因为我的服务器是2008的且是64位的windows下apache的权限设置,这里只说Windows下Apache应用环境相关的目录权限设置,至于其他基本的服务器目录权限设置就不提啦!
公司主营业务:成都网站制作、网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。创新互联公司是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联公司推出延庆免费做网站回馈大家。
这个是我的服务器实际进行配置的环境配置情况:
apache安装目录:d:www-sapache
php目录:d:www-sphp5
mysql目录:d:www-smysql
网站根目录:d:www\htdocs\chaodiquan.com 抄底专门为运行Apache运行所使用的用户:apache-u(可不隶属于任何用户组)Windows下Apache应用环境塔建目录安全设置操作步骤:配置目录权限 这里的权限是重点
Apache所在的根目录(也就是D盘),只需要读取的权限,并且这个读取权限不需要继承到子目录与文件(可以在权限设置高级里选择——应用到:只有该文件夹——权限:列出文件夹/读取数据, 读取属性,读取扩展属性,读取权限——确定)。
Apache安装目录的上级目录(d:www-s),需要“读取”的权限(和根目录D盘的权限雷同)。
Apache安装目录,需要“列出文件夹目录”和“读取”的权限(可以为了方便使用继承)。
Apache安装目录下的子目录权限设置
“bin”和“modules”目录需要“读取和运行”、“列出文件夹和目录”、“读取”的权限。
“logs”目录需要“列出文件夹和目录”、“读取”、“写入”的权限(若Apache安装目录的权限使用啦继承,可只添加“写入”权限即可)。
到这里Apache的权限已经设置完毕,接下来设置PHP的权限
PHP目录(PHP5)可简单的设置为“读取和运行”、“列出文件夹和目录”、“读取”的权限。
Mysql目录下的bin文件夹和文件(mysql)需要为添加apache用户的“遍历文件夹和运行文件”、“列出文件夹和读取数据”的权限(可以在权限高级设置里找到)。
到这里Apache+Mysql+Php已经基本可以使用,接着配置网站根目录权限
网站根目录(www内)的上级目录www需要读取(“列出文件夹和读取数据”、“读取属性”、“读取扩展属性”、“读取权限”)的权限(和Apache的上级目录权限雷同,不需要继承到子目录和文件中去)。
网站根目录(htdocs)可简单的设置“读取”权限就可以啦(然后可以根据需要对缓存文件夹设置可写权限)。
到这里Apache+PHP+Mysql的环境受限制权限设置基本完成。
为Apache服务启用受限制用户
进入服务管理器(Services.msc,或者“我的电脑——属性——管理——服务”),找到Apache的服务项(Apache2.2),设置属性,登录用户选择受限用户(Apache-u)输入受限用户的密码,应用,确定。
这里“确定”之后一般会有提示(已授予账户.apache-u“以服务方式登录”的权利)。这个提示相当于在组策略(开始-管理工具
-本地安全策略,或者使用gpedit.msc打开)中的“用户权利分配”中选择“作为服务登陆”,添加apache-u用户。
可在任务管理器中查看httpd.exe进程的用户名为apache-u,使用PHP+Mysql的程序都可正常运行。
到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。
配置apache19服务器需要修改的配置文件为:
1、httpd.conf:Apache服务器的主配置文件,用来配置全局服务器参数。
2、mime.types:MIME类型文件,用来定义每种文件的MIME类型。
3、access.conf:用来控制用户访问权限,主要用于安全限制。
4、srm.conf:用于配置服务器资源管理,可用来设置虚拟主机。
5、httpd-vhosts.conf:用于配置多个虚拟主机的文件。
6、httpd-default.conf:Apache服务器的默认配置文件,用于设置Apache服务器的默认参数。
7、httpd-ssl.conf:用于设置SSL服务器参数。
8、httpd-info.conf:用于检查Apache服务器信息。
9、httpd-manual.conf:用于配置Apache手册服务器参数。
10、logs.conf:Apache服务器的日志配置文件,用于记录服务器的日志信息。
如果你是一个系统管理员,你应该按照以下的10点建议来保证Apache web服务器的安全。 1、禁用不必要的模块 如果你打算源码编译安装apache,你应该禁用以下的模块。如果你运行./configure -help,你将会看到所有可用的你可以禁用/开启的模块。 userdir –用户特定用户的请求映射。例如:带用户名的URL会转化成服务器的一个目录。 autoindex – 当没有默认首页(如index.html)时显示目录列表。 status –显示服务器统计 env – 清除或修改环境变量 setenvif –根据客户端请求头字段设置环境变量 cgi –CGI脚本 actions – 根据特定的媒体类型或请求方法,激活特定的CGI脚本 negotiation –提供内容协商支持 alias – 提供从文件系统的不同部分到文档树的映射和URL重定向 include –实现服务端包含文档(SSI)处理 filter –根据上下文实际情况对输出过滤器进行动态配置 version –提供基于版本的配置段支持 asis – 发送自己包含HTTP头内容的文件 当你执行./configure按照下面禁用以上的所有模块。 ./configure \ --enable-ssl \ --enable-so \ --disable-userdir \ --disable-autoindex \ --disable-status \ --disable-env \ --disable-setenvif \ --disable-cgi \ --disable-actions \ --disable-negotiation \ --disable-alias \ --disable-include \ --disable-filter \ --disable-version \ --disable-asis 如果激活ssl且禁用mod_setenv,你将会得到以下错误。 错误: Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf: Invalid command ‘BrowserMatch’, perhaps misspelled or defined by a module not included in the server configuration 解决方案:如果你使用ssl,不要禁用setenvif模块。或者你禁用setenvif模块,可以在httpd-ssl.conf注释BrowserMatch。 安装完成全,执行httpd -l,会列出所有已安装的模块。 # /usr/local/apache2/bin/httpd -l Compiled in modules: core.c mod_authn_file.c mod_authn_default.c mod_authz_host.c mod_authz_groupfile.c mod_authz_user.c mod_authz_default.c mod_auth_basic.c mod_log_config.c mod_ssl.c prefork.c http_core.c mod_mime.c mod_dir.c mod_so.c 在这个例子里,我们安装了如下apache模块: core.c –Apache核心模块 mod_auth* –各种身份验证模块 mod_log_config.c –允许记录日志和定制日志文件格式 mod_ssl.c – SSL prefork.c – 一个非线程型的、预派生的MPM httpd_core.c – Apache核心模块 mod_mime.c – 根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码) mod_dir.c – 指定目录索引文件以及为目录提供”尾斜杠”重定向 mod_so.c – 允许运行时加载DSO模块 2、以单独的用户和用户组运行Apache Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如:用户apache。 创建apache用户组和用户。 groupadd apache useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache 更改httpd.conf,正确地设置User和Group。 # vi httpd.conf User apache Group apache 之后重启apache,执行ps -ef命令你会看到apache以“apache”用户运行(除了第一个都是以root运行之外)。 # ps -ef | grep -i http | awk ‘{print $1}’ root apache apache apache apache apache 3、限制访问根目录(使用Allow和Deny) 在httpd.conf文件按如下设置来增强根目录的安全。 Options None Order deny,allow Deny from all 在上面的: Options None –设置这个为None,是指不激活其它可有可无的功能。 Order deny,allow – 这个是指定处理Deny和Allow的顺序。 Deny from all –阻止所有请求。Deny的后面没有Allow指令,所以没人能允许访问。 4、为conf和bin目录设置适当的权限 bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个组是一个不错的授权方法。 下面我们设置这个组为:apacheadmin 创建组: groupadd apacheadmin 允许这个组访问bin目录。 chown -R root:apacheadmin /usr/local/apache2/bin chmod -R 770 /usr/local/apache2/bin 允许这个组访问conf目录。 chown -R root:apacheadmin /usr/local/apache2/conf chmod -R 770 /usr/local/apache2/conf 增加合适的用户到这个组。 # vi /etc/group apacheadmin:x:1121:user1,user2 5、禁止目录浏览 如果你不关闭目录浏览,用户就能看到你的根目录(或任何子目录)所有的文件(目录)。 比如,当他们浏览http://{your-ip}/images/而images下没有默认首页,那么他们就会在浏览器中看到所有的images文件(就像ls -l输出)。从这里他们通过点击就能看到私人的图片文件,或点点击子目录看到里面的内容。 为了禁止目录浏览,你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在该目录删除这个特性。 Indexes选项会在浏览器显示可用文件的列表和子目录(当没有默认首页在这个目录)。所以Indexes应该禁用。 Options None Order allow,deny Allow from all (or) Options -Indexes Order allow,deny Allow from all 6、禁用.htaccess 在htdocs目录下的特定子目录下使用.htaccess文件,用户能覆盖默认apache指令。在一些情况下,这样不好,应该禁用这个功能。 我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。 Options None AllowOverride None Order allow,deny Allow from all 7、禁用其它选项 下面是一些Options指令的可用值。 Options All –所有的选项被激活(除了MultiViews)。如果你不指定Options指令,这个是默认值。 Options ExecCGI –执行CGI脚本(使用mod_cgi)。 Options FollowSymLinks –如果在当前目录有符号链接,它将会被跟随。 Options Includes –允许服务器端包含文件(使用mod_include)。 Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。 Options Indexes –允许目录列表。 Options MultiViews -允许内容协商多重视图(使用mod_negotiation) Options SymLinksIfOwnerMatch –跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有者是才被允许。 绝不要指定“Options All”,通常指定上面的一个或多个的选项。你可以按下面代码把多个选项连接。 Options Includes FollowSymLinks 当你要嵌入多个Directory指令时,“+”和“-”是有用处的。也有可能会覆盖上面的Directory指令。 如下面,/site目录,允许Includes和Indexes。 Options Includes Indexes AllowOverride None Order allow,deny Allow from all 对于/site/en目录,如果你需要继承/site目录的Indexes(不允许Includes),而且只在这个目录允许FollowSymLinks,如下: Options -Includes +FollowSymLink AllowOverride None Order allow,deny Allow from all /site目录允许IncludesIndexes /site/en目录允许Indexes和FollowSymLink 8、删除不需要的DSO模块 如果你加载了动态共享对象模块到apache,他们应该在httpd.conf文件在“LoadModule”指令下。 请注意静态编译的Apache模块是不在“LoadModule”指令里的。 在httpd.conf注释任何不需要的“LoadModules”指令。 grep LoadModule /usr/local/apache2/conf/httpd.conf 9、限制访问特定网络(或IP地址) 如果你需要只允许特定IP地址或网络访问你的网站,按如下操作: 只允许特定网络访问你的网站,在Allow指令下给出网络地址。 Options None AllowOverride None Order deny,allow Deny from all Allow from 10.10.0.0/24 只允许特定IP地址访问你的网站,在Allow指令下给出IP地址。 Options None AllowOverride None Order deny,allow Deny from all Allow from 10.10.1.21 10、禁止显示或发送Apache版本号(设置ServerTokens) 默认地,服务器HTTP响应头会包含apache和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。 Server:Apache/2.2.17 (Unix) PHP/5.3.5 为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。 # vi httpd.conf ServerTokens Prod 下面是ServerTokens的一些可能的赋值: ServerTokens Prod 显示“Server:Apache” ServerTokens Major 显示 “Server:Apache/2″ ServerTokens Minor 显示“Server:Apache/2.2″ ServerTokens Min d显示“Server:Apache/2.2.17″ ServerTokens OS 显示 “Server:Apache/2.2.17 (Unix)” ServerTokens Full 显示 “Server:Apache/2.2.17 (Unix) PHP/5.3.5″ (如果你这指定任何的值,这个是默认的返回信息) 除了上面10个apache的安全建议,你还必要确保你的UNIX/Linux操作系统的安全。如果你的操作系统不安全,那么只是确保apache的安全就没有任何意义了。通常的我们要保持apache版本的更新,最新的apahce版本会修复所有已知的安全问题。还有就是要确保时常查看apache日志文件。