【文章內(nèi)容簡介】 pe basic Authuserfile /usr/home/***/htdocs/.aame1 Authgroupfile /usr/home/***/htdocs/.abame2 Authname information limit get post Require valid_user /limit 其中第二三行的***可以改成個(gè)人的ftp登錄名。.。，.htaccess文件中的任何一個(gè)都可以進(jìn)入。也可以指定名單上某人或者某幾個(gè)人可以通過。 3. 增加性的許可用戶 進(jìn)入htdocs目錄，在命令行狀態(tài)下輸入以下命令： Echo.abame1 /var//bin/ abc Abc代表要增加的用戶名。輸入此命令后，系統(tǒng)會(huì)提示輸入此用戶的密碼，這樣該用戶名就生效了以后要是再增加用戶，運(yùn)行第二行的命令時(shí)換一個(gè)用戶名即可：如果這個(gè)用戶存在，則會(huì)提示更換密碼。 4. 建立云系訪問的組 ，內(nèi)容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 “authgroupfile/absolute/path/.htgroup”以ASCII模式上傳所有文件后，該目錄下的文件都會(huì)被保護(hù)起來。 5. 禁止讀取文件 如果將某些內(nèi)容如密碼，存在一個(gè)文件中，那么別人只要知道該文件相對(duì)應(yīng)的位置，就可以一目了然。這樣很不安全，： file Order allow ,deny Deny from all /files 總之。因?yàn)樗幌窭贸绦騺韺?shí)現(xiàn)密碼保護(hù)時(shí)，有可能通過猜測的方法來獲得密碼。，一般是很難被破解的. 減少CGI和SSI風(fēng)險(xiǎn)CGI腳本的漏洞已經(jīng)成為web服務(wù)器的首要安全隱患，通常是程序編寫CGI腳本中產(chǎn)生了許多漏洞。控制CGI腳本的漏洞除了在編寫時(shí)要注意輸入數(shù)據(jù)的合法性檢查、對(duì)系統(tǒng)調(diào)用的謹(jǐn)慎使用等因素外，首先使用CGI腳本所有者的uid是怎樣的。這些CGI程序即使存在一些漏洞，那么其危害也只是限于該uid所能夠訪問的文件，也就是說，這樣只能傷害用戶的文件而不會(huì)對(duì)整個(gè)系統(tǒng)帶來危害。通過安全使用suEXEC 的應(yīng)用程序，可以為Apache服務(wù)提供CGI程序的控制支持，可以把suEXEC看做一個(gè)包裝器，在Apache接到對(duì)CGI程序的調(diào)用請(qǐng)求后，它將這個(gè)調(diào)用請(qǐng)求交給suEXEC獲得返回結(jié)果。suEXEC能解決一些安全問題，但也回減低服務(wù)器性能，因?yàn)樗荒苓\(yùn)行在CGI版本的PHP傷，而CGI版本比模塊版本運(yùn)行速度慢。原因是模塊版本使用了線程，而CGI使用的進(jìn)程。因此，建議在安全性能要求比較高的時(shí)候使用suEXEC，為此要以犧牲速度為代價(jià)，要減少SSI腳本風(fēng)險(xiǎn)，如果使用EXEC等SSI命令運(yùn)行外部程序，也回存在類似CGI腳本程序的危險(xiǎn)，除了內(nèi)部調(diào)試程序時(shí)都應(yīng)當(dāng)可以使用iption命令來禁止其實(shí)用。讓Apache在“監(jiān)獄”中運(yùn)行所謂監(jiān)獄，是指通過chroot機(jī)制來更改某個(gè)軟件運(yùn)行時(shí)所看到的根目錄的權(quán)限。即將某軟件運(yùn)行限制在制定目錄中，保證該軟件只能對(duì)該目錄或其子目錄文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全。這樣即使被破壞或侵入，隨時(shí)也不會(huì)很大。Chroot是內(nèi)核中一個(gè)系統(tǒng)調(diào)用，軟件可以通過掉用戶函數(shù)chroot，來更改某個(gè)進(jìn)程所能看到的根目錄，比如 Apache軟件安裝在/usr/local/d目錄下，以root用戶啟動(dòng)Apache，這個(gè)root權(quán)限的父進(jìn)程會(huì)派生多個(gè)以nobody權(quán)限運(yùn)行的子進(jìn)程。這樣，父進(jìn)程監(jiān)聽80端口的TCP數(shù)據(jù)流，然后根據(jù)內(nèi)部算法將這個(gè)請(qǐng)求分配給某個(gè)子進(jìn)程來處理，這樣Apache子進(jìn)程可以/usr/local、/usr 、/tmp甚至整個(gè)系統(tǒng)。因?yàn)锳pache進(jìn)程所處的根目錄仍為整個(gè)文件系統(tǒng)的根，如果能使用chroot將Apache限制在/usr/local/d，那么，Apache所能夠存取的文件都是/usr/local/d下的文件，創(chuàng)建chroot監(jiān)獄的作用就是將進(jìn)程權(quán)限限制在文件系統(tǒng)目錄樹種的某一子樹。 使用SSL加固Apache使用具有SSL功能的web服務(wù)器，可以提高網(wǎng)站的安全性能，SSL協(xié)議工作在linux的TCP/IP協(xié)議和HTTP協(xié)議之間。使用加密方法來保護(hù)web服務(wù)器和瀏覽器之間的信息流。SSL不僅用于加密在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)流，而且還能提供雙方的身份驗(yàn)證，這樣就可以安全的在線購物而不必?fù)?dān)心別人竊取信用卡的信息。這種特性使得SSL適用于哪些交換重要信息的地方。Apache服務(wù)器使用SSL通常由兩種選擇，即主服務(wù)器和虛擬web站點(diǎn)。~，那么可以直接使用命令rpm qa|grep mod_ssl檢查，如果沒有安裝，那么可以以root身份登錄，輸入命令：Systemconfigpackages利用GUI套件管理工具的網(wǎng)頁服務(wù)器，點(diǎn)擊“詳細(xì)信息”，然后勾選mod_ssl，提示放入適當(dāng)?shù)墓獗P，便可以完成安裝工作。之后，就可以以開頭的URL來訪問安全的頁面了。 Apache服務(wù)器減少DOS攻擊 ，或減少傷害程度。l Timeout值：設(shè)成300或更少l KeepAlive：設(shè)成KeepAlive ONl KeepAlive Timeout值：設(shè)為15或更少l StartServers:介于5和10之間l MinSpareServers值：介于5和10l MaxKeepAliveRequests的值：不等于0l MaxSpareServers值：為10或以下l MaxClients值：256或更少 Apache服務(wù)器其它安全配置 mod_rewrite 重寫 URL請(qǐng)求的引擎 重寫規(guī)則的作用范圍 1 ．使用在 Apache 主配置文件 中。 2 ．使用在 里定義的配置中。 3 ．使用在基本目錄的跨越配置文件 .htaccess 中。 url 重定向 80 到 443 端口 RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^/?(.*)$ $1 [L,R] 含義是這樣的：為了讓用戶訪問傳統(tǒng)的 :// 轉(zhuǎn)到 :// 上來，用了一下 rewrite 規(guī) 則 : 第一句：啟動(dòng) rewrite 引擎 第二句： rewrite 的條件是訪問的服務(wù)器端口不是 443 端口 第三句：這是正則表達(dá)式， ^ 是開頭， $ 是結(jié)束， /? 表示有沒有 / 都可以（ 0 或 1 個(gè)）， (.*) 是任何數(shù)量的任意字符 整句的意思是講：啟動(dòng) rewrite 模塊，將所有訪問非 443 端口的請(qǐng)求， url 地址內(nèi)容不變，將 :// 變成 s://Speling 模塊去除 url大小寫 確認(rèn) speling 模塊存在并已加載 啟動(dòng) speling Directory /usr/local/downloads CheckSpelling . AllowOverride None Order allow,deny Allow from all /Directory安裝 mod_security: 下載： 安裝：下載到 /opt/soft 目錄下。 tar – zxvf cd cd apache2 /opt/apache/bin/ apxs cia copy /opt/apache/conf 配置： 在 /opt/apache/conf / 中添加下面一行： Include conf/mod_secur /opt/apache/bin/apachectl stop /opt/apache/bin/apachectl startssl 更詳細(xì)的 mod_security 的配置也有Mysql安全篇修改root用戶口令，刪除空口令缺省安裝的 MySQL 的 root 用戶是空密碼的，為了安全起見，必須修改為強(qiáng)密碼，所謂的強(qiáng)密碼，至少8位，由字母、數(shù)字和符號(hào)組成的不規(guī)律密碼。使用 MySQL 自帶的命令 mysaladmin 修改 root 密碼，同時(shí)也可以登陸數(shù)據(jù)庫，修改數(shù)據(jù)庫 mysql 下的 user 表的字段內(nèi)容，修改方法如下所示： /usr/local/mysql/bin/mysqladmin u root password “ upassword ” // 使用 mysqladminmysql use mysql。mysql update user set password=password(39。upassword39。) where user=39。root39。mysql flush privileges。 // 強(qiáng)制刷新內(nèi)存授權(quán)表，否則用的還是在內(nèi)存緩沖的口令刪除默認(rèn)數(shù)據(jù)庫和數(shù)據(jù)庫用戶一般情況下， MySQL 數(shù)據(jù)庫安裝在本地，并且也只需要本地的 php 腳本對(duì) mysql 進(jìn)行讀取，所以很多用戶不需要，尤其是默認(rèn)安裝的用戶。 MySQL 初始化后會(huì)自動(dòng)生成空用戶和 test 庫，進(jìn)行安裝的測試，這會(huì)對(duì)數(shù)據(jù)庫的安全構(gòu)成威脅，有必要全部刪除，最后的狀態(tài)只保留單個(gè) root 即可，當(dāng)然以后根據(jù)需要增加用戶和數(shù)據(jù)庫。mysql show databases。mysql drop database test。 // 刪除數(shù)據(jù)庫 testuse mysql。delete from db。 // 刪除存放數(shù)據(jù)庫的表信息，因?yàn)檫€沒有數(shù)據(jù)庫信息。mysql delete from user where not (user=39。root39。) 。 // 刪除初始非 root 的用戶mysql delete from user where user=39。root39。 and password=39。39。 // 刪除空密碼的 root ，盡量重復(fù)操作Query OK, 2 rows affected ( sec)mysql flush privileges。 // 強(qiáng)制刷新內(nèi)存授權(quán)表。關(guān)于密碼管理密碼是數(shù)據(jù)庫安全管理的一個(gè)很重要因素，不要將純文本密碼保存到數(shù)據(jù)庫中。如果你的計(jì)算機(jī)有安全危險(xiǎn)，入侵者可以獲得所有的密碼并使用它們。相反，應(yīng)使用 MD5() 、 SHA1() 或單向哈希函數(shù)。也不要從 詞典中選擇密碼，有專門的程序可以破