apache安全配置

　　Apache是世界使用排名第一的Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一，那么你知道apache安全配置嗎?下面是學習啦小編整理的一些關于apache安全配置的相關資料，供你參考。

　　apache安全配置1 安全策略

　　1.1 安全目錄

　　.htaccess做目錄安全保護的，欲讀取這保護的目錄需要先鍵入正確用戶帳號與密碼。這樣可做為專門管理網頁存放的目錄或做為會員區等。

　　AllowOverride All

　　LoadModule rewrite_module modules/mod_rewrite.so

　　在自動要認證的目錄下建立. htaccess文本(windows中用記事本另存為建立)

　　1.1.1 .htaccess配置：

　　(.htaccess文件可以相當于當前目錄的httpd.conf配置，設置時尤其注意.htaccess文件的訪問權限，避免被有心人惡意修改，后果不堪設想)

　　AuthName HIHIHI指的是要求你輸入用戶名和密碼時的提示信息

　　AuthType Basic表示需要的認證類型

　　AuthUserFile c:\ss指的是保存用戶名和密碼的文件位置(.htpasswd)，在這個例子中指的是.htpasswd文件，位置和我們的.htaccess文件相同

　　Require valid-user指定只有.htpasswd文件包含的合法用戶才能訪問。

　　1.1.2 .htpasswd配置

　　用戶名:密碼

　　aaa:aaa

　　不一定在.htaccess文件下配置，也可以在httpd.conf(主配置)下進行配置，這樣可以提高apache工作效率，否則客戶端訪問Web是Apache都會在每一個目錄下尋找.htaccess文件，會降低Apache效率，而且.htaccess被有心人修改了就危險了

　　1.2 錯誤頁面

　　ErrorDocument 500 "The server made a boo boo."

　　ErrorDocument 404 /missing.html

　　ErrorDocument 404 "/cgi-bin/missing_handler.pl"

　　ErrorDocument 402 http://www.js.com/subscription_info.html

　　apache安全配置2 安全隱患

　　2.1 目錄泄露

　　Options -Indexes FollowSymLinks

　　AllowOverrride None

　　Order allow,deny

　　Allow from all

　　在Indexes前加-或去掉

　　2.2 符號連接追蹤

　　Options Indexes -FollowSymLinks

　　AllowOverrride None

　　Order allow,deny

　　Allow from all

　　在FollowSymLinks前加-或去掉

　　2.3 Listen指令具體化

　　httpd.conf包含一個"Listen 80”指令。應將其改變為指定邦定的IP，如果在多IP的環境下尤其注意

　　2.4 版本泄露

　　在httpd.conf中添加：

　　ServerTokens ProductOnly

　　ServerSignature Off

　　2.5 運行權限

　　Apache在windows中的默認運行權限是系統權限，若黑客找到漏洞，就可以將整個服務控制，所以必須將Apache運行權限降到最低，這樣可以避免發生安全事故

　　2.6 清除httpd.conf中默認的注釋

　　在這400行中，只有一小部分是實際的Apache指令，其余的僅是幫助用戶如何恰當地在httpd.conf中放置指令的注釋。根據筆者的經驗，這些注釋有時起負面作用，甚至將危險的指令留存于文件中。筆者在所管理的許多 Apache服務器上將httpd.conf文件復制為其它的文件，如httpd.conf.orig等，然后完全清除多余的注釋。文件變得更加容易閱讀，從而更好地解決了潛在的安全問題或者錯誤地配置文件。

　　2.7 欺騙攻擊者

　　修改版本名：

　　修改系統名：

　　2.8 apache解析漏洞：

　　Order Allow,Deny

　　Deny from all

　　2.9 apache設置上傳目錄無執行權限

　　關閉路徑/www/home/upload的php解析：

　　Order allow,deny

　　Deny from all

　　2.10 apache限制目錄

　　php_admin_value open_basedir /var/www

　　2.11 http 請求方法安全

　　OPTIONS 方法可以檢測出當前資源可以請求的方法，關閉該方法的配置：

　　Deny from all

　　2.12 不允許訪問指定擴展名

　　Order allow,deny

　　Deny from all

　　2.13 禁止訪問某些指定目錄

　　Order allow,deny

　　Deny from all

　　2.14 通過文件匹配進行禁止

　　Order allow,deny

　　Deny from all

　　2.15 禁止針對URL相對路徑的訪問

　　Order allow,deny

　　Deny from all

　　apache安全配置3 其他安全配置

　　3.1 Options

　　Options參數代表的意思

　　ALL用戶可在此目錄中做任何事

　　ExecCGI允許在此目錄中執行CGI script

　　FollowSymLinksSever可利用symbolic link鏈接到不在此目錄中的檔案或目錄

　　IndexesSever可以產生此目錄中的檔案列表

　　Includes提供SSI的功能

　　IncludesNOEXEC可使用SSI功能，但取消#exec與#include 的CGI 功能

　　MultiViews允許經由交談而取得不同的文件，例如可由瀏覽器要求傳送法文版的網頁`

　　None安全不允許存取此目錄

　　SymLinkslfOwnerMatch允許存取symbolic links鏈接的目錄，但僅限于該目錄的擁有人

　　3.2 AllowOverride

　　AllowOverride None表示不要讀取.htaccess文檔

　　AllowOverride AuthConfig允許做基本的用戶名和口令驗證

　　AllowOverride Allall表示以.htaccess的內容為準，改變原來的訪問權限

　　3.3 Location

　　# ←與類似，但是是用來限制URL

　　#SetHandler server-status

　　#order deny,allow

　　#deny from all

　　#allow from .your_domain.com

　　#

　　# ←此區塊可顯示出服務程序的設定，必須有加入mod_info.c模塊才有作用

　　#SetHandler server-info

　　#order deny.allow

　　#deny from all

　　#allow from .your_domain.com

　　#

　　# ←此區塊是因為Apache以前版本的bug，有些人會用來攻擊

　　#deny from all 系統，啟用此區塊可將其導向到ErrorDocument指定的網頁。

　　#ErrorDocument 403 http://phf.apache.org/phf_abuse_log.cgi

　　#

　　3.4 from

　　allow from all ←允許所有使用者存取

　　# allow from flag.com.tw ←只允許來自於flag.com.tw domain存取，但要先"deny from all"才能拒絕其它地方連進來

　　# deny from 203.74.205 ←拒絕來自于203.74.205

　　3.5 減少CGI和SSI風險

　　減少SSI腳本風險，如果用exec等SSI命令運行外部程序，也會存在類似CGI腳本風險，除了內部調試程序時，應使用

　　option命令禁止其使用：

　　Option IncludesNOEXEC

　　若要使用CGI或SSI可以使用suEXEC進行配置

　　3.6 使用ssl加固Apache

　　link

　　看過文章“apache安全配置”的人還看了：

　　1.如何提升服務器安全等級

　　2.如何防護網絡服務器安全

　　3.如何維護網絡服務器安全

　　4.服務器如何防攻擊

　　5.Windows服務器的基礎安全加固方法

　　6.入侵服務器的基礎知識

　　7.服務器怎么防攻擊

　　8.怎么利用服務器的DHCP維護局域網安全

　　9.怎么設置網件PR2000為公共熱點安全模式

　　10.服務器物理安全