【文章內(nèi)容簡介】 pe basic Authuserfile /usr/home/***/htdocs/.aame1 Authgroupfile /usr/home/***/htdocs/.abame2 Authname information limit get post Require valid_user /limit 其中第二三行的***可以改成個人的ftp登錄名。.。，.htaccess文件中的任何一個都可以進入。也可以指定名單上某人或者某幾個人可以通過。 3. 增加性的許可用戶 進入htdocs目錄，在命令行狀態(tài)下輸入以下命令： Echo.abame1 /var//bin/ abc Abc代表要增加的用戶名。輸入此命令后，系統(tǒng)會提示輸入此用戶的密碼，這樣該用戶名就生效了以后要是再增加用戶，運行第二行的命令時換一個用戶名即可：如果這個用戶存在，則會提示更換密碼。 4. 建立云系訪問的組 ，內(nèi)容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 “authgroupfile/absolute/path/.htgroup”以ASCII模式上傳所有文件后，該目錄下的文件都會被保護起來。 5. 禁止讀取文件 如果將某些內(nèi)容如密碼，存在一個文件中，那么別人只要知道該文件相對應的位置，就可以一目了然。這樣很不安全，： file Order allow ,deny Deny from all /files 總之。因為它不像利用程序來實現(xiàn)密碼保護時，有可能通過猜測的方法來獲得密碼。，一般是很難被破解的. 減少CGI和SSI風險CGI腳本的漏洞已經(jīng)成為web服務器的首要安全隱患，通常是程序編寫CGI腳本中產(chǎn)生了許多漏洞?？刂艭GI腳本的漏洞除了在編寫時要注意輸入數(shù)據(jù)的合法性檢查、對系統(tǒng)調(diào)用的謹慎使用等因素外，首先使用CGI腳本所有者的uid是怎樣的。這些CGI程序即使存在一些漏洞，那么其危害也只是限于該uid所能夠訪問的文件，也就是說，這樣只能傷害用戶的文件而不會對整個系統(tǒng)帶來危害。通過安全使用suEXEC 的應用程序，可以為Apache服務提供CGI程序的控制支持，可以把suEXEC看做一個包裝器，在Apache接到對CGI程序的調(diào)用請求后，它將這個調(diào)用請求交給suEXEC獲得返回結(jié)果。suEXEC能解決一些安全問題，但也回減低服務器性能，因為它只能運行在CGI版本的PHP傷，而CGI版本比模塊版本運行速度慢。原因是模塊版本使用了線程，而CGI使用的進程。因此，建議在安全性能要求比較高的時候使用suEXEC，為此要以犧牲速度為代價，要減少SSI腳本風險，如果使用EXEC等SSI命令運行外部程序，也回存在類似CGI腳本程序的危險，除了內(nèi)部調(diào)試程序時都應當可以使用iption命令來禁止其實用。讓Apache在“監(jiān)獄”中運行所謂監(jiān)獄，是指通過chroot機制來更改某個軟件運行時所看到的根目錄的權(quán)限。即將某軟件運行限制在制定目錄中，保證該軟件只能對該目錄或其子目錄文件有所動作，從而保證整個服務器的安全。這樣即使被破壞或侵入，隨時也不會很大。Chroot是內(nèi)核中一個系統(tǒng)調(diào)用，軟件可以通過掉用戶函數(shù)chroot，來更改某個進程所能看到的根目錄，比如 Apache軟件安裝在/usr/local/d目錄下，以root用戶啟動Apache，這個root權(quán)限的父進程會派生多個以nobody權(quán)限運行的子進程。這樣，父進程監(jiān)聽80端口的TCP數(shù)據(jù)流，然后根據(jù)內(nèi)部算法將這個請求分配給某個子進程來處理，這樣Apache子進程可以/usr/local、/usr 、/tmp甚至整個系統(tǒng)。因為Apache進程所處的根目錄仍為整個文件系統(tǒng)的根，如果能使用chroot將Apache限制在/usr/local/d，那么，Apache所能夠存取的文件都是/usr/local/d下的文件，創(chuàng)建chroot監(jiān)獄的作用就是將進程權(quán)限限制在文件系統(tǒng)目錄樹種的某一子樹。 使用SSL加固Apache使用具有SSL功能的web服務器，可以提高網(wǎng)站的安全性能，SSL協(xié)議工作在linux的TCP/IP協(xié)議和HTTP協(xié)議之間。使用加密方法來保護web服務器和瀏覽器之間的信息流。SSL不僅用于加密在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)流，而且還能提供雙方的身份驗證，這樣就可以安全的在線購物而不必擔心別人竊取信用卡的信息。這種特性使得SSL適用于哪些交換重要信息的地方。Apache服務器使用SSL通常由兩種選擇，即主服務器和虛擬web站點。~，那么可以直接使用命令rpm qa|grep mod_ssl檢查，如果沒有安裝，那么可以以root身份登錄，輸入命令：Systemconfigpackages利用GUI套件管理工具的網(wǎng)頁服務器，點擊“詳細信息”，然后勾選mod_ssl，提示放入適當?shù)墓獗P，便可以完成安裝工作。之后，就可以以開頭的URL來訪問安全的頁面了。 Apache服務器減少DOS攻擊 ，或減少傷害程度。l Timeout值：設成300或更少l KeepAlive：設成KeepAlive ONl KeepAlive Timeout值：設為15或更少l StartServers:介于5和10之間l MinSpareServers值：介于5和10l MaxKeepAliveRequests的值：不等于0l MaxSpareServers值：為10或以下l MaxClients值：256或更少 Apache服務器其它安全配置 mod_rewrite 重寫 URL請求的引擎 重寫規(guī)則的作用范圍 1 ．使用在 Apache 主配置文件 中。 2 ．使用在 里定義的配置中。 3 ．使用在基本目錄的跨越配置文件 .htaccess 中。 url 重定向 80 到 443 端口 RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^/?(.*)$ $1 [L,R] 含義是這樣的：為了讓用戶訪問傳統(tǒng)的 :// 轉(zhuǎn)到 :// 上來，用了一下 rewrite 規(guī) 則 : 第一句：啟動 rewrite 引擎 第二句： rewrite 的條件是訪問的服務器端口不是 443 端口 第三句：這是正則表達式， ^ 是開頭， $ 是結(jié)束， /? 表示有沒有 / 都可以（ 0 或 1 個）， (.*) 是任何數(shù)量的任意字符 整句的意思是講：啟動 rewrite 模塊，將所有訪問非 443 端口的請求， url 地址內(nèi)容不變，將 :// 變成 s://Speling 模塊去除 url大小寫 確認 speling 模塊存在并已加載 啟動 speling Directory /usr/local/downloads CheckSpelling . AllowOverride None Order allow,deny Allow from all /Directory安裝 mod_security: 下載： 安裝：下載到 /opt/soft 目錄下。 tar – zxvf cd cd apache2 /opt/apache/bin/ apxs cia copy /opt/apache/conf 配置： 在 /opt/apache/conf / 中添加下面一行： Include conf/mod_secur /opt/apache/bin/apachectl stop /opt/apache/bin/apachectl startssl 更詳細的 mod_security 的配置也有Mysql安全篇修改root用戶口令，刪除空口令缺省安裝的 MySQL 的 root 用戶是空密碼的，為了安全起見，必須修改為強密碼，所謂的強密碼，至少8位，由字母、數(shù)字和符號組成的不規(guī)律密碼。使用 MySQL 自帶的命令 mysaladmin 修改 root 密碼，同時也可以登陸數(shù)據(jù)庫，修改數(shù)據(jù)庫 mysql 下的 user 表的字段內(nèi)容，修改方法如下所示： /usr/local/mysql/bin/mysqladmin u root password “ upassword ” // 使用 mysqladminmysql use mysql。mysql update user set password=password(39。upassword39。) where user=39。root39。mysql flush privileges。 // 強制刷新內(nèi)存授權(quán)表，否則用的還是在內(nèi)存緩沖的口令刪除默認數(shù)據(jù)庫和數(shù)據(jù)庫用戶一般情況下， MySQL 數(shù)據(jù)庫安裝在本地，并且也只需要本地的 php 腳本對 mysql 進行讀取，所以很多用戶不需要，尤其是默認安裝的用戶。 MySQL 初始化后會自動生成空用戶和 test 庫，進行安裝的測試，這會對數(shù)據(jù)庫的安全構(gòu)成威脅，有必要全部刪除，最后的狀態(tài)只保留單個 root 即可，當然以后根據(jù)需要增加用戶和數(shù)據(jù)庫。mysql show databases。mysql drop database test。 // 刪除數(shù)據(jù)庫 testuse mysql。delete from db。 // 刪除存放數(shù)據(jù)庫的表信息，因為還沒有數(shù)據(jù)庫信息。mysql delete from user where not (user=39。root39。) 。 // 刪除初始非 root 的用戶mysql delete from user where user=39。root39。 and password=39。39。 // 刪除空密碼的 root ，盡量重復操作Query OK, 2 rows affected ( sec)mysql flush privileges。 // 強制刷新內(nèi)存授權(quán)表。關于密碼管理密碼是數(shù)據(jù)庫安全管理的一個很重要因素，不要將純文本密碼保存到數(shù)據(jù)庫中。如果你的計算機有安全危險，入侵者可以獲得所有的密碼并使用它們。相反，應使用 MD5() 、 SHA1() 或單向哈希函數(shù)。也不要從 詞典中選擇密碼，有專門的程序可以破