Jak używać plików .htaccess

Apache to najpopularniejszy serwer WWW na świecie. Według firmy badawczej Netcraft jego udział w rynku wynosi prawie 51% (sierpień 2007). Apache jest powszechnie wykorzystywany przez przedsiębiorstwa i dostawców hostingu. Jeżeli więc zamierzamy uruchomić własną stronę internetową, to z dużym prawdopodobieństwem będzie ona działać właśnie na tym oprogramowaniu. Warto zatem wiedzieć więcej o sposobach konfiguracji tego serwera, bo w ten sposób wyciśniemy z niego wszystko, co się da.

Apache od kuchni

Domyślna konfiguracja Apache’a w systemie Debian przechowywana jest w katalogu /etc/apache2. Ścieżka ta może się różnić w zależności od używanego systemu i dystrybucji (jeżeli jest to Linux), a także wtedy, gdy Apache został zainstalowany i skonfigurowany indywidualnie. Nie jest to jednak aż tak bardzo istotne, w przeciwieństwie do faktu, że dostęp do tego katalogu ma jedynie administrator systemu. Każda zmiana w plikach ustawień Apache’a wymaga zatem wysokich uprawnień, których zwykły użytkownik po prostu nie ma.

Nie zawsze takie zachowanie systemu jest jednak pożądane. Wyobraźmy sobie dostawcę hostingu, który udostępnia swoim klientom serwery wirtualne. Ci oczekują wysokiej funkcjonalności serwera z możliwością przygotowywania własnych stron błędów, zabezpieczania katalogów hasłem czy blokowania dostępu do serwisu wybranym osobom. Spełnienie tych zachcianek jest możliwe dzięki mechanizmowi plików .htaccess.

Co to jest .htaccess

Wielu osobom skrót .htaccess kojarzy się przede wszystkim z możliwością kontrolowania dostępu do strony internetowej za pomocą hasła. I choć jest to rzeczywiście jedno z bardziej popularnych zastosowań tego pliku, to jego rola jest znacznie szersza. Mechanizm .htaccess został zaprojektowany jako narzędzie do zmiany konfiguracji Apache’a w odniesieniu do pojedynczych katalogów na serwerze. W ten sposób nawet zwykły użytkownik może zmodyfikować ustawienia Apache’a, aktywując funkcje obsługi skryptów CGI i przetwarzania dyrektyw SSI czy ograniczając dostęp osób do strony z konkretnego adresu IP. Pliki .htaccess są także wykorzystywane do przygotowywania własnych stron błędów generowanych przez serwer. I to wszystko jest możliwe na poziomie pojedynczego katalogu w serwisie internetowym. Dla wszystkich naraz lub każdego z osobna.

Rys. 1. Dostęp do głównych plików konfiguracyjnych Apache’a ma tylko administrator serwera. Część „uprawnień” warto jednak oddać w ręce zwykłych użytkowników.

Warto jednak wiedzieć, że ustawienia wprowadzane do konfiguracji przez .htaccess mogą być równie dobrze definiowane na poziomie głównego pliku ustawień Apache’a. Jakby tego było mało, dokumentacja serwera wprost odradza stosowanie .htaccess, jeżeli nie mamy ku temu wyraźnych przesłanek. Kiedy zatem nie powinniśmy używać tego mechanizmu? Podstawowa odpowiedź na to pytanie brzmi: wtedy, gdy mamy dostęp do plików konfiguracyjnych serwera. Reguły zapisane w .htaccess możemy z powodzeniem zawrzeć w ramach dyrektywy <Directory> w głównym pliku ustawień Apache’a. Podejście to ma dwie kluczowe przesłanki. Pierwsza z nich związana jest ze zwiększonym obciążeniem serwera. Komputer, który musi przetwarzać dodatkowe reguły zapisane w kilku-kilkudziesięciu plikach konfiguracyjnych, potrzebuje więcej zasobów. Druga dotyczy bezpieczeństwa: jeżeli udostępniamy możliwość zmiany konfiguracji Apache’a, to w pewnym zakresie tracimy nad nim kontrolę. Użytkownicy mogą modyfikować jego ustawienia, co potencjalnie może prowadzić do naruszenia zasad bezpieczeństwa.

Mimo tych zastrzeżeń mechanizm .htaccess jest bardzo przydatnym narzędziem. Jeśli korzystamy z usług dostawcy hostingu, to dostęp do .htaccess umożliwi nam uruchomienie serwera WWW zgodnie z naszymi oczekiwaniami. Z drugiej strony, jeżeli jesteśmy właścicielami serwera i mamy do niego dostęp z uprawnieniami administratora, powinniśmy rozważyć konfigurację Apache’a na poziomie głównych plików konfiguracyjnych.