【文章內(nèi)容簡(jiǎn)介】 eout 300 關(guān)閉穩(wěn)固連接 KeepAlive Off MaxKeepAliveRequests:在穩(wěn)固連接期間允許的最大請(qǐng)求數(shù) MaxKeepAliveRequests 100 KeepAliveTimeout:在同一個(gè)連接上從同一臺(tái)客戶上接收請(qǐng)求的秒數(shù) KeepAliveTimeout 5 prefork MPM StartServers:啟動(dòng)時(shí)服務(wù)器啟動(dòng)的進(jìn)程數(shù) MinSpareServers:保有的備用進(jìn)程的最小數(shù)目 MaxSpareServers:保有的備用進(jìn)程的最大數(shù)目 MaxClients:服務(wù)器允許啟動(dòng)的最大進(jìn)程數(shù) MaxRequestsPerChild:一個(gè)服務(wù)進(jìn)程允許的最大請(qǐng)求數(shù) MaxRequestPerChild 0 建立一個(gè)安全的目錄結(jié)構(gòu) Apache 服務(wù)器包括以下四個(gè)目錄 serverroot 保存配置文件（ conf 子目錄）、二進(jìn)制文件和其他服務(wù)器配置文件。 documentroot 保存 web 站點(diǎn)內(nèi)容，包括 HTML 文件和圖片等。 scripalias 保存 CGI 腳本文件。 customlog 和 errorlog 保存訪問(wèn)日志和錯(cuò)誤日志。 建立設(shè)定這樣一個(gè)目錄，以上四個(gè)主要目錄互相獨(dú)立且不存在父子邏輯關(guān)系。 要求： serverroot 目錄應(yīng)該配置成為只能由 root 用戶訪問(wèn)， documentroot 應(yīng)該只能被管理 web 站點(diǎn)內(nèi)容的用戶訪問(wèn)和使用 Apache 服務(wù)器的 Apache 用戶的 Apache 用戶組訪問(wèn)。 Scripalias 目錄只能由 CGI 開(kāi)發(fā)人員和 Apache 用戶訪問(wèn)。只有 root 用戶可以訪問(wèn)日志目錄。 為 Apache 使用專門的用戶和用戶組 按照最小特權(quán)原則（是保證系統(tǒng)安全的最基本原則之一，它限制了使用者對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行存取所需的最 小權(quán)限，這樣，即保證了用戶能完成所需的操作，同時(shí)也確保非法用戶或者異常操作所造成的損失最小化），需要 Apache 分配一個(gè)合適的權(quán)限，某個(gè)目錄的權(quán)限錯(cuò)誤不會(huì)影響到其他目錄。 必須保證 Apache 使用一個(gè)專門的用戶和用戶組，不要使用系統(tǒng)預(yù)置的賬號(hào)，比如nobody 用戶和 nogroup 用戶組。因?yàn)橹挥?root 用戶可以運(yùn)行 Apache， documentroot 應(yīng)該能夠被管理 web 站點(diǎn)內(nèi)容的用戶訪問(wèn)和使用 Apache 服務(wù)器的 Apache 用戶和用戶組訪問(wèn)。所以，如果希望“ A”用戶在 web 站點(diǎn)發(fā)布內(nèi)容，并且可以以 d 身份運(yùn)行 Apache服務(wù)器，通?？梢赃@樣： Groupadd webteam Usermod –G webteam A Chown R //html Chmod –R 2570 //htdocs 有 root 用戶訪問(wèn)日志目錄，這個(gè)目錄的權(quán)限應(yīng)設(shè)為： Chown –R root .root /etc/logs Chmod –R 700 /etc/htdcs 目錄的訪問(wèn)策略 對(duì)于可以訪問(wèn)的 web 目錄，要使用相對(duì)保守的途徑進(jìn)行訪問(wèn)，不要讓用戶查看任何目錄索引列表。 （ 1） 禁止使用目錄索引 Apache 服務(wù)器在接收到用戶對(duì)一個(gè)目錄的訪問(wèn)時(shí)，會(huì)查找 directoryindex 指令指定的目錄索引文件，默認(rèn)情況下該文件是 。如果該文件不存在，那么 Apache 會(huì)創(chuàng)建一個(gè)動(dòng)態(tài)列表為用戶顯示該目錄的內(nèi)容。通常這樣的設(shè)置會(huì)暴露 web 站點(diǎn)結(jié)構(gòu)，因此需要修改配置文件來(lái)禁止顯示動(dòng)態(tài)目錄索引。 修改配置文件 ： Options –indexes followsymlinks Options 指令通知 Apache 禁止使用目錄索引。 Followsymlinks 表示不允許使用符號(hào)鏈接。 （ 2） 禁止默認(rèn)訪問(wèn) 一個(gè)好的安全策略是要禁止默認(rèn)訪問(wèn)的存在，只對(duì)指定的目錄開(kāi)啟訪問(wèn)權(quán)限，如果允許訪問(wèn) /var//html 目錄，則需要以下設(shè)置： Order deny,allow Allow from all （ 3） 禁止用戶重載 為了禁止用戶對(duì)目錄配置文件（ .htaccess）進(jìn)行重載（修改）可以這樣設(shè)置： Allowoverride None Apache 服務(wù)訪問(wèn)控制方法 Apache 的 文件負(fù)責(zé)文件的訪問(wèn)設(shè)置，可以實(shí)現(xiàn)互聯(lián)網(wǎng)域名和 IP 地址的訪問(wèn)控制。它包含一些指令，控制允許什么用戶訪問(wèn) Apache 目錄，應(yīng)該把 deny from all 設(shè)置成初始化指令，再使用 allow from 指令打開(kāi)訪問(wèn)權(quán)限。如果允許 到 的主機(jī)訪問(wèn)，可以這樣設(shè)置： Order deny， allow Deny from all Allow from pair 配置 Apache 服務(wù)器訪問(wèn)日志 （ 1） 相關(guān)配置文件說(shuō)明 一個(gè)好的 Linux 管理員會(huì)密切關(guān)注服務(wù)器的日志系統(tǒng)，這些日志可以提供異常訪問(wèn)的線索。 Apache 可以記錄所有的訪問(wèn)請(qǐng)求，同樣，錯(cuò)誤的請(qǐng)求也會(huì)記錄。 Apache 配置文件中，需要關(guān)系和日志相關(guān)的配置文件有兩個(gè)： $ customLog //logs/access_log mon 記錄對(duì) web 站點(diǎn)的每個(gè)進(jìn)入請(qǐng)求 $ errorLog //logs/error_log mon 記錄產(chǎn)生錯(cuò)誤狀態(tài)的請(qǐng)求 Customlog用來(lái)指示 Apache的訪問(wèn)日志存放的位置和格式。 Errorlog用來(lái)指示 Apache的錯(cuò)誤日志存放的位置。對(duì)于不配置虛擬主機(jī)的服務(wù)器來(lái)說(shuō)，只要直接在 中查找 customlog 配置進(jìn)行修改即可。而對(duì)于具有多個(gè)虛擬服務(wù)器的 web 服務(wù)器來(lái)說(shuō)，需要分離各個(gè)虛擬服務(wù)器的訪問(wèn)日志，以便對(duì)各個(gè)虛擬服務(wù)器進(jìn)行訪問(wèn)統(tǒng)計(jì)和分析，因此，需要在虛擬服務(wù)器配置中進(jìn)行獨(dú)立的日志配置。 （ 2） Web 服務(wù)器日志輪循 Web 服務(wù)器日志輪循比較好的方式有三種，第一種是利用 Linux 系統(tǒng)自身的日志文件輪循機(jī)制 logrotate。第二種是利用 Apache 自帶的日志輪循程序 cronolog。對(duì)于大型web 服務(wù)器來(lái)說(shuō)，往往使用負(fù)載均衡技術(shù)提高 web 站點(diǎn)的 服務(wù)能力，這樣后臺(tái)有多個(gè)服務(wù)器提供 web 服務(wù)，大大方便了服務(wù)器的分布規(guī)劃和擴(kuò)展。如果有多個(gè)服務(wù)器，需要對(duì)日志進(jìn)行合并，統(tǒng)一進(jìn)行統(tǒng)計(jì)分析。因此為了保證統(tǒng)計(jì)的精確性，需要嚴(yán)格按照每天的時(shí)段來(lái)自動(dòng)生成日志。 （ 3） 使用 logrotate 實(shí)現(xiàn)日志輪循 Linux 系統(tǒng)自帶的 logrotate 是專門對(duì)各種日志文件（ syslog、 mail）進(jìn)行輪循的程序。該程序是由運(yùn)行程序的服務(wù) crond 每天凌晨 4： 02 運(yùn)行的。在 /etc/ 目錄下可以看到 logrotate 文件： !/bin/sh/ $ user/sbin/logrotate/etc/ 每天凌晨 crond 都會(huì)啟動(dòng) /etc/ 目錄下的 logrotate 腳本來(lái)進(jìn)行日志輪循。 使用 rotatelogs 實(shí)現(xiàn)日志輪循 Apache 提供一個(gè)不把日志直接寫入文件，而是通過(guò)管道發(fā)送給另外一個(gè)程序的能力。這樣就大大加強(qiáng)了對(duì)日志文件的處理能力。這個(gè)通過(guò)管道得到的程序可以是任意程序，如日志分析器、壓縮日志器等。要實(shí)現(xiàn)將 日志寫到管道的操作，只需要將配置文件中日志文件部分的內(nèi)容替換成“ |程序名”即可，例如： pressed logs $ custmonlog “|/user/bin/gzip –c /var/log/” mon 這樣就可以使用 Apache 服務(wù)自帶的輪循工具來(lái)對(duì)日志文件進(jìn)行輪循。 Rotatelogs 基本是按照時(shí)間或者大小來(lái)控制日志的 。 服務(wù)器的密碼保護(hù) .htaccess 文件是 Apache 服務(wù)器上一個(gè)配置文件。它是一個(gè)文本文件，可以使用任何文本編輯器來(lái)進(jìn)行編寫。 .htaccess 文件提供了針對(duì)目錄改變配置的方法，即通過(guò)在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件（ .htaccess），以作用于此目錄及其所有子目錄。 .htaccess 的功能包括設(shè)置網(wǎng)頁(yè)密碼、設(shè)置發(fā)生錯(cuò)誤時(shí)出現(xiàn)的文件、改變首頁(yè)的文件名、禁止讀取文件名、重新導(dǎo)向文件、加上 MIME 類別、禁止；列出目錄下的文件等。注意， .htaccess 文件是一個(gè)完整的文件名。而不是 **.htaccess 或者其他格式。另外，上傳 .htaccess 文件時(shí)，必須使用 ASCII 文件格式，并使用 chmod 命令改變權(quán)限為644（ RW_R_R_）每一個(gè)放置 .htaccess 文件的目錄和其子目錄都會(huì)被 .htaccess 影響。例如，在 /abc/目錄下放置了一個(gè) .htaccess 文件，那么 /abc/和 /abc/def 內(nèi)所有的文件都會(huì)被它所影響，這一點(diǎn)是很重要的。 （ 1） 建立 .htaccess 文件 首先在設(shè)置存取控制的目錄（如 htdocs）下建立一個(gè)文件，文件名可以自定。一般服務(wù)器都會(huì)設(shè)置成 .htpasswd，該文件是不能由 HTTP 讀取的。 .htpasswd 文件 中的每一行代表一個(gè)使用者，使用者的名字及經(jīng)過(guò)加密的密碼以冒號(hào)：分隔。 （ 2） .htaccess 文件的保護(hù) .htaccess 文件內(nèi)容如下： Authtype basic Authuserfile /usr/home/***/htdocs/.aame1 Authgroupfile /usr/home/***/htdocs/.abame2 Authname information limit get post require validuser /limit 其中第二三行的 ***可以改成個(gè)人的 ftp 登錄名。 .abame1 和 .abame2 可以是任意文件名，如 .htpasswd，但不可以是 .htaccess。將 .htaccess 上傳到要進(jìn)行木馬保護(hù)的目錄中， .htaccess 文件最后的“ require”告訴服務(wù)器哪些用戶可以進(jìn)入。 Requre validuser是指只要是 .htpassword 中的任何一個(gè)都可以進(jìn)入。也可以指定名單上某人或者某幾個(gè)人可以通過(guò)。 （ 3） 增加新的許可用戶 進(jìn)入 htdocs 目錄，在命令行狀態(tài)下輸入 以下 命令 ： Echo .abame1 /var//bin/ abc 這樣就可以生成 .abame1 文件 Abc 代表要增加的用戶名。輸入此命令后，系統(tǒng)會(huì)提示輸入此用戶的密碼，這樣該用戶名就生效了。以后要是再增加用戶，運(yùn)行第二行的命令時(shí)換一個(gè)用戶名即可。如果這個(gè)用戶存在，則會(huì)提示更換密碼。 （ 4） 建立允許訪問(wèn)的組 組的設(shè)置方法是建立一個(gè)名為 .htgroup 的文本文件，內(nèi)容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 并在 .htaccess 文件中加上“ authgroupfile/absolute/path/.htgroup”以 ASCII 模式上傳所有文件后，該目錄下的文件都會(huì)被保護(hù)起來(lái)。 （ 5） 禁止讀取文件 如果將某些內(nèi)容如密碼，存在一個(gè)文件中，那么別人只要知道該文件相對(duì)應(yīng)的位置，就可以一目了然。這樣很不安全，其實(shí)只要在 .htaccess 文件中加入以下幾行即可： file Order allow ,deny Deny from all /files 總之，通過(guò) .htaccess 文件來(lái)保護(hù)網(wǎng)站更為安全和方便。因?yàn)樗幌窭贸绦騺?lái)實(shí)現(xiàn)密碼保護(hù)時(shí)，有可能通過(guò)猜測(cè)的方法來(lái)獲得密碼。利用 .htaccess 文件 實(shí)現(xiàn)密碼保護(hù)，一般是很難被破解的。 減少 CGI 和 SSI 風(fēng)險(xiǎn) CGI 腳本的漏洞已經(jīng)成為 web 服務(wù)器的首要安全隱患，通常是程序編寫 CGI 腳本中產(chǎn)生了許多漏洞?？刂?CGI 腳本的漏洞除了在編寫時(shí)要注意輸入數(shù)據(jù)的合法性檢查、對(duì)系統(tǒng)調(diào)用的謹(jǐn)慎使用等因素外，首先使用 CGI 腳本所有者的 uid 是怎樣的。這些 CGI 程序即使存在一些漏洞，那么其危害也只是限于該 uid 所能夠訪問(wèn)的文件，也就是說(shuō)，這樣只能傷害用戶的文件而不會(huì)對(duì)整個(gè)系統(tǒng)帶來(lái)危害。 通過(guò)安裝使用 suEXEC 的應(yīng)用程序，可以為 Apache 服務(wù)提供 CGI 程序的控制支持，可以把 suEXEC 看做一個(gè)包裝器，在 Apache 接到對(duì) CGI 程序的調(diào)用請(qǐng)求后，它將這個(gè)嗲用請(qǐng)求交給 suEXEC 來(lái)負(fù)責(zé)完成具體的調(diào)用，并且其從 suEXEC 獲得返回結(jié)果。 suEXEC 能解決一些安全問(wèn)題，但也會(huì)降低服務(wù)性能，因?yàn)樗荒苓\(yùn)行在 CGI 版本的PHP 上，而 CGI 版本比模塊版本運(yùn)行速度慢。原因是 模塊版本使用了線程，而 CGI 使用的進(jìn)程。 因此，建議在安全性能要求比較高的時(shí)候使用 suEXEC，為此要以犧牲速度為代價(jià)， 要減少 SSI 腳本風(fēng)險(xiǎn)，如果使用 EXEC 等 SSI 命令運(yùn)行外部程序，也會(huì)存在類似 CGI腳本程序的危險(xiǎn)，除了內(nèi)部調(diào)試程序時(shí)都應(yīng)當(dāng)可以使用 option 命令來(lái)禁止