Apache Web服务的安全配置.doc

Apache Web服务的安全配置作为最流行的Web服务器，Apache?Server提供了较好的安全特性，使其能够应对可能的安全威胁和信息泄漏。??????1、?采用选择性访问控制和强制性访问控制的安全策略????从Apache?或Web的角度来讲，选择性访问控制DAC（Discretionary?Access?Control）仍是基于用户名和密码的，强制性访问控制MAC（Mandatory?Access?Control）则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式，如输入错误，那么用户还有机会更正，从新输入正确的的密码；如果用户通过不了MAC关卡，那么用户将被禁止做进一步的操作，除非服务器作出安全策略调整，否则用户的任何努力都将无济于事。????２、Apache?的安全模块????Apache?的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。安全模块是Apache?Server中的极其重要的组成部分。这些安全模块负责提供Apache?Server的访问控制和认证、授权等一系列至关重要的安全服务。????mod_access模块能够根据访问者的IP地址（或域名，主机名等）来控制对Apache服务器的访问，称之为基于主机的访问控制。????mod_auth模块用来控制用户和组的认证授权（Authentication）。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息（如名称、组属和口令等）存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。????mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。????mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。????SSL（Secure?Socket?Lager），被Apache所支持的安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是，Apache的这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序的结合提供安全的网上交易支持。Apache具有灵活的设置，所有Apache的安全特性都要经过周密的设计与规划，进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面，有运行环境、认证与授权设置等。Apache的安装配置和运行示例如下：????1、以Nobody用户运行????一般情况下，Apache是由Root?来安装和运行的。如果Apache?Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache?Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache?达到相对安全的目的。User?nobodyGroup#?-1????2、ServerRoot目录的权限????为了确保所有的配置是适当的和安全的，需要严格控制Apache?主目录的访问权限，使非超级用户不能修改该目录中的内容。Apache?的主目录对应于Apache?Server配置文件httpd.conf的Server?Root控制项中，应为：????Server?Root?/usr/local/apache????3、SSI的配置????在配置文件access.conf?或httpd.conf中的确Options指令处加入Includes?NO?EXEC选项，用以禁用Apache?Server?中的执行功能。避免用户直接执行Apache?服务器中的执行程序，而造成服务器系统的公开化。????Directory?/home/*/public_html????Options?Includes?Noexec????/Directory????4、阻止用户修改系统设置????在Apache?服务器的配置文件中进行以下的设置，阻止用户建立、修改?.htaccess文件，防止用户超越能定义的系统安全特性。????Directory?/????AllowOveride?None????Options?None????Allow?from?all????/Directory????然后再分别对特定的目录进行适当的配置。????5、改变Apache?服务器的确省访问特性????Apache?的默认设置只能保障一定程度的安全，如果服务器能够通过正