当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 安全配置和维护Apache WEB Server (下)

安全防护
PHP网站漏洞的相关总结(1)
PHP网站漏洞的相关总结(2)
有孚网络谈服务器安全防范
修改注册表提高Win2000抗拒绝服务攻击能力(1)
修改注册表提高Win2000抗拒绝服务攻击能力(2)
Solaris系统安全加固列表(1)
Solaris系统安全加固列表(2)
Solaris系统安全加固列表(3)
Solaris系统安全加固列表(4)
防范SQL指令植入式攻击(1)
防范SQL指令植入式攻击(2)
给论坛开发者和使用者的几点建议
Windows NT安全性API简介(1)
Windows NT安全性API简介(2)
服务器安全配置精华技巧(1)
服务器安全配置精华技巧(2)
服务器安全配置精华技巧(3)
服务器安全配置精华技巧(4)
教你如何巧妙设定匿名FTP的安全(2)
教你如何巧妙设定匿名FTP的安全(3)

安全防护 中的 安全配置和维护Apache WEB Server (下)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 64 ::
收藏到网摘: n/a

  AuthName "会员专区" 
  AuthType "Basic" 
  AuthUserFile "/var/tmp/xxx.pw" ----->把password放在网站外 
  require valid-user    到apache/bin目录,建password档

  % ./htpasswd-c/var/tmp/xxx.pw username1----->第一次建档要用参数"-c" 

  % ./htpasswd/var/tmp/xxx.pw username2 

  这样就可以保护目录内的内容,进入要用合法的用户.

  注:采用了Apache内附的模组。也可以采用在httpd.conf中加入: 

  options indexes followsymlinks 
  allowoverride authconfig 
  order allow,deny 
  allow from all 

  (4)Apache服务器访问控制

  我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。

  <directory /usr/local/http/docs/private>
  <limit>
  order deny,allow
  deny from all
  allow from safechina.net
  </limit>
  </directory>

  设置允许来自某个域、IP地址或者IP段的访问。

  (5)Apache服务器的密码保护问题

  我们再使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者srm.conf文件中使用AccessFileName指令打开目录的访问控制。如:

  AuthName PrivateFiles
  AuthType Basic
  AuthUserFile /path/to/httpd/users
  require Phoenix

  # htpasswd -c /path/to/httpd/users Phoenix

  四,设置Apache服务器的WEB和文件服务器

  我们在Apache服务器上存放WEB服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用http://download.XXXX.com/pub/来访问。在防火墙上设置apache反向代理技术,由防火墙代理访问。

(1)Apache服务器的设置

  apache服务器采用默认配置。主目录为/home/httpd/html,主机域名为Phoenix.XXXX.com,且别名到www.XXXX.com中,并且设置srm.conf加一行别名定义如下: 
  Alias/pub/home/ftp/pub/ 

  更改默认应用程序类型定义如下: 
 
  DefaultType application/octet-stream 

  最后在/etc/httpd/conf/access.conf中增加一项定义 

  Options Indexes 
  AllowOverride AuthConfig 
  order allow,deny 
  allow from all 

  注:Options Indexes允许在找不到index.html文件的情况下允许列出目录/文件列表。AllowOverride AuthConfig允许做基本的用户名和口令验证。这样的话,需要在/home/ftp/pub目录下放入.htaccess,内容如下: 

  [root@shopu pub]# more .htaccess 
  AuthName Branch Office Public Software Download Area 
  AuthType Basic 
  AuthUserFile /etc/.usrpasswd 
  require valid-user 

  用# htpasswd -c /etc/.usrpasswd user1  分别创建不同的允许访问/pub下文件服务的外部用户名和口令。 

  (2)在防火墙上配置反向代理技术. 
 
  在/etc/httpd/conf/httpd.conf中加入 NameVirtualHost xxx.xxx.xxx.xxx
  # xxx.xxx.xxx.xxx ----->是防火墙外部在互联网上永久IP地址 
  servername www.XXXX.com 
  errorlog /var/log/httpd/error_log 
  transferlog /var/log/httpd/access_log 
  rewriteengine on 
  proxyrequests off 
  usecanonicalname off 
  rewriterule ^/(.*)$ http://xxx.xxx.xx.x/$1 Apache服务器的IP地址。

  servername http://download.XXXX.com/pub/
  errorlog /var/log/httpd/download/error_log 
  transferlog /var/log/httpd/download/access_log 
  rewriteengine on 
  proxyrequests off 
  usecanonicalname off 
  rewriterule^/(.*)$http://xxx.xxx.xx.x/$1 同上Apache服务器的IP地址。

  设置防火墙上的DNS,让download.XXXX.com和www.XXXX.com都指向防火墙的外部网地址xxx.xxx.xxx.xxx。用http://www.XXXX.com访问主页,用http://download.XXXX.com/pub/访问公共文件的下载区。

  注:还需要在apache服务器主机上建立目录/var/log/httpd/download/,否则会出错。另外,也可以设置防火墙主机上的/home/httpd/html/index.html的属性为750来阻