Apache服务器安全认证攻略

s＞_•账号设置＞以专门的用户帐号和组运行Apache。

＞根据需要为Apache创建用户、组参考配置操作如果没有设置用户和组，则新建用户，并在Apache配置文件中指定⑴创建apache 组：groupadd apache (2)创建apache 用户并加入apache 组：useradd apache -g apache⑶将下面两行加入Apache配置文件httpd.conf中1. User apache2. Group apache＞检查httpd.conf酉己置文件。

检查是否使用非专用账户（如root）运行apache ＞默认一般符合要求，Linux下默认apache或者nobody用户，Unix默认为daemon用户>>Apache的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中应为：1. ff Server Root /usr/local/apache^A判定条件A非超级用户不能修改该目录中的内容>检测操作>尝试修改，看是否能修改>一般为/etc/httpd目录，默认情况下属主为rootroot,其它用户不能修改文件，默认一般符合要求>严格设置配置文件和日志文件的权限，防止未授权访问。

>chmod 600 /etc/httpd/conf/httpd.conf"设置配置文件为属主可读写，其他用户无权限。

>使用命令〃chmod 644/var/log/httpd/tlog"设置日志文件为属主可读写，其他用户只读权限。

>>日志设置>设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。

>编辑httpd.conf酉己置文件，设置日志记录文件、记录内容、记录格式。

其中，错误日志：1. Log Level notice # 日志的级别2. ErrorLog f.J logs/error_log #日志的保存位置（错误日志）3. 访问日志：4. Log Format %h %1 %u %t \N%r\J, %>s %b Ac cep t }i Ref erer} i\w V*%{User-Agent }iV JM5. combined5. Custom Log /.../logs/ ac c es s_l og combined （访|可日志〉>ErrorLog指令设置错误日志文件名和位置。

Apache认证、授权及访问控制（针对IP地址）一、客户需求要求建设起来的内部网站允许所有员工使用，在公司内部使用时，可以随便查看预览，没有限制。

为了网络安全，员工一旦出差去外地就无法直接访问内网，需要通过一种方式验证，才能看到内网或者特殊栏目。

通过一些其他软件或者设备，完全可以实现，如果客户的需求只是这样，有不要求非常严格。

可以采用Apache软件来限制就可以了。

二、简单概述其实就是利用apache程序作详细配置，实现不同地区，不同访问者用IP段限制、登陆名的方法访问网站，在特殊的地区（针对IP地址）不需要任何限权，直接访问网站；其他位置的地区，授权用户则需要事先分配的登陆名和密码登陆，其他人则无权访问。

1、示意图：2、Apache程序配置控制的流程图：所有限制都在apache里配置完成，访问网站前先通过apache判断。

由apache事先配置的相关约束条件来选择性的访问网站。

三、Apache相应文件配置修改涉及模块mod_accessmod_authmod_auth_mysql要在httpd.conf里先找到相应的命令行，去掉前面的#1、Red Hat Linux配置httpd.conf文件找到/conf/httpd.conf此内容为代理一个网站，指向一个本地目录的最简单配置：安装好apache程序，一般默认情况下前面是带#，表示注释掉了，不起作用，需要将相应的命令行前去掉，开启命令。

<VirtualHost *>ServerName //指定地址ServerAlias 211.90.115.220 //允许执行一个特定目录中的CGI程序Action application/x-httpd-fastphp /fcgi-php43/php //加载php4模块DocumentRoot /data/www/hanweb/sites/newhanweb //指向网站的物理地址//这里还有好多代码需要大家学习，例如我们的静态网站下需要模个程序模块，就需要做一个代理来加载。

Apache提供了多种的安全控制手段，包括设置Web访问控制、用户登录密码认证及.htaccess 文件等。

通过这些技术手段，可以进一步提升Apache服务器的安全级别，减少服务器受攻击或数据被窃取的风险。

16.5.1 访问控制设置访问控制是提高Apache服务器安全级别最有效的手段之一，但在介绍Apache的访问控制指令前，先要介绍一下Diretory段。

Diretory段用于设置与目录相关的参数和指令，包括访问控制和认证，其格式如下所示。

<Diretory 目录的路径>目录相关的配置参数和指令</Diretory>每个Diretory段以<Diretory>开始，以</Diretory>结束，段作用于<Diretory>中指定的目录及其里面的所有文件和子目录。

在段中可以设置与目录相关的参数和指令，包括访问控制和认证。

Apache中的访问控制指令有以下3种。

1．Allow指令Allow指令用于设置哪些客户端可以访问Apache，命令格式如下所示。

Allow from [All/全域名/部分域名/IP地址/网络地址/CIDR地址]…q All：表示所有客户端。

q 全域名：表示域名对应的客户端，如。

q 部分域名：表示域内的所有客户端，如。

q IP地址：如172.20.17.1。

q 网络地址：如172.20.17.0/255.255.255.0。

q CIDR地址：如172.20.17.0/24。

%注意：Allow指令中可以指定多个地址，不同地址间通过空格进行分隔。

2．Deny指令Deny指令用于设置拒绝哪些客户端访问Apache，格式跟Allow指令一样。

3．Order指令Order指令用于指定执行访问规则的先后顺序，有两种形式：q Order Allow,Deny：先执行允许访问规则，再执行拒绝访问规则。

q Order Deny,Allow：先执行拒绝访问规则，再执行允许访问规则。

Apache安全配置⽅法令Apache占领Web服务器半壁江⼭的⼀个重要原因就是它可以提供⼀个安全的Web操作环境。

Apache团体为保证其安全性做了⼤量的⼯作。

想当年，在此产品被发现存在⼀个安全缺陷时，Apache的开发⼈员就尽快地搞出了⼀个补丁。

然⽽，即管Apache已经堪称安全的产品，如果你在构建你的服务器时没有采取⼀些安全预防措施，这种Web服务器仍易于受到很多攻击。

在本⽂中，笔者将为你提供10个技巧，借此你可以保护⾃⼰的Apache Web服务器免于受到许多攻击。

不过，必须谨记，你需要仔细地评估每⼀个技巧，以确保其适合于你的组织。

只安装所需要的Apache的⼀个最⼤的特点是其灵活性和⼤量的可选择安装模块，这在涉及到安全问题时可成为⼀个极⼤的弱点。

你安装的越多，也就为潜在的攻击者创造了越⼤的攻击⾯。

⼀个标准的Apache安装包含20多个模块，包括CGI特性，以及⼀些⾝份验证机制。

如果你不打算采⽤CGI，并且你只想采⽤静态的Web 站点，不需要⽤户⾝份验证，你可能就不需要这些模块所提供的任何服务，因此在安装Apache时请禁⽤这些模块。

如果你沿⽤了⼀个正在运⾏的Apache服务器，并且不想重新安装它，就应当仔细检查httpd.conf配置⽂件，查找以LoadModule开头的⾏。

请检查Apache的⽂档（也可以⽤Google、Yahoo等搜索），查找每个模块的⽬的信息，找出那些你并不需要的模块。

然后，重新启动 Apache。

暴露程度最⼩化Apache易于安装并且相当容易管理。

不幸的是，许多Apache的安装由于为完全的陌⽣者提供了关于⾃⼰服务器的太多"有帮助”的信息，例如 Apache的版本号和与操作系统相关的信息。

通过这种信息，⼀个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞，特别是你没有能够保持所有补丁的更新的话情况更为严重。

如此⼀来，攻击者⽆需反复试验就可以确切地知道你在运⾏什么，从⽽可以调整其攻击⽅法。

Apache服务器配置全攻略Apache服务器配置全攻略(一)Apache服务器的设置文件位于/usr/local/apache/conf/目录下，传统上使用三个配置文件httpd.conf,access.conf和srm.conf，来配置Apache服务器的行为。

httpd.conf提供了最基本的服务器配置，是对守护程序httpd如何运行的技术描述；srm.conf是服务器的资源映射文件，告诉服务器各种文件的MIME类型，以及如何支持这些文件；access.conf用于配置服务器的访问权限，控制不同用户和计算机的访问限制；这三个配置文件控制着服务器的各个方面的特性，因此为了正常运行服务器便需要设置好这三个文件。

除了这三个设置文件之外，Apache还使用mime.types文件用于标识不同文件对应的MIME类型， magic文件设置不同MIME类型文件的一些特殊标识，使得Apache 服务器从文档后缀不能判断出文件的MIME 类型时，能通过文件内容中的这些特殊标记来判断文档的MIME类型。

bash-2.02$ ls -l /usr/local/apache/conftotal 100-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default事实上当前版本的Apache将原来httpd.conf、srm.conf与access.conf中的所有配置参数均放在了一个配置文件httpd.conf中，只是为了与以前的版本兼容的原因（使用这三个设置文件的方式来源于NCSA-httpd），才使用三个配置文件。

APACHE用户认证操作流程一、网络环境：login as: rootroot@192.168.21.251's password:[root@localhost ~]# ifconfigeth0 Link encap:Ethernet HWaddr 00:0C:29:50:29:68inet addr:192.168.21.251 Bcast:192.168.21.255 Mask:255.255.255.0 虚拟机IP：192.168.21.251 主机IP：192.168.21.250 能互相PING通二、Selinux[root@localhost ~]# vi /etc/selinux/configSelinux=enforcing --->disabled 或在httpd启动后运行下面的命令：[root@localhost ~]# chcon –R –h –t httpd_sys_content_t /网站目录三、Iptables[root@localhost ~]# service iptables status运行中。

先关闭防火墙[root@localhost ~]# service iptables stop四、建立网站目录及其下的主页[root@localhost ~]# mkdir /home/abc[root@localhost ~]# vi /home/abc/index.html五、编辑/etc/httpd/conf/httpd.conf文件[root@localhost ~]# vi /etc/httpd/conf/httpd.conf端口及首页保持默认值不变，不用更改：57L 134L 390L 746L 不修改，修改280L 305行及以下行内容为：280L DocumentRoot “/home/abc”305L <Directory "/home/abc">Options Indexes FollowSymLinks326L AllowOverride all | authconfig | none 注：大小写无关331L Order allow,deny332L Allow from all</Directory>[root@localhost ~]# service httpd restart[root@localhost home]# chcon -R -h -t httpd_sys_content_t /home/abc此时，网站就可以访问了，在客户机的IE中直接输入IP地址：192.168.21.251。

L i n u x A p a c h e W e b服务器安全设置技巧网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

这篇文章主要介绍了L i n u x A p a c h e W e b服务器安全的8种安全设置技巧,需要的朋友可以参考下方法步骤第一、定期更新系统首先，我们需要确保是已经安装了最新版本和A p a c h e的安全补丁和附加如C G I，P e r l和P H P脚本代码。

我们需要定期更新数据源依赖包操作。

#U b u n t u/D e b i a na p t-g e t u p d a t e;a p t-g e t d i s t-u p g r a d e#F e d o r a/C e n t o s/R e d H a ty u m u p d a t e根据自己的系统环境选择更新升级命令。

第二、设置和保护我们的S S H安全我们在拿到V P S之后，建议修改端口、R O O T密码、以及授权单独的非R O O T用户权限管理，或者我们也可以采用密钥的方式登录S S H客户端管理V P S。

比如可以参考设置P u t t y S S H使用密钥登录L i n u x V P S主机和X s h e l l设置密钥登录确保L i n u x V P S及服务器更加安全文章设置密钥登陆。

第三、禁用未使用的服务为了确保我们的W e b服务器安全，建议你检查服务器上所有正在运行的服务和开放的端口，禁用我们不需要在服务器上的所有服务。

#要显示所有服务 s e r v i c e--s t a t u s-a l l#显示所有的端口规则 i p t a b l e s-L#显示所有的运行信息(r e d h a t/c e n t o s/f e d o r a)c h k c o n f i g--l i s t#检查/e t c/i n i t.d是否有可疑脚本 l s /e t c/i n i t.d 第四、禁用不必要的A p a c h e模块默认情况下，A p a c h e很多模块都开启的，但是有些并不需要使用，我们可以关闭和精简。

Apache htaccess 用户认证配置首先我们要把 Apache 服务装好：包名为：httpd用 yum 安装为：yum install httpd然后迚入：cd /var/www/html 下创建一个 down 的文件夹：mkdir down然后迚入 down输入命令：cd down在 down 的文件夹中 touch 几个文本。

一会我们访问的时候就可以看见了。

这里我们 touch 3个 txt 文本touch 1.txttouch 2.txttouch 3.txt创建好之后重启 Apache 服务：service httpd restart然后到 IE 浏览器中输入虚拟机的 IP 地址和 down 路径就可以查看到刚才创建的 3 个文本了见下图：输入：192.168.1.111/down打开后说明配置没有问题。

可以正常访问然后添加 tom 和 jack 用户：见下图：这里注意第一次创建用户的时候输入的命令要带 -c下面再创建的用户千万不要带 -c什么参数都不用带否则就把前面的 tom 给覆盖了等于创建很多遍系统中就最后创建的那一个账户创建好用户之后输入命令：cat /etc/httpd/conf/users 查看用户是否创建下面我们打开 Apache 主配置文件。

在里面加入一段 <Directory> 保存退出后重启服务：见下图:这里需要注意的是<Directory / > 这里是上面创建的 down 文件夹的路径AuthName：“这里面是欢迎语言”（本地域名）valid-user：允许用户用合法的方法迚入操作此 <Directory> 本人习惯放在配置文件最后。

便于查看保存退出后需要重启服务生效：service httpd restart下面我们打开浏览器：输入路径：192.168.1.111/down服务如果生效了会提示我们输入用户名和密码：我们看见上面还有我们在主配置文件里面输入的“ AuthName ”的欢迎语之前我们创建了 2 个用户：tom 和 jack下面我们试着用这 2 个用户迚行登陆:我们输入 tom 和密码：然后点击确定成功登陆打开如下界面在这里我就不用 jack 试验了方法就是这样。

Apache默认使用basic模块验证，都是明文传输，不太安全，所以本文使用Digest 来验证，以提高安全性。

1.Apache配置：A、目录权限配置Alias /nagios "/usr/local/nagios/share"<Directory "/usr/local/nagios/share">Options NoneAllowOverride NoneOrder allow,denyAllow from all</Directory>B、认证配置<Location /nagios>AuthType DigestAuthName "Nagios Access"AuthDigestDomain /nagios http://192.168.0.205/nagios AuthDigestProvider fileAuthUserFile /usr/local/nagios/etc/ersRequire valid-user</Location>C、认证模块配置查看httpd.conf里面是否有LoadModule auth_digest_module modules/mod_auth_digest.so和LoadModule auth_basic_module modules/mod_auth_basic.so首先确认要有mod_auth_digest.so，这个没有就要重新编译apache了。

其次确保把mod_auth_basic.so这行给注释掉。

因为apache默认是用basic来认证的，如果不注释的话，即使你配置好了digest认证，也不会成功2.创建密码文件htdigest -c /usr/local/nagios/etc/ers "Nagios Access" nagiosadminAdding password for nagiosadmin in realm Nagios Access.New password:Re-type new password:这句命令里面有几个要注意的，我测试了好长时间才发现。

《组网技术》 第06课1．教学目的：使学生熟练掌握Linux环境常规与高级WEB服务和配置、验证方法。

使学生了解Linux环境LAMP及HTTPS相关知识2．教学内容：⑴Apache 常规服务器的配置⑵站点配置后的一般检测步骤和方法⑶Apache 高级服务器的配置⑷LAMP模型⑸实现HTTPS3．内容难点：配置Apache 虚拟主机Apache访问控制与安全网站4．学习要求：理解Web服务器的概念，正确建立和配置WEB 服务器。

在客户端检验WEB 服务器。

5．教学纲要㈠ Apache服务器非图形工具配置方法从上一讲中Apache服务器图形工具配置方法中可以知道，Apache服务器的核心配置文件是/etc/httpd.conf/conf/httpd.conf。

httpd.conf是Apache服务器中最核心的配置文件，大部分的设置都是通过该文件来完成的。

httpd.conf文件的内容非常多，其中包含很多的注释与说明，用来告诉读者可以提供哪些功能以及用法等。

从下图中Apache服务器图形工具配置的界面可以领略到httpd.conf文件的内容。

还有一些隐性的设置不能从中解读到。

主要的几种配置参数①Apache服务器根目录设置字段ServerRoot本字段用来设置Apache服务器的配置文件、错误文件和日志文件的存放目录。

默认情况下为：ServerRoot "/etc/httpd"可以根据需要进行修改。

②Apache服务器客户端连接数限制字段MaxClients<IfModule prefork.c>StartServers 8MinSpareServers 5MaxSpareServers 20ServerLimit 256MaxClients 256MaxRequestsPerChild 4000</IfModule>③设置主机名称字段ServerNameServerName字段定义服务器名称和端口号，用以标明自己的身份。

如何在Apache服务器上配置SSL证书，保障网站安全SSL证书是一种数字证书，用于对网站进行加密通信，确保网站和用户之间的数据传输安全。

SSL证书不仅能保护敏感数据的传送，还能提高网站的信誉度和用户体验。

在本文中，我们将介绍如何在Apache服务器上配置SSL证书，以确保网站安全。

一、获取SSL证书在开始安装SSL证书之前，您需要先获取SSL证书。

SSL证书可以通过多种方式获取，如购买，自签名和免费颁发机构。

其中，购买的证书是最安全和可信的。

您可以从各大证书颁发机构购买SSL证书，如DigiCert、GlobalSign、Symantec等。

如果您想尝试自签名SSL证书，可以使用OpenSSL工具生成。

命令如下：```bashopenssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout\/etc\/ssl\/private\/apache.key -out\/etc\/ssl\/certs\/apache.crt```其中，\/etc\/ssl\/private\/apache.key是生成的私钥文件路径，\/etc\/ssl\/certs\/apache.crt是生成的证书文件路径。

二、安装SSL证书以下是在Apache服务器上安装SSL证书的步骤：1. 在Apache服务器上安装SSL模块SSL模块是Apache服务器中负责加密通信的模块。

如果您使用的是Apache 2.4.x版本，则SSL模块已默认安装；如果您使用的是Apache 2.2.x版本，则需要手动安装SSL模块。

可以使用以下命令安装：```bashapt-get install libapache2-mod-ssl```2. 将SSL证书和私钥文件复制到服务器将生成的证书和私钥文件复制到服务器的指定目录。

一般情况下，证书文件存放在\/etc\/ssl\/certs\/目录，私钥文件存放在\/etc\/ssl\/private\/目录。

保证LinuxApacheWeb服务器安全的10个建议如果你是⼀个系统管理员，你应该按照以下的10点建议来保证 web服务器的安全。

1、禁⽤不必要的模块如果你打算，你应该禁⽤以下的模块。

如果你运⾏./configure -help，你将会看到所有可⽤的你可以禁⽤/开启的模块。

userdir –⽤户特定⽤户的请求映射。

例如：带⽤户名的URL会转化成服务器的⼀个⽬录。

autoindex – 当没有默认⾸页（如index.html）时显⽰⽬录列表。

status –显⽰服务器统计env – 清除或修改环境变量setenvif –根据客户端请求头字段设置环境变量cgi –CGI脚本actions – 根据特定的媒体类型或请求⽅法，激活特定的CGI脚本negotiation –提供内容协商⽀持alias – 提供从⽂件系统的不同部分到⽂档树的映射和URL重定向include –实现服务端包含⽂档(SSI)处理filter –根据上下⽂实际情况对输出过滤器进⾏动态配置version –提供基于版本的配置段⽀持asis – 发送⾃⼰包含HTTP头内容的⽂件当你执⾏./configure按照下⾯禁⽤以上的所有模块。

1. ./configure \2. --enable-ssl \3. --enable-so \4. --disable-userdir \5. --disable-autoindex \6. --disable-status \7. --disable-env \8. --disable-setenvif \9. --disable-cgi \10. --disable-actions \11. --disable-negotiation \12. --disable-alias \13. --disable-include \14. --disable-filter \15. --disable-version \16. --disable-asis如果激活ssl且禁⽤mod_setenv，你将会得到以下错误。

Web 服务器也称为WWW 服务器或HTTP服务器（HTTP Server），它是Internet 上最常见也是使用最频繁的服务器之一，Web 服务器能够为用户提供网页浏览、论坛访问等等服务。

由于用户在通过Web 浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而Web 在Internet 上一推出就得到了爆炸性的发展。

现在Web 服务器已经成为Internet 上最大的计算机群，Web 文档之多、链接的网络之广，也令人难以想像。

因此，Web 服务器软件的数量也开始增加，Web 服务器软件市场的竞争也越来越激烈。

本文所讨论的就是一款最常用的Web 服务器软件——Apache.Apache 是一个免费的软件，用户可以免费从Apache 的官方网站下载。

任何人都可以参加其组成部分的开发。

Apache 允许世界各地的人对其提供新特性。

当新代码提交到Apache Group 后，Apache Group 对其具体内容进行审查并测试和质量检查。

如果他们满意，该代码就会被集成到Apache 的主要发行版本中。

Apache 的其他主要特征有：支持最新的HTTP 协议：是最先支持HTTP1.1 的Web 服务器之一，其与新的HTTP 协议完全兼容，同时与HTTP1.0、HTTP1.1 向后兼容。

Apache 还为支持新协议做好了准备。

简单而强大的基于文件的配置：该服务器没有为管理员提供图形用户界面，提供了三个简单但是功能异常强大的配置文件。

用户可以根据需要用这三个文件随心所欲地完成自己希望的Apache 配置。

支持通用网关接口（CGI）：采用mod_cgi 模块支持CGI.Apache 支持CGI/1.1 标准，并且提供了一些扩充。

支持虚拟主机：是首批既支持IP虚拟主机又支持命名虚拟主机的Web 服务器之一。

支持HTTP 认证：支持基于Web 的基本认证。

它还有望支持基于消息摘要的认证。

apache shiro的认证流程Apache Shiro是一个强大且灵活的开源安全认证和授权框架，可用于保护Java应用程序的安全性。

它提供了易于使用的API和清晰的认证流程，使开发者能够轻松地实现用户认证和访问控制。

Apache Shiro的认证流程主要包括以下几个步骤：1. 配置安全策略在开始使用Apache Shiro进行认证之前，首先需要配置应用程序的安全策略。

这些策略包括定义用户的角色和权限，以及指定应用程序的安全规则。

可以通过配置文件或编程方式来定义安全策略。

2. 用户身份验证当用户尝试登录应用程序时，Apache Shiro首先会检查用户提供的身份凭证。

身份凭证可以是用户名/密码组合、API密钥或其他自定义方式。

开发者可以根据应用程序的需求自定义身份认证方法。

3. 身份凭证的匹配验证Apache Shiro将用户提供的身份凭证与事先配置的身份存储进行匹配验证。

身份存储可以是数据库、LDAP、文件或其他类型的数据源。

Shiro提供了各种Realm来处理不同类型的身份存储，并提供了默认的实现。

4. 身份验证过程一旦身份凭证与身份存储进行匹配验证成功，Apache Shiro将创建一个Subject对象来表示已验证的用户。

Subject对象封装了与用户相关的信息和操作，如用户名、角色和权限。

Subject对象可以在应用程序的任何地方使用，以便进行访问控制和安全操作。

5. 认证结果处理认证结果可以根据业务需求进行处理。

如果认证成功，可以将用户重定向到特定页面或执行其他操作。

如果认证失败，可以向用户显示错误消息并提供重新尝试登录。

6. 访问控制一旦用户通过身份验证，Apache Shiro还可以用于实现访问控制。

开发者可以定义角色和权限，并在应用程序中使用注释或编程方式进行访问控制。

Shiro提供了各种功能强大的注解，如@RequiresAuthentication、@RequiresRoles和@RequiresPermissions，以简化访问控制的实现。

Apache服务器安全认证攻略Apache服务器攻略Apache是目前流行的Web服务器，可运行在linux、Unix、Windows等操作系统下，它可以很好地解决“用户名＋密码”的认证问题。

Apache用户认证所需要的用户名和密码有两种不同的存贮方式：一种是文本文件；另一种是MSQL、Oracle、MySQL等数据库。

下面以Linux的Apache为例，就这两种存贮方式，同时能对Windows 的Apache用户认证作简要的说明。

下面我们来介绍下通过文本认证而实现的方式。

建立用户的认证授权需要三个步骤：1、建立用户库2、配置服务器的保护域3、告诉服务器哪些用户拥有资源的访问权限废话不多少举例最清楚拉！~假如某一目录下的文件如/home/ftp/pub需要做到用户认证创建认证用户创建认证组基本的Apache用户认证方法：在httpd.conf中加入下面的行或者加到 /etc/httpd/conf.d/ 新建个文件名为.conf结尾的配置文件用在目录/home/ftp/pub下放文件.htaccess，内容如下：用随Apache来的程序htpasswd 生成文件/etc/.passwd,每行一个用户名：密码只要能提供正确的用户名和密码对，就允许登录访问，这是针对任何地址来的请求都要求提供用户名和密码认证。

针对部分网段或地址要求认证。

若公司LAN所在网段为10.45.63.0/24，且有一防火墙专线接入Internet,内部网卡的地址为10.45.63.1/32,则现在希望所有通过拨本地633通过防火墙上的apache反向代理向LAN上的另一WWW服务器访问时需要认证，而本地LAN上的用户不需认证。

可以在httpd.conf中放入：且在/home/ftp/pub/.htaccess中放入：对同一目录及其下的子目录有不同的权限，仅某些人可以存取一目录下的子目录。

如有一目录/home/ftp/pub/host,有三个用户user1,user2,user3都需要用户名和密码进入/home/ftp/pub，但仅user1,user2能进入/home/ftp/pub/host.则放下面的行到httpd.conf且看/home/ftp/pub/.htaccess为：AuthName "shared files"AuthType BasicAuthUserFile /etc/.passwdrequire valid-user且看/home/ftp/pub/host/.htaccessAuthName "shared files"AuthType BasicAuthUserFile /etc/.passwdAuthGroupFile /etc/.hostgrouprequire group manager且文件/etc/.passwd内容为：user1:passwd1user2:passwd2user3:passwd3且文件/etc/.hostgroup内容为：manager: user1 user2。

Apache服务器配置及安全应用指南技术创新变革未来Apache服务安全加固一.账号设置以专门的用户帐号和组运行Apache。

根据需要为Apache 创建用户、组参考配置操作如果没有设置用户和组，则新建用户，并在Apache 配置文件中指定(1) 创建apache 组：groupadd apache(2) 创建apache 用户并加入apache 组：useradd apache –g apache(3) 将下面两行加入Apache 配置文件httpd.conf中检查httpd.conf配置文件。

检查是否使用非专用账户(如root)运行apache默认一般符合要求，Linux下默认apache或者nobody用户，Unix默认为daemon用户Apache服务安全加固授权设置严格控制Apache主目录的访问权限，非超级用户不能修改该目录中的内容Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中应为：判定条件非超级用户不能修改该目录中的内容检测操作尝试修改，看是否能修改一般为/etc/httpd目录，默认情况下属主为root:root，其它用户不能修改文件，默认一般符合要求 严格设置配置文件和日志文件的权限，防止未授权访问。

chmod600 /etc/httpd/conf/httpd.conf”设置配置文件为属主可读写，其他用户无权限。

使用命令”chmod644 /var/log/httpd/*.log”设置日志文件为属主可读写，其他用户只读权限。

/etc/httpd/conf/httpd.conf默认权限是644，可根据需要修改权限为600。

/var/log/httpd/*.log默认权限为644，默认一般符合要求。

Apache服务安全加固日志设置设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP 地址等内容。