|
Apache安全设置,涉及到Apache的配置文件、Apache的目录访问控制、在Apache上运行CGI等安全方面的设置。 对于RedHat Linux系统,Apache的配置文件放在/etc/httpd/conf/目录下。如果是自行编译安装的Apache,则视编译时指定的目录路径而定,默认是/usr/local/apache/conf。 在conf目录下有3个Apache的配置文件: httpd.conf access.conf srm.conf Apache 启动时先调用httpd.conf,然后调用srm.conf,最后调用access.conf。但现代版本的Apache为避免管理和维护的混乱,已经 改为将所有Apache的相关配置命令放在httpd.conf文件中,不再使用srm.conf和access.conf文件。虽然这两个文件仍然存 在,但内容中没有任何配置命令,形同虚设。 httpd.conf文件分为以下3部分: Global Environment 'Main' server configuration Virtual Hosts
下面将讲述这3部分的用法和与安全相关的注意点。 ServerType standalone 用来指定Apache的启动方式:standalone和inetd。standalone模式是Apache独立运行,也是默认的启动方式。inetd模式是守护进程监听http的连接请求才启动httpd进程,请求完毕后就结束httpd进程,这样服务器负担很重。 ServerRoot "/etc/httpd" Apache的目录,此处是存放配置、出错记录、日志文件的根目录。目录后面不要加“/”字符。 LockFile /var/lock/httpd.lock 保留默认值,不要更改。 PidFile /var/run/httpd.pid 指定记录Apache的父进程id的文件名及路径。 ScoreBoard /var/run/httpd.scoreboard 指定用于储存服务器进程处理信息的文件名和路径。 #ResourceConfig conf/srm.conf #AccessConfig conf/access.conf 在标准的配置中,服务器启动时会处理这两个文件。因为现在的Apache只使用httpd.conf文件,摒弃了srm.conf和access.conf文件,所以这两行用“#”注释掉。 Timeout 300 设置超时时间。如果远程客户端超过300秒还没连上Apache Server,或者Apache Server超过300秒没有传送字节给客户端,就立即断开连接。 KeepAlive On KeepAlive允许客户端的每个连接有多个请求,设为Off时此项无效。 MaxKeepAliveRequests 100 设置每次连接期间所允许的最大请求数目。设为0时表示允许无限制数目。设置数字越大,则服务器性能越高。 KeepAliveTimeout 15 设置等待同一个客户端的同一个连接发出下一个连接请求超过一定的时间就断线。 MinSpareServers 5 MaxSpareServers 20 设置最小的闲置服务处理程序的数目和最大的闲置服务处理程序的数目。如果实际数目少于MinSpareServers,则将增加处理程序;反之,如果实际数目超过MaxSpareServers,一些多余的处理程序将被杀掉。 StartServers 8 设置启动并初始化后启动服务进程的数目。 MaxClient 150 设置服务运行的总数量。一旦达到此数目,新来的客户端就被拒绝,所以该限制数目不能设得太小。 MaxRequestsPerChild 100 设置每个子程序处理结果前的要求数目,设为0表示不限制。 #Listen 3000 #Listen 12.34.56.78:80 Listen 80 设置Apache监听的连接端口或IP地址及端口,默认是80。 #BindAddress * 该选项用来支持虚拟主机,并告知服务器监听哪个IP地址。可以使用“*”,或具体的IP地址和完整的域名。 #LoadModule foo_module libexec/mod_foo.so DSO(Dynamic Shared Object)支持。DSO模块的概念和作用与Windows的DLL文件极其相似。 #ExtendedStatus On
当“server-status”管理程序被执行时,检查Apache的运行状态信息。默认是Off。 如果在第一部分“Global Environment”中的ServerType命令设为inetd的话,那么这部分就没有任何效果,直接跳到ServerAdmin命令。 Port 80 设置Standalone服务器监听的连接端口,也可以设为其他端口,必须小于1 023。必须以root身份才能更改端口。 User apache Group apache 指定运行httpd的用户和用户组。必须首先以root身份指派。 ServerAdmin root@localhost 设置管理员的电子邮件地址,当Apache有问题时会自动发E-mail通知管理员。 #ServerName localhost 设置主机名称,可以用域名和IP地址。 DocumentRoot "/var/www/html" 设置Apache放置网页的目录路径。 <Directory/> Options FollowSymLinks AllowOverride None <Directory/> 设置Apache能够访问的每一个目录被访问时所执行的动作。本章后面将详细叙述Apache的目录存取方法。 <Directory "/car/www/html"> Options Indexes Include FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory> 此处设置Apache的网页目录的执行动作。本章节后面将详细叙述目录的存取方法。 <Directory/> AllowOverride None Options None Allow from all </Directory> 此处可以防止用户创建自己的.htaccess文件。在这个文件中可以改变全局参数,以致会影响到整个系统的安全。可以在httpd.conf文件中加入的命令中都加上上面的代码。 UserDir public_html 设置用户在自己的目录下建立public_html放置网页,即/home/*/public_html/。这样在浏览器地址栏输入“http://Apache服务器/用户名/”就能显示网页。设置的目录必须告知用户,否则他们不知道网页放在什么地方。 DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.cgi 设置Apache的默认首页文档。 AccessFileName .htacess 指定控制存取的文件名称。Apache默认的是.htaccess。本章将在后面详细叙述该文件的用法。 <Files ~ "^/.ht> Order allow,deny Deny from all </Files> 防止用户端看到ht开头的文件内容。因为.htaccess记载了相关信息,.htpasswd记载了密码信息,不允许其他人访问这些文件。 #CacheNegotiatedDocs 指定Proxy服务器是否将交互产生的文件存在Cache中。将该命令注释掉则是不指定。 UseCanonicalName On 设置是否使用标准的名称,默认是On。 TypeConfig /etc/mime.types 指定存放MIME文件类型的文件。 Default Type text/plain 如果Apache不能识别此文件类型时,则按照预设的格式显示,一般以文本文件显示。 <IfModule mod_mine_magic.c> MIMEMagicFile conf/magic </ifModule> mod_mime_magic模块可以让Apache由文件内容决定其MIME类型。如果存在该模块,才会处理MIMEMagicFile这一段。上面3行是当没有该模块时就处理这一段。 HostnameLookups off 设置Apache是否向名称服务器解析该IP地址,记录此链接的名称(如Hacker.com.cn)。因为DNS解析要花一定时间,所以默认设为off,仅记录IP。 ErrorLog /var/log/httpd/error_log 指定Apache发生错误时记录文件的位置。如果在<VirtualHost>中没有指定记录文件,则用/var/log/httpd/error_log,否则使用<VirtualHost>指定的文件。 LogLevel warn 指定记录的详细等级,有8个等级:debug、info、notice、warn、error、crit、alert和emerg。按从详细到简略排列。 LogFormat "%h %l %u %t/"%r"/"%>s%b/"{Referer}I"/"%{UserAgent}I/""combind Logformat"%h%l%u%t/"%r"/"%>s%b"common Logformat "%{Referer}I->%U"referer LogFormat"%{User-agent}I"agint 定义4种格式的别名:combind、commen、referer和agint。 #CustomLog /var/log/httpd/access_log common CustomLog /var/log.httpd/access_log combind 指定记录文件使用哪种自定义的格式。其他不使用的自定义格式将被注释掉。 以上是关于日志文件的,将在后面的Apache日志文件中详细叙述。 ServerSignature On 设为On,当Apache产生错误时,就在网页上显示Apache的版本信息、主机名称、端口等一行信息。设为Off,就不显示相关的信息。设为E-mail时,就有“mailto:”给管理员的超链接。 Alias/icons /"var/www/icons/" 使用较短的别名,其格式为:Alias 别名 原名。可以无限制地建立别名。注意别名的后面如果有“/”,那么在使用URL时也得有“/”。 ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 和Alias类似,设置服务器脚本目录。 应该强制性地使用ScriptAlias命令来限定CGI程序位于某个或者某几个特定的位置。一般可以设置多个ScriptAlias。必须保证cgi-bin目录不在html目录下,这一点非常重要,这样可以防止黑客通过浏览它们而查看CGI程序。 IndexOptions FancyIndexing 以特定的图形显示文件清单。 AddIconByEncoding (CMP, /icons/compressed.gif) x-compress x-gzip …… DefaultIcon /icons/unknown.gif
指定显示文件清单时各种文件类型的对应图形。
这 部分是设置虚拟主机的。所谓虚拟主机,就是指一台服务器作为多域名的Web服务器。ISP经常通过一台服务器为其客户提供Web服务。而客户通常希望主页 以自己的名字出现,而不是在该ISP的名字后面,因为使用单独的域名和根网址可以看起来更正式一些。传统上,用户必须自己设立一台服务器才能达到拥有单独 域名的目的,然而这需要维护一个单独的服务器。很多小单位缺乏足够的维护能力,更为合适的方式是租用别人维护的服务器。ISP也没有必要为一个机构提供一 个单独的服务器,完全可以使用虚拟主机的能力,使服务器为多个域名提供Web服务,而且不同的服务互不干扰,对外就表现为多个不同的服务器。虚拟主机就是 解决这种问题的方案,使客户的域名实际指向ISP的同一台服务器。 Apache有两种支持虚拟主机的方式。一是为每一个虚拟主机设置单独的httpd进程,二是为所有的主机设置一个单独的httpd进程。 为每一个虚拟机设置单独的httpd进程 在httpd.conf文件的第一部分Global Environment中的BindAddress命令或Listen命令就是用来指定虚拟主机的地址和端口的。 BindAddress命令用来指定单一的地址,可以使用域名或IP地址。该命令在httpd.conf文件中只能出现一次。 Listen命令可以让httpd进程监听多个地址或端口。反复使用Listen命令就能实现这个要求。 为所有的主机设置一个单独的httpd进程
这 是一个常用的方法。用户只要维护一个httpd.conf文件。在此文件的第三部分Virtual Host中,用<VirtualHost></VirtualHost>命令来为所有的虚拟主机进行配置。有多个虚拟主机就有多 个<VirtualHost>段。在不同的虚拟主机的<VirtualHost>段中可以指定不同的ServerAdmin、 ServerName、DocumentRoot、ErrorLog和TransferLog。 虚拟主机有三种实现方式:以主机名称的方式虚拟、以IP的方式虚拟、以端口的方式虚拟。下面就举一个在httpd.conf的第三部分Virtual Host中实现上面提及的方式的例子。 以主机名称的方式虚拟 如果用户的一台服务器有多个域名,Virtual Host文件举例如下: NameVirtualHost 210.12.195.6 <VirtualHost it.net.cn> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/hacker ServerName hacker.com.cn </VirtualHost> <VirtualHost pcfrient.com.cn> ServerAdmin admin@pcfrient.com.cn DocumentRoot /var/www/html/pcfrient Servername pcfrient.com.cn </VirtualHost> 以IP的方式虚拟 注 册域名是要花一笔费用的。解决方案是可以用IP的方式来虚拟。在Linux中可以为一个网卡捆绑两个IP地址。如服务器的地址是 210.12.195.6,现在有一个IP地址210.12.195.9没有使用。将210.12.195.9捆绑到服务器的网卡中,执行下列命令: #ifconfig eth0:0 210.12.195.9 这样,服务器就有两个IP地址了。以IP的方式虚拟和以主机名称的方式虚拟类似,请看下面的例子: NameVirtualHost 210.12.195.6 <VirtualHost 210.12.192.6> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/hacker </VirtualHost> <VirtualHost 210.12.192.9> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/pcfrient </VirtualHost> 以IP的方式虚拟不用NameVirtualHost命令。 以主机名称和IP的方式虚拟 就是上面的两个方式的结合。看下面的例子: NameVirtualHost 210.12.195.6 <VirtualHost it.net.cn> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/hacker ServerName hacker.com.cn </VirtualHost> <VirtualHost 210.12.195.6> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/pcfrient </VirtualHost> 以端口的方式虚拟 http默认的端口是80,如果用户要开设另一个端口443作为另一个虚拟主机,举例如下: Listen 80 Listen 443 <VirtualHost 210.12.192.6:80> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/hacker </VirtualHost> <VirtualHost 210.12.195.6:443> ServerAdmin suying@hacker.com.cn DocumentRoot /var/www/html/pcfrient </VirtualHost> 以不同的IP和端口的方式虚拟 该方式是以IP的方式虚拟和以端口的方式虚拟的结合。假设服务器捆绑了两个IP地址,210.12.192.6和210.12.195.9,后面的IP地址用端口443。举例如下: Listen 210.12.192.6:80 Listen 210.12.195.9:443 <VirtualHost 210.12.192.6:80> ServerAdmin bright@hacker.com.cn DocumentRoot /var/www/html/hacker </VirtualHost> <VirtualHost 210.12.195.9:443> ServerAdmin suying@hacker.com.cn DocumentRoot /var/www/html/pcfrient </VirtualHost> (责任编辑:IT) |