【正文】 找到 daemon syslog。 請確保您有以前 Apache 安裝的目前備份，接著將舊的資料／組態(tài)文件從 /var/log/d、/etc/d 和 /home/d（或以前所用的 DocumentRoot）中除去，然后刪除舊的 d 二進制文件（在預(yù)設(shè) Red Hat 安裝下，該文件通常是 /usr/sbin/d）。 9. 完成組態(tài)過程 將 /etc/localtime 文件復(fù)制到 /chroot/d/etc 中。 [rootthor root ] chattr +i /chroot/d/etc/*這確保沒有人（甚至 root）能夠編輯這些文件。只要您對于該“root”位置沒有做任何目錄變更，將 Apache 下移到 chroot 目錄樹中將不會影響服務(wù)器希望在其中找到各種組件的位置。如果目錄結(jié)構(gòu)與以前的安裝相同，則無需編輯。根據(jù)這一章使用的范例組態(tài)，/chroot/d/etc/passwd 將只保留以下一行： :x:80:80:Apache Server:/:/bin/false而 /chroot/d/etc/group 將有下列一項： :x:80:8. 編輯組態(tài)和啟動文件 在測試已經(jīng)改變了根目錄的服務(wù)器前，剩下最后一步︰編輯幾個服務(wù)器組態(tài)文件、syslogd 指令碼以及在系統(tǒng)引導(dǎo)時啟動 d 守護程序的初始化文件。您還需要下列系統(tǒng)鏈接庫來實作某些網(wǎng)絡(luò)功能和名稱解析： [rootthor root ] cp /lib/libnss_pat* /chroot/d/lib/[rootthor root ] cp /lib/libnss_dns* /chroot/d/lib/[rootthor root ] cp /lib/libnss_files* /chroot/d/lib/除了以上鏈接庫外，還要將 /etc/ 復(fù)制到 /chroot/d/etc 中；這是名稱解析必需的。 [rootthor root ] cp r /etc/ssl /chroot/d/etc/[rootthor root ] chmod 600 /chroot/d/etc/ssl/certs/[rootthor root ] chmod 600 /chroot/d//etc/ssl/certs/[rootthor root ] chmod 600 /chroot/d/etc/ssl/private/[rootthor root ] chmod 600 /chroot/d/etc/ssl/private/6. 復(fù)制任何必需的系統(tǒng)鏈接庫 37 / 40現(xiàn)在，找出確定共享鏈接庫下建立的清單，并將每個系統(tǒng)鏈接庫復(fù)制到 /chroot/d/lib。當然，這里使用的指令將根據(jù)您 chroot 目錄結(jié)構(gòu)和現(xiàn)有 Web 服務(wù)器文件的位置而變化。下面建立的結(jié)構(gòu)只是一個范例；系統(tǒng)管理員可以根據(jù)個人喜好修改目錄名和位置。該結(jié)構(gòu)的位置理論上可以是文件系統(tǒng)中的任何地方（理想情況下，為了安全性和維護，它應(yīng)該駐留在一個單獨的分區(qū)）。 [rootthor bin] useradd c Apache Server u 80 s /bin/false r d /home/d 2/dev/null ||:有關(guān)上面指令中使用的選項的解釋，請輸入 man useradd。 顯示的范例建立使用者 和群組 ，它們的識別數(shù)據(jù)都是 80。如絕對不要以 root 身份執(zhí)行守護程序中說明的，您絕對不應(yīng)該以 root 身份執(zhí)行該服務(wù)。寫下所提供的訊息，以便以后引言，或者簡單地將輸出重新導(dǎo)向至純文字文件（ldd /usr/local/apache/bin/d /root/apache_shared）。 使用 ldd 指令，以列出給定程序的鏈接庫相關(guān)性。正如簡介中提到的，本教學中提供的范例都是基于 Apache 的預(yù)設(shè)安裝。 以下詳細論述如何實作以上工作。 ? 編輯 syslog 守護程序以反映所做的變更。當完成時，“鎖定”組態(tài)文件。 ? 復(fù)制并編輯 passwd 和 group 文件。 ? 將所有程序、組態(tài)和使用者文件復(fù)制到 chroot 樹。 ? 建立必需的 chroot 目錄結(jié)構(gòu)。 以下將簡略列出建立 chroot 環(huán)境所需的步驟（假設(shè)您已安裝 Web 服務(wù)器并正在執(zhí)行它）： ? 建立 Web 服務(wù)器使用的所有共享鏈接庫相關(guān)性的清單。 注：這一章假設(shè)程序 /usr/sbin/chroot 安裝在系統(tǒng)上。 ? Web 服務(wù)器安裝必需的任何外部程序或語言也必須駐留在 chroot 樹中。 ? 因未正確組態(tài)服務(wù)器而導(dǎo)致的任何負面結(jié)果都限于 chroot 環(huán)境中。 chroot 安裝的優(yōu)缺點如下：? 如果 Web 服務(wù)器曾受到威脅，則攻擊者無法獲得對主文件系統(tǒng)的存取權(quán)；他們被局限在 chroot 禁錮目錄樹。您可以 chroot 幾乎任何程序，包括使用者的預(yù)設(shè)登入 shell。 建立 chroot 環(huán)境背后的概念很簡單：在正確實作了 chroot 環(huán)境后，它防止使用者獲得對服務(wù)器上主“root”文件系統(tǒng)（您將使用者所看到的變更為 root 文件系統(tǒng)，由此得名）的存取權(quán)。而且，雖然改變 chroot Web 服務(wù)器安裝的根目錄是提供 Web 頁面服務(wù)最安全最全面的解決方案之一，但它也是實作起來最復(fù)雜的一個，因為組成執(zhí)行著的 Web 服務(wù)器環(huán)境的各種目錄和組件全都必須與主文件系統(tǒng)徹底隔離。 利用黑客程序可以對于運行在 FreeBSD , OpenBSD / , NetBSD 平臺上的 Apache 服務(wù)器均可進行有效的攻擊. 因此使用最高和最新安全版本對于加強 Apache Web 服務(wù)器的安全是至關(guān)33 / 40重要的。 （3）被攻擊者獲得 root 權(quán)限的安全缺陷 該安全缺陷主要是因為 Apache 服務(wù)器一般以 root 權(quán)限運行( 父進程)，攻擊者會通過它獲得 root 權(quán)限，進而控制整個 Apache 系統(tǒng)。比如一些 Perl 編寫的處理用戶請求的網(wǎng)關(guān)腳本。 （2）緩沖區(qū)溢出的安全缺陷 該方法攻擊者利用程序編寫的一些缺陷，使程序偏離正常的流程。目前 Apache 服務(wù)器主要的安全缺陷有： （1）使用 HTTP 協(xié)議進行的拒絕服務(wù)攻擊(denial of service)的安全缺陷 這種方法攻擊者會通過某些手段使服務(wù)器拒絕對 HTTP 應(yīng)答。畢竟它是完全源代碼，Apache 服務(wù)器的安全缺陷主要是使用 HTTP 協(xié)議進行的拒絕服務(wù)攻擊(denial of service)、緩沖區(qū)溢出攻擊以及被攻擊者獲得 root 權(quán)限三缺陷和最新的惡意的攻擊者進行“拒絕服務(wù)”(DoS)攻擊。 . 升級到最新的版本正如我們前言所說盡管 Apache 服務(wù)器應(yīng)用最為廣泛，設(shè)計上非常安全的程序。 接著要建立 檔案；內(nèi)容應(yīng)該如下： /opt/apachessl/conf/ SSLDisableSSLNoCAListSSLRandomFile file /var/tmp 1024SSLCacheServerPath /opt/apachessl/bin/gcacheSSLCacheServerPort logs/gcache_portSSLCacheServerRunDir /tmpSSLSessionCacheTimeout 15 別讓它的名稱嚇怕，對我而言，檔案這樣命名的原因很簡單：SSL 預(yù)設(shè)的 port 為 443，在這檔案中，你可以指定服務(wù)器等候指令(監(jiān)聽) 的 port ，以及服務(wù)器尋找保安證書的位置。 31 / 40 在 ssl .conf 中您會找到如 gcache 程序的位置，以及它使用的 port。/opt/apachessl/conf/ Include conf/Include conf/在 完成安裝 前，您需要建立連結(jié)，連結(jié)會在稍后啟動服務(wù)器時用到。 c. openssl x509 in out req signkey days 365 這個 key 有效期為 356 天﹗ 然后您要復(fù)制兩個 keys， 及 往 /opt/apachessl/conf 6. 設(shè)定設(shè)定檔案在 /opt/apachessl/conf 首先您要修改 檔案。 5. 數(shù)位憑證現(xiàn)在需要討論數(shù)字憑證的設(shè)定，可以用任何名稱代替下列范例的 server。 4. 安裝網(wǎng)頁服務(wù)器要安裝網(wǎng)頁服務(wù)器，您要執(zhí)行以下指令： ./configure prefix= INSTALLATIONSDESTINY 例如：/opt/apachessl make make install 網(wǎng)頁服務(wù)器現(xiàn)在已安裝好了。 3. 為原始碼安裝修補程序要為原始碼安裝修補程序，先切換至 apache 目錄并執(zhí)行： ./FixPatch 現(xiàn)在所有東西應(yīng)該已安裝修補程序了，F(xiàn)ixPatch 在找不到 openssl 時會停止執(zhí)行 script。 29 / 40tar zxvf 然后復(fù)制 + 套件往已建立的 apache 目錄 () 。1. 所需套件? apache () ? apache SSLencryption (+) ? patch ? openssl 所有套件都可以在 , 或 找到。. HTTP SSLSSL (Secure Sockets Layer)提供 Web 傳輸?shù)募用芄艿?，目前已?jīng)廣為被接受與使用。這個指令還有其它的許多參數(shù)，用戶可以參考 Apache 的文檔。使用 Logformat %a %l指令，可以把發(fā)出 HTTP 請求瀏覽器的 IP 地址和主機名記錄到日志文件。事件日志的設(shè)定，位于 檔案中。如果使用者不能確定文件名，則建立索引將列出目錄的內(nèi)容。 Apache 支持 indexes 選項，您可以全局應(yīng)用，也可以應(yīng)用于每個單獨的28 / 40目錄。 ? 顯示所請求目錄中的文件清單。前一個容許 Apache 執(zhí)行到實際的文件或目錄（危險﹗）的符號連結(jié)；第二種選項指示 Apache 當且只有當擁有該連結(jié)的使用者識別數(shù)據(jù)與擁有實際文件的使用者識別數(shù)據(jù)相同時才執(zhí)行符號連結(jié)。 當在 Web 服務(wù)器的 DocumentRoot 文件系統(tǒng)內(nèi)使用符號連結(jié)時，會伴隨許多安全性危險。將 symlink 應(yīng)用于文件上并不是真的變更了文件的位置，而是建立了從原始文件到替代位置的一個符號連結(jié)。 . 符號連結(jié) 在 *NIX 世界里，符號連結(jié)有堅實的基礎(chǔ)；他們在 Windows 世界中沒有真正的對應(yīng)物。因此，一般而言，對 Web 服務(wù)器管理員規(guī)定的首要規(guī)則之一是要了解，服務(wù)器本身應(yīng)該無權(quán)修改它提供的頁面。Apache （及其27 / 40衍生產(chǎn)品）使用 DocumentRoot 偽指令來識別數(shù)據(jù)提供 Web 頁面的預(yù)設(shè)位置，并使用 ServerRoot 偽指令來確定 Apache 主要的程序文件、模塊和鏈接庫的根目錄駐留在哪里。如果您負責管理（直接或間接）聯(lián)機至因特網(wǎng)的 Web 服務(wù)器，請確保服務(wù)器已經(jīng)存在單獨的使用者／群組賬戶，而且將 Web 服務(wù)器組態(tài)為在這些賬戶下執(zhí)行。這些子執(zhí)行緒只有服務(wù)于請求的頁面，它們與負責初始 Apache 處理序的 root 守護程序做出的 “指令和控制”決策毫無關(guān)系。. 絕對不要以 root 身份執(zhí)行守護程序 有經(jīng)驗的管理員無疑曾不止一次地聽到過以下告誡，但恐怕還得重復(fù)一下：千萬、千萬、千萬不要以 root 身份執(zhí)行 Web 服務(wù)器守護程序。在這個例子中， Order 偽指令首先拒絕，然后在隨后的所有偽指令中搜尋容許客戶端存取的 Allow 偽指令。執(zhí)行找到的與客戶端請求匹配的第一筆“allow from... ”語句。使用者無法透過在 .htaccess 文件中放置不太嚴格的偽指令來取代已定義的設(shè)定（關(guān)于這點，在下一段使用者認證中有更多信息） 。 Mutualfailure 關(guān)鍵詞沒有初始狀態(tài)：要與服務(wù)器聯(lián)機，客戶端必須經(jīng)容許而且不能被拒絕。所以，對于 Order allow,deny 語句，檢查所有 allow 偽指令，如果沒有確認的，則拒絕客戶端。order 偽指令可以采用三種格式中的其中一種： Order allow,deny Order deny,allow Order mutualfailure 注意：order 偽指令后面的關(guān)鍵詞之間沒有空格?，F(xiàn)在，讓我們加入另一個控制層到等式中：order 偽指令。這些偽指令可以采用兩種格式中的一種： allow | deny from addressexpression 或 allow | deny from env=environmentvariableaddressexpression 可以是下列之一：特殊關(guān)鍵詞 ALL，表示所有可能的主機；完整或部分網(wǎng)域名；完整或部分數(shù)字 IP 地址；網(wǎng)絡(luò)／網(wǎng)絡(luò)屏蔽對（例25 / 40如：）；或者 CIDR 地址規(guī)范（例如：）。但是，經(jīng)驗豐富的管理員通常希望的不止是“非常完善的 ”的安全性；他們希望知道每個偽指令做些什么，它如何影響服務(wù)器的安全作業(yè)，以及如何作業(yè)所提供的偽指令或?qū)沃噶罡M一步地集中到唯一的環(huán)境中。 是純文字格式，該文件編制得非常完善，而且它是大多數(shù) Apache 的可組態(tài)行為的主要控制者?？焖佟⒖煽?、通過簡單的 API擴展，Perl/Python 解釋器可被編譯到服務(wù)器中，且完全免費，完全源代碼開放。目前已在互聯(lián)網(wǎng)