【求助】若有使用 APACHE 的存取認證機制,如: .htaccess ,對於密碼檔該採何保護措施?

[b90220208]

Q1:
若有使用 APACHE 的存取認證機制,如: .htaccess file
那麼如下路徑的密碼檔 -- access.passwd ,該採取什麼樣的保護措施較好.
------------------------------------------------------------------------------
AuthUserFile /home/user1/access.passwd
------------------------------------------------------------------------------

=>
一般是用以下方式,還是有更好的做法?
$ vi httpd.conf

<Files ~ "\.passwd$">
Order allow,deny
Deny from all
</Files>

=>
access.passwd 的 access mode 又該怎麼設才完美?


Q2:
我在某 APACHE 書上翻到如下例子(感覺好像沒寫完整),想請問可以這樣用嗎?
其合法的帳戶參考自何處,完整的實例應該長什麼樣呢?
<Limit POST>
Require valid-user
</Limit>

[b90220208]

假若我的 HTTPD.CONF 中的:
USER:nobody
GROUP:nobody
那麼,關於 AuthUserFile 檔案-- /home/user1/access.passwd 的權限是否設成:nobody nobody other 依序為 7 5 0

而如果還要考慮到遠端的 client user 利用 http 請求檔案: access.passwd 的情況,
是否只須將此檔案安置於 DocumentRoot(web tree) 之外就ok了?

而若還是要放在 DocumentRoot (web tree) 範圍內的話,就採如下方式...以上是我的想法,不知對不對?

$ vi httpd.conf

<Files ~ "\.passwd$">
Order allow,deny
Deny from all
</Files>