Apache安全设置

s＞_•账号设置＞以专门的用户帐号和组运行Apache。

＞根据需要为Apache创建用户、组参考配置操作如果没有设置用户和组，则新建用户，并在Apache配置文件中指定⑴创建apache 组：groupadd apache (2)创建apache 用户并加入apache 组：useradd apache -g apache⑶将下面两行加入Apache配置文件httpd.conf中1. User apache2. Group apache＞检查httpd.conf酉己置文件。

检查是否使用非专用账户（如root）运行apache ＞默认一般符合要求，Linux下默认apache或者nobody用户，Unix默认为daemon用户>>Apache的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中应为：1. ff Server Root /usr/local/apache^A判定条件A非超级用户不能修改该目录中的内容>检测操作>尝试修改，看是否能修改>一般为/etc/httpd目录，默认情况下属主为rootroot,其它用户不能修改文件，默认一般符合要求>严格设置配置文件和日志文件的权限，防止未授权访问。

>chmod 600 /etc/httpd/conf/httpd.conf"设置配置文件为属主可读写，其他用户无权限。

>使用命令〃chmod 644/var/log/httpd/tlog"设置日志文件为属主可读写，其他用户只读权限。

>>日志设置>设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。

>编辑httpd.conf酉己置文件，设置日志记录文件、记录内容、记录格式。

其中，错误日志：1. Log Level notice # 日志的级别2. ErrorLog f.J logs/error_log #日志的保存位置（错误日志）3. 访问日志：4. Log Format %h %1 %u %t \N%r\J, %>s %b Ac cep t }i Ref erer} i\w V*%{User-Agent }iV JM5. combined5. Custom Log /.../logs/ ac c es s_l og combined （访|可日志〉>ErrorLog指令设置错误日志文件名和位置。

Apache安全配置⽅法令Apache占领Web服务器半壁江⼭的⼀个重要原因就是它可以提供⼀个安全的Web操作环境。

Apache团体为保证其安全性做了⼤量的⼯作。

想当年，在此产品被发现存在⼀个安全缺陷时，Apache的开发⼈员就尽快地搞出了⼀个补丁。

然⽽，即管Apache已经堪称安全的产品，如果你在构建你的服务器时没有采取⼀些安全预防措施，这种Web服务器仍易于受到很多攻击。

在本⽂中，笔者将为你提供10个技巧，借此你可以保护⾃⼰的Apache Web服务器免于受到许多攻击。

不过，必须谨记，你需要仔细地评估每⼀个技巧，以确保其适合于你的组织。

只安装所需要的Apache的⼀个最⼤的特点是其灵活性和⼤量的可选择安装模块，这在涉及到安全问题时可成为⼀个极⼤的弱点。

你安装的越多，也就为潜在的攻击者创造了越⼤的攻击⾯。

⼀个标准的Apache安装包含20多个模块，包括CGI特性，以及⼀些⾝份验证机制。

如果你不打算采⽤CGI，并且你只想采⽤静态的Web 站点，不需要⽤户⾝份验证，你可能就不需要这些模块所提供的任何服务，因此在安装Apache时请禁⽤这些模块。

如果你沿⽤了⼀个正在运⾏的Apache服务器，并且不想重新安装它，就应当仔细检查httpd.conf配置⽂件，查找以LoadModule开头的⾏。

请检查Apache的⽂档（也可以⽤Google、Yahoo等搜索），查找每个模块的⽬的信息，找出那些你并不需要的模块。

然后，重新启动 Apache。

暴露程度最⼩化Apache易于安装并且相当容易管理。

不幸的是，许多Apache的安装由于为完全的陌⽣者提供了关于⾃⼰服务器的太多"有帮助”的信息，例如 Apache的版本号和与操作系统相关的信息。

通过这种信息，⼀个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞，特别是你没有能够保持所有补丁的更新的话情况更为严重。

如此⼀来，攻击者⽆需反复试验就可以确切地知道你在运⾏什么，从⽽可以调整其攻击⽅法。

Apache服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章日志配置操作 (5)2.1日志配置 (5)2.1.1审核登录 (5)第3章设备其他配置操作 (6)3.1访问权限 (6)3.1.1禁止访问外部文件 (6)3.2防攻击管理 (6)3.2.1错误页面处理 (7)3.2.2目录列表访问限制 (7)3.2.3拒绝服务防范 (8)3.2.4删除无用文件 (8)3.2.5隐藏敏感信息 (9)3.2.6Apache账户安全* (9)3.2.7限制请求消息长度 (10)第4章评审与修订 (11)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache 服务器系统。

1.3适用版本2.0.x、2.2.x版本的Apache服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章日志配置操作2.1日志配置2.1.1审核登录第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件3.2防攻击管理3.2.1错误页面处理3.2.2目录列表访问限制3.2.3拒绝服务防范3.2.4删除无用文件3.2.5隐藏敏感信息3.2.6Apache账户安全*3.2.7限制请求消息长度范文范例指导参考第4章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

windows下apache的平安设置要点WEB平安电脑资料1、使用guest用户启动apache，apache默认是用sys用户启动，sys属于系统用户，对系统有着超级权限，所以为了平安起见，尽量不要使用这个用户，
首先右键我的电脑->->系统工具->本地用户和组->用户在右侧点击右键选“新用户”，然后输入相应的用户名和密码即可，注意勾选密码用不过期。

新建帐户默认是user组，可以在用户名称上右击-属性，将user组删除，然后将其参加guest组。

再选择效劳和应用程序->效劳，找到apache效劳器，右键属性，在弹出框中选择“登陆”，阅读选择刚刚新建的用户即可，
到这一步已经完成了根本的配置了，还需要进展文件夹权限的设置，因为apache使用了guest帐户启动，那么也要将apache利用到的一些文件夹也赋予guest帐户权限，否那么apache将无法启动，就别谈提供网站效劳了，需要将apache的安装目录赋予读取权限，将目录下的logs（日志目录）赋予写入权限，然后重新启动ahache即可提供网站效劳。

2、虚拟主机设置，在VirtualHost中参加phpadminvalue
open basedir “对应的虚拟主机目录"，即可限制单个虚拟主机的跨文件夹权限，防止一个虚拟主机被挂马导致整台效劳器崩溃，注意假设使用了guest用户启动apache，那么也需要将guest用户对虚拟主机文件夹有读写权限。

最终，一台apache+windows的网站效劳器打造完成了，网站建立最后最后一道堡垒筑成。

L i n u x A p a c h e W e b服务器安全设置技巧网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

这篇文章主要介绍了L i n u x A p a c h e W e b服务器安全的8种安全设置技巧,需要的朋友可以参考下方法步骤第一、定期更新系统首先，我们需要确保是已经安装了最新版本和A p a c h e的安全补丁和附加如C G I，P e r l和P H P脚本代码。

我们需要定期更新数据源依赖包操作。

#U b u n t u/D e b i a na p t-g e t u p d a t e;a p t-g e t d i s t-u p g r a d e#F e d o r a/C e n t o s/R e d H a ty u m u p d a t e根据自己的系统环境选择更新升级命令。

第二、设置和保护我们的S S H安全我们在拿到V P S之后，建议修改端口、R O O T密码、以及授权单独的非R O O T用户权限管理，或者我们也可以采用密钥的方式登录S S H客户端管理V P S。

比如可以参考设置P u t t y S S H使用密钥登录L i n u x V P S主机和X s h e l l设置密钥登录确保L i n u x V P S及服务器更加安全文章设置密钥登陆。

第三、禁用未使用的服务为了确保我们的W e b服务器安全，建议你检查服务器上所有正在运行的服务和开放的端口，禁用我们不需要在服务器上的所有服务。

#要显示所有服务 s e r v i c e--s t a t u s-a l l#显示所有的端口规则 i p t a b l e s-L#显示所有的运行信息(r e d h a t/c e n t o s/f e d o r a)c h k c o n f i g--l i s t#检查/e t c/i n i t.d是否有可疑脚本 l s /e t c/i n i t.d 第四、禁用不必要的A p a c h e模块默认情况下，A p a c h e很多模块都开启的，但是有些并不需要使用，我们可以关闭和精简。

apache用法Apache是一款流行的web服务器软件，它能够提供网页浏览、动态内容创建、数据库服务等多种功能。

在本文中，我们将介绍Apache 的安装、配置、管理、安全性和优化等方面的知识。

一、安装Apache安装Apache非常简单，您可以从官方网站下载适合您操作系统的安装包。

在安装过程中，您需要选择安装路径、配置文件位置等选项，并设置一些基本参数。

安装完成后，您可以通过浏览器或命令行来测试Apache是否正常运行。

二、配置ApacheApache的配置文件位于`/etc/httpd/conf`目录下，该文件包含了Apache服务器的各种设置。

配置文件使用了较为简洁的语法，方便修改和调整。

您可以使用文本编辑器打开配置文件，根据您的需求进行修改。

在配置文件中，您可以设置虚拟主机、监听地址和端口、启用或禁用某些模块等功能。

同时，您还可以配置SSL证书，以实现安全传输。

配置完成后，需要重新启动Apache服务器，使配置生效。

三、管理ApacheApache提供了多种管理工具，方便您监控和调整服务器状态。

您可以使用命令行工具`apachectl`来查看服务器状态、启动和停止服务、重新加载配置等操作。

此外，您还可以使用Web管理工具，如Apache自带的Web管理界面或第三方工具，通过浏览器进行管理操作。

四、安全性Apache具有较高的安全性，但仍然需要注意一些安全问题。

首先，确保您的配置文件没有安全漏洞，如弱密码、不正确的权限设置等。

其次，及时更新Apache软件和配置文件，以修复潜在的安全漏洞。

最后，限制对配置文件的访问，以防止未经授权的修改。

五、优化Apache优化Apache可以提高服务器的性能和稳定性。

首先，优化虚拟主机配置，根据实际需求设置合适的资源分配和访问控制。

其次，使用缓存技术，如反向代理和缓存服务器，减少对数据库的访问次数。

此外，合理配置服务器硬件资源，如内存、硬盘和CPU，以充分利用服务器性能。

Linux Apache Web服务器安全设置技巧网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

这篇文章主要介绍了Linux Apache Web服务器安全的8种安全设置技巧,需要的朋友可以参考下方法步骤第一、定期更新系统首先，我们需要确保是已经安装了最新版本和Apache的安全补丁和附加如CGI，Perl和PHP脚本代码。

我们需要定期更新数据源依赖包操作。

# Ubuntu/Debianapt-get update; apt-get dist-upgrade# Fedora/Centos/RedHatyum update根据自己的系统环境选择更新升级命令。

第二、设置和保护我们的SSH安全我们在拿到VPS之后，建议修改端口、ROOT密码、以及授权单独的非ROOT用户权限管理，或者我们也可以采用密钥的方式登录SSH客户端管理VPS。

比如可以参考"设置Putty SSH 使用密钥登录Linux VPS主机"和"Xshell设置密钥登录确保Linux VPS及服务器更加安全"文章设置密钥登陆。

第三、禁用未使用的服务为了确保我们的Web服务器安全，建议你检查服务器上所有正在运行的服务和开放的端口，禁用我们不需要在服务器上的所有服务。

#要显示所有服务service --status-all#显示所有的端口规则iptables -L#显示所有的运行信息(redhat/centos/fedora)chkconfig --list#检查/etc/init.d是否有可疑脚本ls /etc/init.d第四、禁用不必要的Apache模块默认情况下，Apache很多模块都开启的，但是有些并不需要使用，我们可以关闭和精简。

比如以前有分享过的"6步骤实现CentOS系统环境精简优化"和"4步骤实现Debian系统环境精简优化"可以有效的提高执行效率降低占用资源率。

Apache安全配置你知道Apache是如何配置的吗？本文为您讲述Apache的安全配置，希望对您有所帮助。

1 安全策略1.1 安全目录.htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。

这样可做为专门管理网页存放的目录或做为会员区等。

AllowOverride AllLoadModule rewrite_module modules/mod_rewrite.so在自动要认证的目录下建立. htaccess文本(windows中用记事本另存为建立)1.1.1 .htaccess配置：(.htaccess文件可以相当于当前目录的httpd.conf配置，设置时尤其注意.htaccess文件的访问权限，避免被有心人恶意修改，后果不堪设想)AuthName HIHIHI指的是要求你输入用户名和密码时的提示信息AuthType Basic表示需要的认证类型AuthUserFile c:\ss指的是保存用户名和密码的文件位置(.htpasswd)，在这个例子中指的是.htpasswd文件，位置和我们的.htaccess文件相同Require valid-user指定只有.htpasswd文件包含的合法用户才能访问。

1.1.2 .htpasswd配置用户名:密码aaa:aaa不一定在.htaccess文件下配置，也可以在httpd.conf(主配置)下进行配置，这样可以提高apache工作效率，否则客户端访问Web是Apache都会在每一个目录下寻找.htaccess文件，会降低Apache效率，而且.htaccess被有心人修改了就危险了1.2 错误页面ErrorDocument 500 "The server made a boo boo."ErrorDocument 404 /missing.htmlErrorDocument 404 "/cgi-bin/missing_handler.pl"ErrorDocument 402 /subscription_info.html2 安全隐患2.1 目录泄露<Directory "/usr/local/apache/htdocs">Options -Indexes FollowSymLinksAllowOverrride NoneOrder allow,denyAllow from all</Directory>在Indexes前加-或去掉2.2 符号连接追踪<Directory "/usr/local/apache/htdocs">Options Indexes -FollowSymLinksAllowOverrride NoneOrder allow,denyAllow from all</Directory>在FollowSymLinks前加-或去掉2.3 Listen指令具体化httpd.conf包含一个"Listen 80”指令。

apache 安全配置指南简介：这是apache 安全配置的详细页面，介绍了和安全,有关的知识，加入收藏请按键盘ctrl+D，谢谢大家的观看！要查看更多有关信息，请点击此处一、确保你安装的是最新的补丁如果门是敞开的话，在窗户上加锁就毫无意义。

同样道理，如果你没有打补丁，继续下面的操作就没有什么必要。

二、隐藏apache的版本号及其它敏感信息默认情况下，很多apache安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的apache模块。

这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。

这里有两条语句，你需要添加到你的httpd.conf文件中：serversignature offservertokens prodserversignature出现在apache所产生的像404页面、目录列表等页面的底部。

servertokens目录被用来判断apache会在server http响应包的头部填充什么信息。

如果把servertokens设为prod，那么http 响应包头就会被设置成：server：apache如果你非常想尝试其它事物，你可以通过编辑源代码改成不是apache的其它东西，或者你可以通过下面将要介绍的mod_security实现。

和 "apache 安全配置" 有关的编程小帖士：strong>Application.removeOnApplicationExit删除早先调用addOnApplicationExit方法加入的applicationExit事件处理器。

语法public static void removeOnApplicationExit(EventHandler value)参数value要删除的com.ms.wfc.core.EventHandler代表。

说明在应用程序退出时，application exit事件被触发。

Apache的各种优化以及安全配置详解简介：Apache所运⾏的硬件环境都是对性能影响最⼤的因素，即使不能对硬件进⾏升级，也最好给Apache⼀个单独的主机以免受到其他应⽤的⼲扰。

各个硬件指标中，对性能影响最⼤的是内存，对于静态内容（图⽚、JavaScript⽂件、css⽂件等）。

它决定了Apache可以缓存多少内容，它缓存的内容越多，在硬盘上读取内容的机会就会越少，⼤内存可以极⼤提⾼静态站点的速度；对动态⾼负载站点来说，每个请求保存的时间更多⼀些，Apache的mpm模块会为每个请求派⽣出相应的进程或线程分别处理，⽽进程或线程的数量与内存的消耗近似成正⽐，因此增⼤内存对提⾼动态站点的负载和运⾏速度也极为有利。

其次是硬盘的速度，静态站点尤为突出，Apache不断的在读取⽂件并发送给相应的请求，硬盘的读写是极其频繁的；动态站点也要不断的加载web程序（php等），⼀个请求甚⾄要读取⼗⼏个⽂件才能处理完成，因此尽可能的提⾼硬盘速度和质量对提⾼Apache的性能是有积极意义的。

最后CPU和⽹络，CPU影响的是web程序执⾏速度，⽹络影响流量⼤⼩。

⼀、Apache的⼏种⼯作模式以及调优Apache HTTP服务器被设计为⼀个强⼤的、灵活的能够在多种平台以及不同环境下⼯作的服务器。

这种模块化的设计就叫做“多进程处理模块”（Multi-Processing Module，MPM），也叫做⼯作模式。

1.Prefork（⼀个⾮线程型的）：其主要⼯作⽅式是：当Apache服务器启动后，mpm_prefork模块会预先创建多个⼦进程（默认为5个），每个⼦进程只有⼀个线程，当接受到客户端的请求后，mpm_prefork模块再将请求转交给⼦进程处理，并且每个⼦进程同时只能⽤于处理单个请求。

如果当前的请求数将超过预先创建的⼦进程数时，mpm_prefork模块就会创建新的⼦进程来处理额外的请求。

这样客户端的请求就不需要在接受后等候⼦进程的产⽣。

中国移动公司--A p a c h e安全配置规范S p e c i f i c a t i o n f o r A p a c h eC o n f i g u r a t i o n i n C h i n a M o b i l e版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部-目录-1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (2)3. 术语、定义和缩略语 (2)4. Tomcat Web服务器安全配置要求 (2)4.1. 账号管理及认证授权要求 (3)4.1.1. 账号安全要求 (3)4.1.2. 口令安全要求 (3)4.1.3. 授权安全要求 (3)4.2. 日志安全要求 (3)4.3. IP协议安全要求 (4)4.4. 设备其他安全要求 (4)5. 编制历史 (7)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信集团公司网络部、中国移动通信集团山东有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：王自亮、周智、曹一生、陈敏时。

1.范围本规范适用于中国移动通信网、业务系统和支撑系统的Apache服务器。

本规范明确了Apache服务器安全配置方面的基本要求。

2.规范性引用文件2.1. 内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Apache安全配置规范。

以下分项列出本规范对《通用规范》设备配置要求的修订情况。

Apache是基于模块化设计的，各个模块在系统启动的时候按需载入。

Apache对于php的解析，就是通过众多Module中的php Module来完成的。

所以，php加载成为了apache的一个模块，可以把apache和php当成一个整体看待。

当浏览器请求一个php文件时，我们可以理解为apache直接处理返回给浏览器结果，服务器上也只会有httpd进程，而不会有php进程。

apache的一些配置主要是通过httpd.conf来实现的，但是可以在httpd.conf中开启对.htaccess的支持，然后在.htaccess中进行配置。

不过一般情况下，不应该使用.htaccess文件，除非你对主配置文件没有访问权限。

.htaccess文件应该被用在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下。

如果服务器管理员不愿意频繁修改配置，则可以允许用户通过.htaccess文件自己修改配置。

0x03 Apache安全配置方案0x03 Apache安全配置方案1. 选择漏洞较少的apache版本，并打上安全补丁查看apache版本号：httpd ­v然后在sebug上搜索该版本号有什么漏洞，可根据提示提升版本或者打上补丁2. 关闭一些不使用的模块及功能可在LoadModule前加#，来注释掉一些不使用的模块3. 隐藏banner信息ServerTokens OS 修改为：ServerTokens Prod （在出现错误页的时候不显示服务器操作系统的名称）ServerSignature On 修改为：ServerSignature Off（不回显apache版本信息）4. 删除默认网站及页面删除默认的页面，防止泄露服务器信息5. 可修改banner信息6. 配置httpd.conf禁止目录浏览将Options Indexes FollowSymLinks改为Options ­Indexes FollowSymLinks7. 配置httpd.conf设置默认文档©乌云知识库版权所有 未经许可 禁止转载收藏 4. 做好安全配置做好基础的安全配置，禁止目录浏览，设定默认文档，上传目录限制php 执行等等，来阻挡黑客的入侵。

中国移动公司--Apache安全配置规范Specificati on for ApacheConf igurati on in China Mo b i l e版本号：1. 0. 0XXXX - XX - XX 发布XXXX - XX - XX 实施中国移动通信CHINA MOBILE中国移动通信有限公司网络部1.范围 (1)2.规范性引用文件 (1)2.1.内部引用 (1)22 外部引用 (2)3.术语、定义和缩略语 (2)4.Tomcat Web服务器安全配置要求 (2)4.1.账号管理及认证授权要求 (3)4.1.1.账号安全要求 (3)4.1.2.口令安全要求 (3)4.1.3.授权安全要求 (3)4.2.日志安全要求 (3)4.3.IP协议安全要求 (4)4.4.设备其他安全要求 (4)5.编制历史 (7)刖言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信集团公司网络部、中国移动通信集团山东有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：王自亮、周智、曹一生、陈敏时。

1.范围本规范适用于中国移动通信网、业务系统和支撑系统的Apache服务器。

本规范明确了Apache服务器安全配置方面的基本要求。

2.规范性引用文件2.1.内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Apache安全配置规范。

以下分项列出本规范对《通用规范》设备配置要求的修订情况。

本规范新增的安全配置要求，如下:安全要求-设备-通用-Apache-配置-3安全要求-设备-通用-Apache-配置-4-可选安全要求-设备-通用-Apache-配置-4-可选安全要求-设备-通用-Apache-配置-5-可选安全要求-设备-通用-Apache-配置-6-可选安全要求-设备-通用-Apache-配置-7-可选安全要求-设备-通用-Apache-配置-8-可选安全要求-设备-通用-Apache-配置-9-可选安全要求-设备-通用-Apache-配置-10-可选本规范还针对《通用规范》中所列的配置要求，给出了在Apache上的具体配置方法和检测方法。

Apache服务器的安全设置Apache服务器走到那里,unix/linux就跟到那里,这足以说明在WEB服务器领域Apache 的优良性能与市场占有率,这今天互联网的大环境下,web服务已经成为公司企业必不可少的业务,大多数的安全问题也跟随而来,攻击重点也转移为web攻击,许多web与颇有价值的客户服务与电子商业活动结合在一起,这也是吸引恶意攻击重要原因.先来了解下web所面临的安全风险.HTTP拒绝服务攻击攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它成为众矢之的,Apache服务器无时无刻不受到DoS攻击威胁,主要有下边几种1.数据包洪水攻击一种中断服务器或本地网络的方法是数据包洪水攻击,它通常使用internet控制报文协议(ICMP,属于网络层协议)包或是udp包,在最简单的形式下,这些攻击都是使服务器或网络负载过重,这意味这攻击者的网络速度必须比目标主机网络速度要快,使用udp包的优势是不会有任何包返回到黑客的计算机(udp效率要比tcp高17倍),而使用ICMP包的优势是攻击者能让攻击更加富与变化,发送有缺陷的包会搞乱并锁住受害者的网络,目前流行的趋势是攻击者欺骗服务器,让其相信正在受来自自身的洪水攻击.2.磁盘攻击这是一种很不道德的攻击,它不仅影响计算机的通信,还破坏其硬件,伪造的用户请求利用写命令攻击目标计算机硬盘,让其超过极限,并强制关闭,结局很悲惨.3.路由不可达通常DoS攻击,集中在路由器上,攻击者首先获得控制权并操纵目标机器,当攻击者能更改路由表条目时候,会导致整个网络无法通信,这种攻击很阴险,隐蔽,因为网络管理员需要排除的网络不通原因很多,其中一些原因需要详细分辨.4.分布式拒绝服务攻击这也是最具有威胁的DDoS攻击,名称很容易理解,简单说就是群欧,很多客户机同时单条服务器,你会发现你将伤痕累累,Apache服务器特别容易受到攻击,无论是DDos还是隐藏来源的攻击,因为Apache无处不在,特别是为Apache特意打造的病毒(特选SSL蠕虫),潜伏在许多主机上,攻击者通过病毒可以操纵大量被感染的机器,对特定目标发动一次浩大的DDoS攻击,通过将蠕虫散播到大量主机,大规模的点对点攻击得以进行,除非你不提供服务,要不然几乎无法阻止这样的攻击,这种攻击通常会定位到大型的网站上.5.缓冲区溢出这种攻击很普遍,攻击者利用CGI程序编写一些缺陷程序偏离正常的流程,程序使用静态的内存分配,攻击者就可以发送一个超长的请求使缓冲区溢出,比如,一些perl编写的处理用户请求的网关脚本,一但缓冲区溢出,攻击者就可以执行恶意指令.6.非法获取root权限如果Apache以root权限运行,系统上一些程序的逻辑缺陷或缓冲区溢出漏洞,会让攻击者很容易在本地系统获取linux服务器上的管理者权限,在一些远程情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限,以远程登陆,进而控制整个系统.这边这些都是服务将会遇到的攻击手段,下边来说,如何打造安全的Apache服务器,如果你能遵守下边这些建议,那么你将得到一台相对安全的apache服务器.一：勤打补丁程会派生数个以nobody权限运行的子进程,父进程监听80端口,然后交给某个子进程处理,这时候子进程所处的目录续承父进程,即/usr/local/httpd目录,但是一但目录权限设定错误,被攻击的apache子进程可以访问/usr/local,/usr,/tmp甚至整个文件系统,因为apache 进程所处的跟目录仍然是整个文件系统的跟目录,如果可以用chroot将apache限制在/usr/local/httpd/下,那么apache所存取的文件都被限制在/usr/local/httpd下,创建chroot监牢的作用就是将进程权限限制在文件目录树下,保证安全.如果自己手动apache的监牢,将是很烦琐和复杂的工作,需要牵扯到库文件,这里可以使用jail包来简化监牢的实现jail的官方网站为：有兴趣可以逛逛这里也不写出具体的创建过程稍微麻烦.九：apache服务器防范Dosapache服务经常会碰到Dos攻击,防范的主要手段是通过软件,apahce Dos Evasive Maneuvers Module来实现的,它是一款mod_access的代替软件,可以对抗DoS攻击,该软件可以快速拒绝来自相同地址对同一URL的重复请求,通过查询内部一张各子进程的哈希表来实现,可以到网址：http://online//tools/上下载软件十：减少CGI和SSI风险CGI脚本的漏洞已经成为WEB服务器的首要安全隐患,通常是程序编写CGI脚本产生了许多漏洞,控制CGI的漏洞除了在编写时候注意对输入数据的合法检查,对系统调用的谨慎使用等因素外,首先使用CGI程序所有者的ID来运行这些程序,即使被漏洞危害也仅限于该ID能访问的文件,不会对整个系统带来致命的危害,因此需要谨慎使用CGI程序.1.3版的apache集成了suEXEC程序,可以为apache提供CGI程序的控制支持,可以把suEXEC看做一个包装器,在Apache接到CGI程序的调用请求后,把这个请求交给suEXEC来负责完成具体调用,并从suEXEC返回结果,suEXEC可以解决一些安全问题,但会影响速度,如果是对安全性要求很高时候,建议使用suEXEC,此外还有一个软件CGIWrap,它的安全性要高与suEXEC.减少SSI脚本风险,如果用exec等SSI命令运行外部程序,也会存在类似CGI脚本风险,除了内部调试程序时,应使用:option命令禁止其使用：Option IncludesNOEXEC十一：使用ssl加固Apache使用具有SSL功能的服务器,可以提高网站敏感页的安全性能,SSL工作与TCP/IP协议和HTTP协议之间,SSL可以加密互联网上传递的数据流,提供身份验证,在线购物而不必担心别人窃取信用卡信息,在基于电子商务和基于web邮件的地方非常重要.SSL的应用相对还是比较麻烦的,有需要的话,可以发贴或查看资料.。