Question

Apache 安全设置

安装配置完 Apache 后，进行一些安全配置还是很必要的。

黑客无所不能。

以特定的用户运行 Apache

默认情况下, Apache 会以 nobody 或者 daemon 运行，不过最好还是让 apahce 以一个没有权限的用户运行，比如: apache.

创建 apache 用户和用户组:

groupadd apache
useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache

修改 httpd.conf 文件，将运行 apache 的用户改为 apache.

# vi httpd.conf
User apache
Group apache

限制访问根目录

在 httpd.conf 配置如下代码以限制访问根目录:

<Directory />
    Options None
    Order deny,allow
    Deny from all
</Directory>

给 conf 和 bin 目录设置适当的权限

conf 和 bin 目录只能允许认证过的用户访问. 创建一个用户组，把那些允许访问和修改这两个目录的用户都添加进去是一个好主意。

groupadd apacheadmin #创建 admin 用户组

chown -R root:apacheadmin /usr/local/apache2/bin #设置目录权限
chmod -R 770 /usr/local/apache2/bin

$ vi /etc/group #给这个用户组添加特定的用户
apacheadmin:x:1121:ramesh,john

禁止目录浏览

如果不禁止目录浏览的话，用户有可能看到你主目录或子目录下的文件列表.(现在默认都是不可浏览的了，不过了解一下并不是坏事 :))

<Directory />
    Options None
    Order allow,deny
    Allow from all
</Directory>

# (or) #

<Directory />
    Options -Indexes
    Order allow,deny
    Allow from all
</Directory>

禁止 .htaccess 文件

这个文件对于 apache 来说比较重要，一些重写规则以及配置都写在这里面，如果允许用户在子目录下重写这个文件，那么原有默认的 .htaccess 文件就不管用了. 这是我们不想看到的，所以做这个限制很有必要。

<Directory />
    Options None
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

扩展阅读

10 Tips to Secure Your Apache Web Server on UNIX / Linux

本书简介：

• Linux 进阶技巧
• 巧妙的命令组合
• Bash 某些技巧
• 一共一百零一个（包括充数的)
• 最后有个奖励章（额外技巧)