVE SER MUITO
\nPEQUENO.
\n# Ele tem a inten\u00e7\u00e3o principal de ser um freio para manter um em execu\u00e7\u00e3o
\ncom
\n# uma performance aceit\u00e1vel de acordo com os requerimentos de constru\u00e7\u00e3o e
\n# carga calculada no servidor.
\nMaxClients 150
\n#
\n# MaxRequestsPerChild: O n\u00famero de requisi\u00e7\u00f5es que cada processo tem
\npermiss\u00e3o
\n# de processar antes do processo filho ser finalizado. O filho ser\u00e1
\nfinalizado
\n# para evitar problemas ap\u00f3s uso prolongado quando o Apache (e talvez as
\n# bibliotecas que utiliza) tomar mem\u00f3ria e outros recursos. Na maioria dos
\n# sistemas, isto realmente n\u00e3o \u00e9 necess\u00e1rio, exceto para alguns (como o
\n# Solaris) que possuem ponteiros not\u00e1veis em suas bibliotecas. Para estas
\n# plataformas, ajuste para algo em torno de 10000 ou algo assim; uma
\n# configura\u00e7\u00e3o de 0 significa ilimitado.
\n#
\n# NOTA: Este valor n\u00e3o inclui requisi\u00e7\u00f5es keepalive ap\u00f3s a requisi\u00e7\u00e3o
\n# inicial por conex\u00e3o. Por exemplo, se um processo filho manipula
\n# uma requisi\u00e7\u00e3o inicial e 10 requisi\u00e7\u00f5es “keptalive” subseq\u00fcentes,
\n# ele somente contar\u00e1 1 requisi\u00e7\u00e3o neste limite.
\n#
\nMaxRequestsPerChild 30
\n# Listen: Permite fazer o Apache escutar um IP determinado e\/ou porta, em
\n# adi\u00e7\u00e3o a padr\u00e3o. Veja tamb\u00e9m o comando VirtualHost
\n#Listen 3000
\n#Listen 12.34.56.78:80
\n# VirtualHost: Permite o daemon responder a requisi\u00e7\u00f5es para mais que um
\n# endere\u00e7o IP do servidor, se sua m\u00e1quina estiver configurada para aceitar
\npacotes
\n# para m\u00faltiplos endere\u00e7os de rede. Isto pode ser feito com a op\u00e7\u00e3o de
\naliasing
\n# do ifconfig ou atrav\u00e9s de patches do kernel como o de VIF.
\n# Qualquer diretiva httpd.conf ou srm.conf pode ir no comando VirtualHost.
\n# Veja tamb\u00e9m a entrada BindAddress.
\n#<VirtualHost host.some_domain.com>
\n#ServerAdmin webmaster@host.some_domain.com
\n#DocumentRoot \/home\/viaza132\/www\/host.some_domain.com
\n#ServerName host.some_domain.com
\n#ErrorLog \/var\/log\/apache\/host.some_domain.com-error.log
\n#TransferLog \/var\/log\/apache\/host.some_domain.com-access.log
\n#<\/VirtualHost>
\n# VirtualHost: Se voc\u00ea quiser manter m\u00faltiplos dom\u00ednios\/nomes de m\u00e1quinas
\nem sua
\n# m\u00e1quina voc\u00ea pode ajustar o conte\u00fado de VirtualHost para eles.
\n# Por favor veja a documenta\u00e7\u00e3o em <http:\/\/www.apache.org\/docs\/vhosts\/>
\n# para mais detalhes antes de tentar configurar seus hosts virtuais.
\n# Voc\u00ea pode usar a op\u00e7\u00e3o de linha de comando ‘-S’ para verificar sua
\nconfigura\u00e7\u00e3o
\n# de hosts virtuais.
\n#
\n# Se desejar usar hosts virtuais baseados em nome, ser\u00e1 necess\u00e1rio definir
\nno
\n# m\u00ednimo um endere\u00e7o IP (e n\u00famero de porta) para eles.
\n#
\n#NameVirtualHost 12.34.56.78:80
\n#NameVirtualHost 12.34.56.78
\n#
\n# Exemplo de um Host Virtual:
\n# Praticamente qualquer diretiva do Apache pode entrar na condicional
\n# VirtualHost.
\n#
\n#<VirtualHost ip.address.of.host.some_domain.com>
\n# ServerAdmin webmaster@host.some_domain.com
\n# DocumentRoot \/www\/docs\/host.some_domain.com
\n# ServerName host.some_domain.com
\n# ErrorLog logs\/host.some_domain.com-error.log
\n# CustomLog logs\/host.some_domain.com-access.log common
\n#<\/VirtualHost>
\n#<VirtualHost _default_:*>
\n#<\/VirtualHost>
\n12.14.2 srm.conf
\n# Neste arquivo s\u00e3o definidos o espa\u00e7o de nomes que os usu\u00e1rios
\nvisualizar\u00e3o no
\n# seu servidor http. Este arquivo tamb\u00e9m define configura\u00e7\u00f5es do servidor
\nque
\n# afetam como as requisi\u00e7\u00f5es s\u00e3o servidas e como os resultados dever\u00e3o ser
\n# formatados.
\n# Veja os tutoriais em http:\/\/www.apache.org\/ para mais detalhes
\n# DocumentRoot: O diret\u00f3rio principal onde voc\u00ea servira seus documentos.
\n# Por padr\u00e3o, todas as requisi\u00e7\u00f5es s\u00e3o tomadas atrav\u00e9s deste diret\u00f3rio,
\n# exceto links simb\u00f3licos e aliases que podem ser usados para apontar para
\n# outras localiza\u00e7\u00f5es no sistema de arquivos.
\nDocumentRoot \/home\/viaza132\/www
\n#
\n# UserDir: O nome do diret\u00f3rio que ser\u00e1 adicionado ao diret\u00f3rio home do
\nusu\u00e1rio
\n# caso uma requisi\u00e7\u00e3o ~usu\u00e1rio for recebida.
\n#
\n<IfModule mod_userdir.c>
\n# Linha abaixo por recomenda\u00e7\u00e3o de seguran\u00e7a do manual do Apache
\nUserDir disabled root
\nUserDir public_html
\n<\/IfModule>
\n#
\n# DirectoryIndex: Nome do arquivo ou arquivos que ser\u00e3o usados como \u00edndice
\ndo
\n# diret\u00f3rio. Especifique mais de um arquivos separados por espa\u00e7os ao inv\u00e9s
\n# de um s\u00f3 um nome (como “index”) para aumentar a performance do servidor.
\n#
\n<IfModule mod_dir.c>
\nDirectoryIndex index.html index.htm index.shtml index.cgi
\n<\/IfModule>
\n#
\n# Diretivas que controlam a exibi\u00e7\u00e3o de listagem de diret\u00f3rios geradas pelo
\nservidor.
\n#
\n<IfModule mod_autoindex.c>
\n#
\n# FancyIndexing: se voc\u00ea deseja o padr\u00e3o fancy index ou padr\u00e3o para a
\nindexa\u00e7\u00e3o
\n# de arquivos no diret\u00f3rio. Usando FancyIndexing o
\nservidor
\n# apache gerar\u00e1 uma listagem de arquivos que poder\u00e1 ser
\n# ordenada, usar tipos de \u00edcones e encoding, etc. Veja
\nas
\n# pr\u00f3ximas op\u00e7\u00f5es
\nIndexOptions FancyIndexing
\n#
\n# As diretivas AddIcon* dizem ao servidor que \u00edcone mostrar para um
\ndeterminado
\n# arquivo ou extens\u00e3o de arquivos. Estes somente s\u00e3o mostrados para os
\n# diret\u00f3rios classificados atrav\u00e9s da op\u00e7\u00e3o FancyIndexing.
\n#
\nAddIconByEncoding (CMP,\/icons\/compressed.gif) x-compress x-gzip
\nAddIconByType (TXT,\/icons\/text.gif) text\/*
\nAddIconByType (IMG,\/icons\/image2.gif) image\/*
\nAddIconByType (SND,\/icons\/sound2.gif) audio\/*
\nAddIconByType (VID,\/icons\/movie.gif) video\/*
\nAddIcon \/icons\/binary.gif .bin .exe
\nAddIcon \/icons\/binhex.gif .hqx
\nAddIcon \/icons\/tar.gif .tar
\nAddIcon \/icons\/world2.gif .wrl .wrl.gz .vrml .vrm .iv
\nAddIcon \/icons\/compressed.gif .Z .z .tgz .gz .zip
\nAddIcon \/icons\/a.gif .ps .ai .eps
\nAddIcon \/icons\/layout.gif .html .shtml .htm .pdf
\nAddIcon \/icons\/text.gif .txt
\nAddIcon \/icons\/c.gif .c
\nAddIcon \/icons\/p.gif .pl .py
\nAddIcon \/icons\/f.gif .for
\nAddIcon \/icons\/dvi.gif .dvi
\nAddIcon \/icons\/uuencoded.gif .uu
\nAddIcon \/icons\/script.gif .conf .sh .shar .csh .ksh .tcl
\nAddIcon \/icons\/tex.gif .tex
\nAddIcon \/icons\/bomb.gif *\/core
\nAddIcon \/icons\/deb.gif .deb Debian
\nAddIcon \/icons\/back.gif ..
\nAddIcon \/icons\/hand.right.gif README
\nAddIcon \/icons\/folder.gif ^^DIRECTORY^^
\nAddIcon \/icons\/blank.gif ^^BLANKICON^^
\n# DefaultIcon \u00e9 o \u00edcone que ser\u00e1 mostrado para aplicativos que n\u00e3o
\ntiverem um
\n# \u00edcone explicitamente definido.
\nDefaultIcon \/icons\/unknown.gif
\n#
\n# AddDescription: isto lhe permite colocar uma curta descri\u00e7\u00e3o ap\u00f3s um
\narquivo
\n# nos \u00edndices gerados pelo servidor. Estes somente s\u00e3o mostrados para
\ndiret\u00f3rios
\n# com \u00edndices organizados usando a op\u00e7\u00e3o FancyIndexing.
\n# Formato: AddDescription “descri\u00e7\u00e3o” extens\u00e3o
\n#
\n#AddDescription “GZIP compressed document” .gz
\n#AddDescription “tar archive” .tar
\n#AddDescription “GZIP compressed tar archive” .tgz
\n# ReadmeName \u00e9 o nome do arquivo LEIAME que o servidor procurar\u00e1 como
\n# padr\u00e3o. Estes ser\u00e3o inseridos no fim da listagem de diret\u00f3rios.
\nFormato: ReadmeName nome
\n#
\n# O servidor procurar\u00e1 primeiro por nome.html, inclu\u00eddo se ele for
\nencontrado,
\n# e ent\u00e3o procurar\u00e1 pelo nome e incluir\u00e1 ele como texto plano se
\nencontrado..
\nReadmeName README
\n# HeaderName \u00e9 o nome do arquivo que deve ser colocado no topo do
\n\u00edndice
\n# de diret\u00f3rios. As regras de procura de nome s\u00e3o as mesmas do arquivo
\n# README
\nHeaderName HEADER
\n#
\n# IndexIgnore: um conjunto de nomes de arquivos que a listagem de
\ndiret\u00f3rios
\n# deve ignorar e n\u00e3o incluir na listagem. \u00c9 permitido o uso de coringas
\n# como no interpretador de comandos.
\n#
\nIndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t
\n<\/IfModule>
\n# AccessFileName: O nome do arquivo que ser\u00e1 procurado em cada diret\u00f3rio
\n# que cont\u00e9m detalhes sobre as permiss\u00f5es de acesso a um determinado
\n# diret\u00f3rio e op\u00e7\u00f5es de listagem. Tenha cuidado ao modificar o nome
\n# deste arquivo, muitas defini\u00e7\u00f5es que trabalham em cima do nome
\n# .htaccess nos arquivos de configura\u00e7\u00e3o dever\u00e3o ser modificados para
\n# n\u00e3o comprometer a seguran\u00e7a de seu servidor.
\n# Uma falta de aten\u00e7\u00e3o neste ponto poder\u00e1 deixar este arquivo vis\u00edvel
\n# em qualquer listagem de diret\u00f3rios facilmente…
\nAccessFileName .htaccess
\n# TypesConfig especifica o arquivo de configura\u00e7\u00e3o que cont\u00e9m os tipos
\n# usados pelo servidor
\nTypesConfig \/etc\/mime.types
\n#
\n# DefaultType \u00e9 o tipo MIME padr\u00e3o que o servidor utilizar\u00e1 para um
\ndocumento
\n# caso ele n\u00e3o possa determinar seu conte\u00fado, como atrav\u00e9s de extens\u00f5es
\n# de arquivos. Se o servidor cont\u00e9m em sua maioria texto ou documentos em
\nHTML,
\n# “text\/plain” \u00e9 um bom valor. Caso a maioria do conte\u00fado seja bin\u00e1rios,
\ntal
\n# como aplicativos ou fotos, o tipo mais adequado ao seu caso poder\u00e1 ser
\n# “application\/octet-stream” para evitar que navegadores tentem exibir
\n# aplicativos bin\u00e1rios como se fossem texto.
\n# Se desejar uma refer\u00eancia r\u00e1pida sobre tipos mime, consulte o arquivo
\n# \/etc\/mime.types
\n#
\nDefaultType text\/plain
\n#
\n# Document types.
\n#
\n<IfModule mod_mime.c>
\n# AddEncoding permite que alguns navegadores (Mosaic\/X 2.1+, Netscape,
\netc)
\n# descompactem dados durante sua abertura. N
\n# Nota: Nem todos os navegadores suportam isto. Esque\u00e7a os nomes
\nparecidos,
\n# as seguintes diretivas Add* n\u00e3o tem nada a ver com personaliza\u00e7\u00f5es
\n# da op\u00e7\u00e3o FancyIndexing usada nas diretivas acima.
\nAddEncoding x-compress Z
\nAddEncoding x-gzip gz tgz
\n#
\n# AddLanguage: permite especificar o idioma do documento. Voc\u00ea pode
\n# ent\u00e3o usar a negocia\u00e7\u00e3o de conte\u00fado para dar ao navegador um
\n# arquivo no idioma solicitado.
\n#
\n# Nota 1: O sufixo n\u00e3o precisa ser o mesmo da palavra chave do
\n# idioma — estes com o documento em Polon\u00eas (no qual o
\n# c\u00f3digo padr\u00e3o da rede \u00e9 pl) pode desejar usar “AddLanguage pl .po”
\n# para evitar confus\u00e3o de nomes com a extens\u00e3o comum de scripts
\n# scripts em linguagem Perl.
\n#
\n# Nota 2: As entradas de exemplos abaixo mostram que em alguns casos
\n# as duas letras de abrevia\u00e7\u00e3o do ‘Idioma’ n\u00e3o \u00e9 id\u00eantico as duas
\nletras
\n# do ‘Pa\u00eds’ para seu pa\u00eds, como ‘Danmark\/dk’ versus ‘Danish\/da’.
\n#
\n# Nota 3: No caso de ‘ltz’ n\u00f3s violamos a RFC usando uma especifica\u00e7\u00e3o
\nde
\n# tr\u00eas caracteres. Mas existe um ‘trabalho em progresso’ para corrigir
\nisto
\n# e obter os dados de refer\u00eancia para limpar a RFC1766.
\n#
\n# Danish (da) – Dutch (nl) – English (en) – Estonian (ee)
\n# French (fr) – German (de) – Greek-Modern (el)
\n# Italian (it) – Portugese (pt) – Luxembourgeois* (ltz)
\n# Spanish (es) – Swedish (sv) – Catalan (ca) – Czech(cz)
\n# Polish (pl) – Brazilian Portuguese (pt-br) – Japanese (ja)
\n#
\nAddLanguage da .dk
\nAddLanguage nl .nl
\nAddLanguage en .en
\nAddLanguage et .ee
\nAddLanguage fr .fr
\nAddLanguage de .de
\nAddLanguage el .el
\nAddLanguage it .it
\nAddLanguage ja .ja
\n# AddCharset ISO-2022-JP .jis
\nAddLanguage pl .po
\n# AddCharset ISO-8859-2 .iso-pl
\nAddLanguage pt .pt
\nAddLanguage pt-br .pt-br
\nAddLanguage ltz .lu
\nAddLanguage ca .ca
\nAddLanguage es .es
\nAddLanguage sv .se
\nAddLanguage cz .cz
\n# LanguagePriority: permite definir a prioridade para a exibi\u00e7\u00e3o de
\n# documentos caso nenhum documento confira durante a negocia\u00e7\u00e3o de
\n# conte\u00fado.
\n#
\n# Para fazer isto, especifique os idiomas em ordem de prefer\u00eancia de
\nexibi\u00e7\u00e3o
\n# de idiomas.
\n#
\n<IfModule mod_negotiation.c>
\nLanguagePriority pt-br pt es en da nl et fr de el it ja pl ltz ca
\nsv
\n<\/IfModule>
\n#
\n# AddType permite modificar o mime.types sem editar o arquivo, ou fazer
\n# a associa\u00e7\u00e3o de arquivos a certos tipos de conte\u00fado.
\n#
\n# Por exemplo, o m\u00f3dulo PHP 3.x (que n\u00e3o faz parte da distribui\u00e7\u00e3o do
\n# Apache – veja http:\/\/www.php.net) tipicamente utiliza isto:
\n#
\n#AddType application\/x-httpd-php3 .php3
\n#AddType application\/x-httpd-php3-source .phps
\n#
\n# E para arquivos PHP 4.x use:
\n#
\n#AddType application\/x-httpd-php .php
\n#AddType application\/x-httpd-php-source .phps
\nAddType application\/x-tar .tgz
\nAddType image\/bmp .bmp
\n# hdml
\nAddType text\/x-hdml .hdml
\n#
\n# AddHandler permite mapear certas extens\u00f5es de arquivos a programas
\n# “manipuladores” adequados a seu conte\u00fado. Estes podem ser constru\u00eddos
\n# no servidor ou adicionados com o comando Action (veja abaixo).
\n#
\n# Se desejar usar includes no lado do servidor, ou servir diret\u00f3rios
\n# com scripts CGI para fora, descomente as seguintes linhas.
\n#
\n# Para usar scripts CGI:
\n#
\n#AddHandler cgi-script .cgi .sh .pl
\n#
\n# Para usar arquivos html gerados atrav\u00e9s do servidor
\n#
\n#AddType text\/html .shtml
\n#AddHandler server-parsed .shtml
\n#
\n# Descomente as seguintes linhas para ativar a caracter\u00edsticas de
\narquivos
\n# send-asis HTTP do servidor Apache
\n#
\n#AddHandler send-as-is asis
\n#
\n# Se desejar usar arquivos de mapas de imagens processadas no servidor,
\nuse
\n#
\n#AddHandler imap-file map
\n#
\n# Para ativar tipo de mapas, voc\u00ea poder\u00e1 usar
\n#
\n#AddHandler type-map var
\n<\/IfModule>
\n# Fim dos tipos de documentos
\n# Prefer\u00eancias padr\u00f5es de exibi\u00e7\u00e3o de caracteres (veja
\nhttp:\/\/www.apache.org\/info\/css-security\/).
\nAddDefaultCharset on
\nAddDefaultCharsetName iso-8859-1
\n# Redirect permite dizer aos clientes que documentos n\u00e3o existem mais no
\nseu servidor
\n# e a nova localiza\u00e7\u00e3o do documento.
\n# Format: Redirect nomeurl url
\n# “nomeurl” \u00e9 o caminho especificado na url e “url” \u00e9 a nova localiza\u00e7\u00e3o do
\n# documento
\n# Aliases: Inclua aqui quantos apelidos voc\u00ea desejar (sem limite) o formato
\n\u00e9:
\n# Alias nomeurl nomereal
\n# “nomeurl” \u00e9 o caminho especificado na url e “nomereal” \u00e9 a localiza\u00e7\u00e3o
\n# do documento no sistema de arquivos local
\n# Note que se voc\u00ea incluir uma \/ no fim de “nomeurl”, ent\u00e3o o servidor
\n# requisitar\u00e1 que tamb\u00e9m esteja presente na URL.
\nAlias \/icons\/ \/usr\/share\/apache\/icons\/
\nAlias \/doc\/ \/usr\/doc\/
\nAlias \/focalinux \/home\/viaza132\/www\/focalinux
\nAlias \/debian-br \/home\/viaza132\/www\/debian-br\/htdocs
\nAlias \/debian \/pub\/mirror\/debian
\n# ScriptAlias: Esta diretiva controla que diret\u00f3rios cont\u00e9m scripts do
\nservidor.
\n# Format: ScriptAlias fakename realname
\nScriptAlias \/cgi-bin\/ \/usr\/lib\/cgi-bin\/
\n#
\n# Action: permite definir os tipos de m\u00eddia que executar\u00e3o um script quando
\num
\n# arquivo que conferir for chamado. Isto elimina a necessidade de caminhos
\nde URLs
\n# repetidas para processadores de arquivos CGI freq\u00fcentemente usados.
\n# Format: Action media\/type \/cgi-script\/location
\n# Format: Action handler-name \/cgi-script\/location
\n#
\n#
\n# MetaDir: especifica o nome do diret\u00f3rio no qual o apache procurar\u00e1
\narquivos de
\n# detalhes do m\u00f3dulo mod_cern_meta. Os m\u00f3dulos meta cont\u00e9m cabe\u00e7alhos HTTP
\n# adicionais que ser\u00e3o inclu\u00eddos durante o envio do documento.
\n#
\n#MetaDir .web
\n#
\n# Resposta de erros personalizada (no estilo do Apache)
\n# estas podem ser 3 tipos:
\n#
\n# 1) texto plano
\n#ErrorDocument 500 “O servidor fez boo boo.
\n# n.b. a aspa (“) marca como texto, ela n\u00e3o ser\u00e1 exibida
\n#
\n# 2) redirecionamentos locais
\n#ErrorDocument 404 \/missing.html
\n# para redirecionar para a URL local \/missing.html
\n#ErrorDocument 404 \/cgi-bin\/missing_handler.pl
\n# N.B.: \u00c9 tamb\u00e9m poss\u00edvel redirecionar a um script o documento usando
\nincludes
\n# do lado do servidor (server-side-includes).
\n#
\n# 3) redirecionamentos externos
\n#ErrorDocument 402 http:\/\/algum.outro_servidor.com\/inscricao.html
\n# N.B.: Muitas das vari\u00e1veis de ambientes associada com a requisi\u00e7\u00e3o atual
\n*n\u00e3o*
\n# estar\u00e3o dispon\u00edveis para tal script.
\n#
\n# O m\u00f3dulo mod_mime_magic permite o servidor usar v\u00e1rias dicas atrav\u00e9s do
\nconte\u00fado
\n# do arquivo para determinar o seu tipo. A diretiva MIMEMagicFile diz ao
\nm\u00f3dulo
\n# onde as defini\u00e7\u00f5es de dicas est\u00e3o localizadas. O m\u00f3dulo mod_mime_magic
\nn\u00e3o \u00e9
\n# parte do servidor padr\u00e3o Apache (voc\u00ea precisar\u00e1 adiciona-lo manualmente
\ncom
\n# uma linha LoadModule (veja o par\u00e1grafo DSO na se\u00e7\u00e3o Ambiente Global no
\n# arquivo httpd.conf), ou recompile o servidor e inclua mod_mime_magic como
\n# parte de sua configura\u00e7\u00e3o), por este motivo ele est\u00e1 entre as
\ncondicionais
\n# <IfModule>. Isto significa que a diretiva MIMEMagicFile somente ser\u00e1
\nprocessada
\n# caso o m\u00f3dulo estiver ativo no servidor.
\n#
\n<IfModule mod_mime_magic.c>
\nMIMEMagicFile conf\/magic
\n<\/IfModule>
\n<IfModule mod_setenvif.c>
\n#
\n# As seguintes diretivas modificam o funcionamento da resposta normal
\ndo
\n# servidor HTTP.
\n# A primeira diretiva desativa o keepalive para o Netscape 2.x e
\nnavegadores que
\n# as falsificam. Existem problemas conhecidos com estas implementa\u00e7\u00f5es
\nde
\n# navegadores. A segunda diretiva \u00e9 para o MS IE 4.0b2 que tem uma
\nimplementa\u00e7\u00e3o
\n# defeituosa do HTTP\/1.1 e n\u00e3o suporta adequadamente o keepalive quando
\nele
\n# utiliza as respostas de redirecionamento 301 e 302.
\n#
\nBrowserMatch “Mozilla\/2” nokeepalive
\nBrowserMatch “MSIE 4\\.0b2;” nokeepalive downgrade-1.0 force-response-
\n1.0
\n#
\n# As seguintes diretivas desativam as respostas HTTP\/1.1 para
\nnavegadores que
\n# violam a especifica\u00e7\u00e3o HTTP\/1.0 n\u00e3o sendo capaz de enviar uma
\nresposta
\n# 1.1 b\u00e1sica.
\n#
\nBrowserMatch “RealPlayer 4\\.0” force-response-1.0
\nBrowserMatch “Java\/1\\.0” force-response-1.0
\nBrowserMatch “JDK\/1\\.0” force-response-1.0
\n<\/IfModule>
\n# Se o m\u00f3dulo Perl est\u00e1 instalado, isto ser\u00e1 ativado.
\n<IfModule mod_perl.c>
\nAlias \/perl\/ \/home\/viaza132\/www\/perl\/
\n<Location \/perl>
\nOptions +ExecCGI
\nSetHandler perl-script
\nPerlHandler Apache::Registry
\n<\/Location>
\n<\/IfModule>
\n12.14.3 access.conf
\n# access.conf: Configura\u00e7\u00e3o de acesso Global
\n# Documentos on-line em http:\/\/www.apache.org\/
\n# Este arquivo define as configura\u00e7\u00f5es do servidor que afetam que tipos de
\n# servi\u00e7os s\u00e3o permitidos e em quais circunst\u00e2ncias.
\n# Cada diret\u00f3rio que o Apache possui acesso, pode ser configurado
\nrespectivamente
\n# com quais servi\u00e7os e caracter\u00edsticas que podem ser permitidas e\/ou
\nbloqueadas
\n# no diret\u00f3rio (e seus subdiret\u00f3rios).
\n#
\n# Primeiro a configura\u00e7\u00e3o restringe uma s\u00e9rie de permiss\u00f5es
\n<Directory \/>
\nOptions SymLinksIfOwnerMatch
\nAllowOverride None
\n# Order deny,allow
\n# Deny from all
\n<\/Directory>
\n# Desse ponto em diante, \u00e9 necess\u00e1rio especificar o que ser\u00e1 permitido
\n# caso contr\u00e1rio ser\u00e1 bloqueado pelo bloco acima
\n# Esta parte deve ser modificada para a localiza\u00e7\u00e3o do documento ra\u00edz do
\nservidor.
\n<Directory \/home\/viaza132\/www>
\n# A op\u00e7\u00e3o Options pode conter os valores “None”, “All”, ou quaisquer
\ncombina\u00e7\u00e3o
\n# de “Indexes”, “Includes”, “FollowSymLinks”, “ExecCGI”, ou “MultiViews”.
\n#
\n# Note que “MultiViews” deve ser *explicitamente* especificada — “Options
\nAll”
\n# n\u00e3o a ativa (pelo menos n\u00e3o ainda).
\nOptions Indexes FollowSymLinks Includes MultiViews
\n# Esta op\u00e7\u00e3o controla que op\u00e7\u00f5es os arquivos .htaccess nos diret\u00f3rios podem
\nser
\n# substitu\u00eddas. Pode tamb\u00e9m conter “All”, ou qualquer combina\u00e7\u00e3o de
\n“Options”,
\n# “FileInfo”, “AuthConfig”, e “Limit”
\nAllowOverride None
\n# Controla quem pode obter materiais deste servidor. Leia a se\u00e7\u00e3o adequada
\nno
\n# guia para mais explica\u00e7\u00f5es sobre a ordem de acesso, padr\u00f5es e valores
\npermitidos.
\norder allow,deny
\nallow from all
\n<\/Directory>
\n#
\n# O diret\u00f3rio “\/usr\/lib\/cgi-bin” deve ser modificado para o diret\u00f3rio que
\n# possuem seus scripts CGI, caso tenha configurado o suporte a CGI’s no
\n# servidor.
\n#
\n<Directory \/usr\/lib\/cgi-bin\/>
\nAllowOverride None
\nOptions ExecCGI
\nOrder allow,deny
\nAllow from all
\n<\/Directory>
\n#
\n# Permite ver relat\u00f3rios de status e funcionamento do servidor web e
\n# processos filhos, atrav\u00e9s da URL http:\/\/servidor\/server-status
\n# isto requer o m\u00f3dulo status_module (mod_status.c) carregado no arquivo
\n# httpd.conf
\n#
\n#<Location \/server-status>
\n# SetHandler server-status
\n# Order deny,allow
\n# Deny from all
\n# Allow from .meudominio.org
\n#<\/Location>
\n#
\n# Permite relat\u00f3rio de configura\u00e7\u00e3o remota do servidor, atrav\u00e9s da URL
\n# http:\/\/servername\/server-info
\n# Isto requer o m\u00f3dulo info_module (mod_info.c) carregado no arquivo
\n# httpd.conf
\n#
\n#<Location \/server-info>
\n# SetHandler server-info
\n# Order deny,allow
\n# Deny from all
\n# Allow from .meudominio.org
\n#<\/Location>
\n# Visualiza\u00e7\u00e3o do diret\u00f3rio de \u00edcones
\n<Directory \/usr\/share\/apache\/icons>
\nOptions Indexes MultiViews
\nAllowOverride None
\nOrder allow,deny
\nAllow from all
\n<\/Directory>
\n# O Debian Policy assume que \/usr\/doc \u00e9 “\/doc\/” e linkado com
\n\/usr\/share\/doc,
\n# pelo menos para localhost.
\n<Directory \/usr\/doc>
\nOptions Indexes FollowSymLinks
\norder deny,allow
\ndeny from all
\nallow from 192.168.1.10\/24
\n<\/Directory>
\n# Esta define a localiza\u00e7\u00e3o visualiz\u00e1vel do monitor de status mod_throttle
\n#
\n<location \/throttle-info>
\nSetHandler throttle-info
\n<\/location>
\n#
\n# As seguintes linhas previnem os arquivos .htaccess de serem mostrados nos
\n# clientes Web. Pois os arquivos .htaccess freq\u00fcentemente cont\u00e9m detalhes
\n# de autoriza\u00e7\u00e3o, o acesso \u00e9 desabilitado por raz\u00f5es de seguran\u00e7a. Comente
\n# estas linhas se desejar que seus visitantes vejam o conte\u00fado dos arquivos
\n# .htaccess. Se modificar a diretiva AccessFileName acima, tenha certeza de
\n# fazer as modifica\u00e7\u00f5es correspondentes aqui.
\n#
\n# As pessoas tamb\u00e9m tendem a usar nomes como .htpasswd nos arquivos de
\nsenhas
\n# a diretiva abaixo os proteger\u00e1 tamb\u00e9m.
\n#
\n<Files ~ “^\\.ht”>
\nOrder allow,deny
\nDeny from all
\n<\/Files>
\n#
\n# Controla o acesso a diret\u00f3rios UserDir. As seguintes diretivas s\u00e3o um
\nexemplo
\n# para um site onde estes diret\u00f3rios est\u00e3o restritos a somente-leitura.
\nVeja
\n# detalhes sobre as op\u00e7\u00f5es de acesso, e limites na se\u00e7\u00e3o sobre controle
\n# de acesso do guia
\n#
\n<Directory \/home\/*\/public_html>
\nAllowOverride FileInfo AuthConfig Limit
\nOptions MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
\n<Limit GET POST OPTIONS PROPFIND>
\nOrder allow,deny
\nAllow from all
\n<\/Limit>
\n<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
\nOrder deny,allow
\nDeny from all
\n<\/Limit>
\n<\/Directory>
\n#
\n# As vezes ocorrem relatos de pessoas tentando abusar de uma falha antiga
\nnos
\n# dias do Apache 1.1 (muitas p\u00e1ginas na Net documentam isso). Esta falha
\nenvolve
\n# um script CGI distribu\u00eddo como parte do Apache. Descomentando estas
\nlinhas voc\u00ea
\n# poder\u00e1 redirecionar estes ataques a um script de registro em
\nphf.apache.org. Ou
\n# poder\u00e1 gravar em sua pr\u00f3pria m\u00e1quina, usando o script
\nsupport\/phf_abuse_log.cgi.
\n#
\n#<Location \/cgi-bin\/phf*>
\n# Deny from all
\n# ErrorDocument 403 http:\/\/phf.apache.org\/phf_abuse_log.cgi
\n#<\/Location>
\n# Acesso aos servi\u00e7os proxy do apache
\n#<Directory proxy:*>
\n# Order deny,allow
\n# Deny from all
\n# Allow from .your_domain.com
\n#<\/Directory>
\n# a seguinte diretiva permite o acesso a todos os usu\u00e1rios ao conte\u00fado da
\np\u00e1gina
\n# do guia Foca GNU\/Linux exceto os que possuem navegadores MSIE \ud83d\ude09
\n# Veja a se\u00e7\u00e3o sobre restri\u00e7\u00f5es de acesso para detalhes sobre a diretiva de
\n# controle de acesso baseado no user-agent
\nSetEnvIf User-Agent MSIE EXPLODER
\n<Directory \/home\/viaza132\/www\/focalinux>
\nOptions Indexes
\nOrder allow,deny
\nallow from all
\ndeny from env=EXPLODER
\nErrorDocument 403 “Explorer n\u00e3o entra, p\u00e1gina com o conte\u00fado
\npotencialmente perigoso ao Windows, use um navegador seguro para ter acesso a
\nesta p\u00e1gina \ud83d\ude09
\n<\/Directory>
\n# A diretiva abaixo somente permite acesso a leitura do arquivo
\n# h-supor-fonte.txt a pessoas que fornecerem o nome\/senha corretos
\n# que constam no arquivo passwd1
\n# Este bloco cont\u00e9m um erro que \u00e9 a localiza\u00e7\u00e3o do arquivo da senha em um
\n# diret\u00f3rio p\u00fablico, voc\u00ea dever\u00e1 adapta-lo se n\u00e3o quiser se ver em apuros.
\n#
\n# A permiss\u00e3o do diret\u00f3rio de n\u00edvel superior prevalece sobre seus
\n# sub-diret\u00f3rios no caso as permiss\u00f5es de \/focalinux, a menos que
\n# sejam definidas op\u00e7\u00f5es de acesso espec\u00edficas ao arquivo abaixo
\n<Location \/focalinux\/humor\/h-supor-fonte.txt>
\nAuthName “Piada de fonte de alimenta\u00e7\u00e3o”
\nAuthType basic
\nAuthUserFile \/home\/gleydson\/public_html\/passwd1
\nRequire valid-user
\n# Satisfy all
\n<\/Location>
\n# Libera o acesso a localiza\u00e7\u00e3o \/debian (acessada atrav\u00e9s de
\n\/pub\/mirror\/debian,
\n# definida no Alias acima)
\n<Location \/debian>
\nOptions Indexes
\nOrder deny,allow
\nallow from all
\ndeny from all
\n<\/Location>
\n12.15 C\u00f3digos HTTP
\nEsta se\u00e7\u00e3o pode ser uma interessante refer\u00eancia para a programa\u00e7\u00e3o e configura\u00e7\u00e3o da diretiva
\nErrorDocument, etc.
\n2xx – Sucesso
\n\u2022 200 OK
\n\u2022 201 Criado
\n\u2022 202 Aceito
\n\u2022 203 Informa\u00e7\u00e3o n\u00e3o-autoritativa *
\n\u2022 204 Nenhum conte\u00fado
\n\u2022 205 Conte\u00fado resetado *
\n\u2022 206 Conte\u00fado parcial *
\n3xx – Redirecionamento
\n\u2022 300 M\u00faltiplas escolhas
\n\u2022 301 Movido Permanentemente
\n\u2022 302 Movido Temporariamente
\n\u2022 303 Veja outra *
\n\u2022 304 N\u00e3o modificada
\n\u2022 305 Use o Proxy (redirecionamento proxy) *
\n4xx – Erros no Cliente
\n\u2022 400 Requisi\u00e7\u00e3o incorreta
\n\u2022 401 N\u00e3o autorizado
\n\u2022 402 Pagamento Requerido *
\n\u2022 403 Bloqueado
\n\u2022 404 N\u00e3o encontrada
\n\u2022 405 M\u00e9todo n\u00e3o permitido *
\n\u2022 406 N\u00e3o aceit\u00e1vel *
\n\u2022 407 Autentica\u00e7\u00e3o via proxy requerida *
\n\u2022 408 Tempo limite da requisi\u00e7\u00e3o expirado *
\n\u2022 409 Conflito *
\n\u2022 410 Gone *
\n\u2022 411 Tamanho requerido *
\n\u2022 412 Falha na pr\u00e9-condi\u00e7\u00e3o *
\n\u2022 413 A requisi\u00e7\u00e3o parece ser grande *
\n\u2022 414 A URL requisitada \u00e9 muito longa *
\n\u2022 415 Tipo de m\u00eddia n\u00e3o suportado
\n5xx – Erros no Servidor
\n\u2022 500 Erro Interno no Servidor
\n\u2022 501 N\u00e3o implementado
\n\u2022 502 Gateway incorreto
\n\u2022 503 Servi\u00e7o n\u00e3o dispon\u00edvel
\n\u2022 504 Tempo limite no gateway *
\n\u2022 505 Vers\u00e3o HTTP n\u00e3o suportada *
\nOs c\u00f3digos de erros marcados com um “*” pertencem ao padr\u00e3o HTTP 1.1<\/p>\n","protected":false},"excerpt":{"rendered":"
Introdu\u00e7\u00e3o O servidor web \u00e9 um programa respons\u00e1vel por disponibilizar p\u00e1ginas, fotos, ou qualquer outro tipo de objeto ao navegador do cliente. Ele tamb\u00e9m pode operar recebendo dados do cliente, processando e enviando o resultado para que o cliente possa tomar a a\u00e7\u00e3o desejada (como em aplica\u00e7\u00f5es CGI’s, banco de dados web, preenchimento de formul\u00e1rios, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,42],"tags":[131,146],"class_list":["post-308","post","type-post","status-publish","format-standard","hentry","category-viazap","category-leitura-recomendada","tag-apache","tag-servidor-web"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=308"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/308\/revisions"}],"predecessor-version":[{"id":309,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/308\/revisions\/309"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}