Apache的安全配置

Apache服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章日志配置操作 (5)2.1日志配置 (5)2.1.1审核登录 (5)第3章设备其他配置操作 (6)3.1访问权限 (6)3.1.1禁止访问外部文件 (6)3.2防攻击管理 (6)3.2.1错误页面处理 (7)3.2.2目录列表访问限制 (7)3.2.3拒绝服务防范 (8)3.2.4删除无用文件 (8)3.2.5隐藏敏感信息 (9)3.2.6Apache账户安全* (9)3.2.7限制请求消息长度 (10)第4章评审与修订 (11)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache 服务器系统。

1.3适用版本2.0.x、2.2.x版本的Apache服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章日志配置操作2.1日志配置2.1.1审核登录第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件3.2防攻击管理3.2.1错误页面处理3.2.2目录列表访问限制3.2.3拒绝服务防范3.2.4删除无用文件3.2.5隐藏敏感信息3.2.6Apache账户安全*3.2.7限制请求消息长度范文范例指导参考第4章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

Apache下关于虚拟主机的配置关于虚拟主机的概述：配置虚拟主机主要应用场景：多站点访问，一个服务器放置了多个站点服务。

主要的三种配置方法：1、基于IP 2、基于端口3、基于主机名步骤详解：1.虚拟主机使用的话，必须将中心服务关闭，在/etc/httpd/conf/httpd.conf文件里，将DocumentRoot一行注释掉来关闭中心服务。

2.可以在httpd.conf文件最后面直接添加虚拟主机的配置内容，也可以在/etc/httpd/conf.d/下面创建一个自己的配置文件，如：my.conf文件。

3.my.conf文件配置详解1）基于IP配置<VirtualHost 192.168.0.112:80>ServerName DocumentRoot "/www/"</VirtualHost><VirtualHost 192.168.0.113:80>ServerName DocumentRoot "/www/"</VirtualHost>以上2个虚拟主机配置的IP分别为192.168.0.113和192.168.0.112，端口同为80端口。

这样在浏览器分别输入不同的ip或域名时就会访问到不同的站点。

Tips：如果只有一块网卡可以同过ipaddr add 192.168.0.112 dev eth0来添加辅助ip。

如果是域名方式访问，还需要在windows和linux下的hosts文件里面自行添加域名解析。

关于辅助ip的设置：ipaddr add 192.168.0.112/24 dev eth0这是为网卡设置一个辅助ip。

假如一个网卡的ip地址为192.168.0.22，执行上面的命令，在用ifconfig 查看，会发现有两个ip地址，而192.168.0.22称为主地址（Primary IP address）,而192.168.0.112称为辅助地址（secondary IP address），一块网卡是允许有多个IP地址的，所以就算再多添加几个secondary IP 也是合法行的。

Linux下Apache的安装与配置⼀、编译安装1、解决依赖关系⼆、后续操作1、启动httpd两种⽅法：第⼀种、/usr/local/apache/bin/apachectl start第⼆种⽅法：先修改http.pid⽂件位置打开配置⽂件增加⼀⾏vim /etc/httpd/httpd.conf 增加PidFile “/var/run/httpd.pid”为了启动httpd更加⽅便，#!/bin/bash## httpd Startup script for the Apache HTTP Server## chkconfig: - 85 15# description: Apache is a World Wide Web server. It is used to serve \# HTML files and CGI.# processname: httpd# config: /etc/httpd/conf/httpd.conf# config: /etc/sysconfig/httpd# pidfile: /var/run/httpd.pid# Source function library.. /etc/rc.d/init.d/functionsif [ -f /etc/sysconfig/httpd ]; then. /etc/sysconfig/httpdfi# Start httpd in the C locale by default.HTTPD_LANG=${HTTPD_LANG-"C"}# This will prevent initlog from swallowing up a pass-phrase prompt if# mod_ssl needs a pass-phrase from the user.INITLOG_ARGS=""# Set HTTPD=/usr/sbin/httpd.worker in /etc/sysconfig/httpd to use a server# with the thread-based "worker" MPM; BE WARNED that some modules may not# work correctly with a thread-based MPM; notably PHP will refuse to start.# Path to the apachectl script, server binary, and short-form for messages.apachectl=/usr/local/apache/bin/apachectlhttpd=${HTTPD-/usr/local/apache/bin/httpd}prog=httpdpidfile=${PIDFILE-/var/run/httpd.pid}lockfile=${LOCKFILE-/var/lock/subsys/httpd}RETVAL=0start() {echo -n $"Starting $prog: "LANG=$HTTPD_LANG daemon --pidfile=${pidfile} $httpd $OPTIONSRETVAL=$?echo[ $RETVAL = 0 ] && touch ${lockfile}return $RETVAL}stop() {echo -n $"Stopping $prog: "killproc -p ${pidfile} -d 10 $httpdRETVAL=$?echo[ $RETVAL = 0 ] && rm -f ${lockfile} ${pidfile}}reload() {echo -n $"Reloading $prog: "if ! LANG=$HTTPD_LANG $httpd $OPTIONS -t >&/dev/null; thenRETVAL=$?echo $"not reloading due to configuration syntax error"failure $"not reloading $httpd due to configuration syntax error"elsekillproc -p ${pidfile} $httpd -HUPRETVAL=$?fiecho}# See how we were called.case "$1" instart)start;;stop)stop;;status)status -p ${pidfile} $httpdRETVAL=$?;;restart)stopstart;;condrestart)if [ -f ${pidfile} ] ; thenstopstartfi;;reload)reload;;graceful|help|configtest|fullstatus)$apachectl $@RETVAL=$?;;*)echo $"Usage: $prog {start|stop|restart|condrestart|reload|status|fullstatus|graceful|help|configtest}" exit 1esacexit $RETVAL将以上代码加⼊到vim /etc/init.d/httpd中⽽后为此脚本赋予执⾏权限：chmod +x /etc/rc.d/init.d/httpd加⼊服务列表：chkconfig --add httpd给3，5启动chkconfig --level 3，5 httpd on最后加路径将 export PATH=$PATH:/usr/local/apache/binvim /etc/profile.d/httpd.sh完成后重新登录就可以了。

APACHE安装配置说明⼀、软件下载⼆、环境检查# rpm -qa|grep zlibzlib-devel-1.2.3-3zlib-1.2.3-3# rpm -qa|grep sslopenssl-devel-0.9.8b-10.el5openssl-0.9.8b-10.el5如果需要依赖包，安装其对应的devel包即可，此处仅⽤到zlib和ssl。

另，如果有httpd包，要先卸载掉或停⽌其服务。

三、编译安装1、针对安装⽬的的说明（来⾃INSTALL⽂件）如果是开发者则使⽤此选项，--with-included-apr利于连接apache的代码或者是调试apache，其消除了由于版本或者编译中跟APR或者APR-util代码产⽣的不匹配；如果从⼦版本编译apache，要先运⾏buildconf（需要Python，GNU autoconf和libtool），然后运⾏configure。

发⾏包不⽤。

如果要在FreeBSD5.4之前编译时包含apache的threaded MPM，需要使⽤--enable-threads和--with-mpm 参数在Mac上编译⼦版本，要使⽤GNU Libtool 1.4.2及以上版本2、关于SSL加密和正则表达式（来⾃⽂件README）Apache2.0及以上版本在⽬录modules/ssl/下包含了mod_ssl模块⽤于配置和监听ssl⽹络接⼝的连接。

（另外，⼀些apr-util版本在⽬录srclib/apr-util/ssl/下提供了ssl⽹络接⼝）带有单词crypto的包的名字，可能包含openssl加密库的⽬标代码。

如果apache的加密功能不理想或者要排除再重分配，则可以使⽤包的名字包含nossl的发布包。

Apache使⽤PCRE包包含的正则表达式。

3、对configure参数的说明配置帮助表：-h, --help显⽰帮助信息display this help and exit--help=short ⽤short参数将只显⽰正在运⾏的当前脚本的选项，⽽不能列出适⽤于Apache配置脚本所运⾏的外部配置脚本的选项display optionsspecific to thispackage--help=recursive 使⽤recursive参数将显⽰所有程序包的简短描述display the shorthelp of all theincluded packages-V, --version显⽰版本display version information and exit-q, --quiet, --silent不显⽰checking……信息do notprint`checking...' messages--cache-file=FILE在指定⽂件中存储测试结果cache test results in FILE [disabled]-C, --config-cache 在⽂件config.cache中存储测试结果alias for `--cachefile=config.cache'-n, --no-create configure脚本运⾏结束后不输出结果⽂件，常⽤于正式编译前的测试。

Apache常用模块和参数1Apache服务配置指令1.1基本配置命令AccessFileName语法AccessFileName filename默认值AccessFileName .htaccess作用域server config, virtual host此命令是针对目录的访问控制文件的名称；AddDefaultCharset语法AddDefaultCharset On|Off|charset默认值AddDefaultCharset Off作用域server config, virtual host, directory, .htaccess用于指定默认的字符集,在HTTP的回应信息中，若在HTTP头中未包含任何关于内容字符集类型的参数时，此指令指定的字符集添加到HTTP头中，此时将覆盖网页文件中通过META 标记符所指定的字符集.默认字符集为: AddDefaultCharset UTF-8 若显示中文时出现乱码，解决方法是将字符集设置为GB2312，即: AddDefaultCharset GB2312DefaultType语法DefaultType MIME-type默认值DefaultType text/plain作用域server config, virtual host, directory, .htaccess服务器不知道文件类型时，用缺省值通知客户端；DocumentRoot设置Apache提供文件服务的目录；ErrorDocument设置当有问题发生时，Apache所做的反应；ForceType此指令强制所有匹配的文件被当作在MIME-type中指定的Content-Type来伺服。

比如说，如果您有一个包含大量GIF文件的目录，可您又不想全都为它们加上".gif"扩展名的话，您可以这样做：型的扩展名。

你可以通过使用"None"覆盖任何ForceType设置：<IfModule>使用不包含在Apache安装中的模块的命令Include包含其它的配置文件Listen默认值：80Listen命令告诉服务器接受来自指定端口或者指定地址的某端口的请求,如果listen仅指定了端口，则服务器会监听本机的所有地址；如果指定了地址和端口，则服务器只监听来自该地址和端口的请求Options控制某个特定目录所能使用的服务器功能；其值有：None：表示只能浏览，FollowSymLinks：允许页面连接到别处，ExecCGI：允许执行CGI，MultiViews：允许看动画或是听音乐之类的操作，Indexes：允许服务器返回目录的格式化列表，Includes：允许使用SSI。

apache2 实用安装与配置1.Apache 的安装Apache 的安装无外乎两种方式: 源代码安装和DEB包安装。

这两种安装类型各有特色，DEB包安装不需要编译，而源代码安装则需要先配置编译再安装，DEB包安装在一个固定的位置下，选择固定的模块，而源代码安装则可以让你选择安装路径，选择你想要的模块。

本文主要介绍DEB安装方式。

系统:GNU/Linux Debian/etchApache当前版本: 2.0.55-41.1 1. 安装:使用以下命令安装：tony@tonybox:~$sudo aptitude updatetony@tonybox:~$sudo aptitude install apache2 apache2-utils其中apache2-utils提供了我们在配置维护过程中非常有用的一些工具安装完成后，可以使用下面的命令启动Apache 服务:tony@tonybox:~$ sudo /etc/init.d/apache2 start停止Apache服务则是:tony@tonybox:~$ sudo /etc/init.d/apache2 stop也可以只接用kill 命令强制杀死apache2进程tony@tonybox:~$ sudo killall apache2如有需要, 可以通过rcconf来控制是否在系统启动是加载Apache 服务启动完成后打开浏览器, 使用URL http://localhost/ 来访问已经启动的Apache服务器, 服务器将会将会跳转到http://localhost/apache2-default/, 向浏览器返回一个Apache安装成功的页面.注: 这取决于/etc/apache2/sites-available/default 配置文件中, 是否取消了RedirectMatch ^/$ /apache2-default/行的注释1.22. 配置文件说明在Debian下, 安装完成后, 软件包为我们提供的配置文件位于/etc/apache2目录下:tony@tonybox:/etc/apache2$ ls -ltotal 72-rw-r--r-- 1 root root 12482 2006-01-16 18:15 apache2.confdrwxr-xr-x 2 root root 4096 2006-06-30 13:56 conf.d-rw-r--r-- 1 root root 748 2006-01-16 18:05 envvars-rw-r--r-- 1 root root 268 2006-06-30 13:56 httpd.conf-rw-r--r-- 1 root root 12441 2006-01-16 18:15 magicdrwxr-xr-x 2 root root 4096 2006-06-30 13:56 mods-availabledrwxr-xr-x 2 root root 4096 2006-06-30 13:56 mods-enabled-rw-r--r-- 1 root root 10 2006-06-30 13:56 ports.conf-rw-r--r-- 1 root root 2266 2006-01-16 18:15 READMEdrwxr-xr-x 2 root root 4096 2006-06-30 13:56 sites-availabledrwxr-xr-x 2 root root 4096 2006-06-30 13:56 sites-enableddrwxr-xr-x 2 root root 4096 2006-01-16 18:15 ssl其中apache2.conf为apache2服务器的主配置文件, 查看此配置文件, 你会发现以下内容# Include module configuration:Include /etc/apache2/mods-enabled/*.loadInclude /etc/apache2/mods-enabled/*.conf# Include all the user configurations:Include /etc/apache2/httpd.conf# Include ports listingInclude /etc/apache2/ports.conf# Include generic snippets of statementsInclude /etc/apache2/conf.d/[^.#]*有此可见, apache2 根据配置功能的不同, 对配置文件进行了分割, 这样更利于管理conf.d下为配置文件的附加片断,默认情况下, 仅提供了charset 片断,tony@tonybox:/etc/apache2/conf.d$ cat charsetAddDefaultCharset UTF-8如有需要我们可以将默认编码修改为GB2312, 即文件的内容为: AddDefaultCharset GB2312httpd.conf是个空文件magic文件中包含的是有关mod_mime_magic模块的数据, 一般不需要修改它.ports.conf则为服务器监听IP和端口设置的配置文件,tony@tonybox:/etc/apache2$ cat ports.confListen 80mods-available目录下是一些.conf和.load 文件, 为系统中可以使用的加载各种模块的配置文件, 而mods-enabled目录下则是指向这些配置文件的符号连接, 从配置文件apache2.conf 中可以看出, 系统通过mods-enabled目录来加载模块, 也就是说, 系统仅通过在此目录下创建了符号连接的mods-available 目录下的配置文件来加载模块。

IN CNAME
IN CNAME
在上面的配置中，在提交的DNS正向配置文件以及反向配置文件中， 已经具有如下的A记录和PTR记录，分别为
www
利用httpd.conf我们可以对Apache服务器进行全局 配置、管理或预设服务器的参数定义、虚拟主机的设 置等。httpd.conf是一个文本文件，我们可以用vi编辑 工具进行修改。 httpd.conf文件主要分为三个部分： Section 1: Global Environment （全局变量） Section 2: 'Main' server configuration（主服务器配置） Section 3: Virtual Hosts（虚拟主机配置）
2．配置基于IP的虚拟主机 （1）基于IP虚拟主机的DNS配置 如果用户想要创建两个基于IP的虚拟主机和
这两个虚拟主机站点的共同域名是 。用户可以按照如下所示在DNS正向配置文 件中进行配置：
lth IN
A 192.168.15.212
3．Port 该参数用来指定Apache服务器的监听端口。一般来说，标准的HTTP
服务默认端口号是80，一ቤተ መጻሕፍቲ ባይዱ不要更改这个数值。本例为80端口：
Port 80 4．ServerAdmin
设置Apache服务器管理员的邮件地址。
5．ServerName 该参数使得用户可以自行设置主机名，以取代安装Apache服务器主机
7．MaxKeepAliveRequests 当使用保持连接（persistent connection）功能时，可以使用本参数决定
每次连接所能发出的要求数目的上限。如果此数值为0，则表示没有限制。 建议尽可能使用较高的数值，以充分发挥Apache的高性能，本例设置每次 连接所能发出的要求数目上限为100：

Apache 配置一、安装Apache下载地址：/1. 安装Apache# tar zxvf httpd-2.2.11.tar.gz# cd httpd-2.2.11# ./configure --prefix=/usr/local/apache --enable-so//编译时加上加载模块参数--enable-so# make# make install2. 配置系统启动时自动启动Apache服务。

# vi /etc/rc.d/rc.local//在rc.local上加入一行/usr/local/apache/bin/apachectl –k start。

二、配置Apache1. 修改httpd.conf文件# vi /usr/local/apache/conf/httpd.conf1）设置根目录的路径根目录是指Apache存放配置文件和日志文件的目录，配置参数为ServerRoot，默认位于“/u sr/local/apache”。

命令如下：2）设置监听IP地址及端口号默认侦听本机所有IP地址的TCP80端口，命令如下：Listen 80用户也可以按自己的需求，使用多个Listen语句在多个地址和端口上侦听客户端请求。

比如：Listen 192.168.99.9:80Linsten 172.16.0.20:80803）设置系统管理员E-m ail使用ServerAdmin参数设置管理员E-m ail，比如管理员的Email地址为root@guoxuemin. cn：4）设置服务器主机的名称参数ServerName用来设置服务器的主机名称，如果没有域名则填入服务器的IP地址，比如服务器的IP地址为192.168.99.9：5）设置主目录的路径用户可以使用参数Document Root配置服务器主目录默认路径，比如，主目录路径为：6）设置默认文件Apache的默认文件名为index.ht ml，可以使用Directory Index参数来配置，比如，将ind ex.php设置为默认文件名：7）测试：打开浏览器，输入地址：http://192.168.99.9，可以打开站点了：2. 配置目录权限使用<Directory 目录路径>和</Directory>设置目录的权限。

ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。
第5章 章
网络服务
ห้องสมุดไป่ตู้本章目标
掌握Apache服务器的安装 服务器的安装 掌握 掌握Apache安装后的基本配置 掌握 安装后的基本配置 掌握基于域名的虚拟主机配置 掌握LAMP环境的配置和应用程序的安装 掌握 环境的配置和应用程序的安装
# ./configure --prefix=/usr/local/apache2 \ > --enable-so --enable-rewrite
使用" 选项指定Apache服 使用" 使用" 选项指定 使用 服 使用make命令进行程序的编译 选项设置 命令进行程序的编译 使用 --prefix"选项指定"--enable-rewrite"选项设置 Apache服务器可以使用动态加载模 服务器可以使用动态加载模 Apache服务器具有 服务器具有rewrite功能 务器程序将要安装到的系统目录 服务器具有 功能 # make 块功能 使用" 使用"--enable-so"选项设置 选项设置
Page 8/39
Apache编译安装 编译安装3-1 编译安装
编译安装的优点
具有较大的自由度， 具有较大的自由度，功能可定制 可及时获得新版本 普遍适用于大多数Linux版本 普遍适用于大多数 版本
获得Apache服务器的源码包 服务器的源码包 获得
从Apache的官方网站下载源码包 的官方网站下载源码包
/download.cgi
源码包文件
httpd-2.0.59.tar.gz
Page 9/39

非超 级 用户 不能修改 该 目录 中的 内容 。 Apache 的主目 录对应于 AP che s rv r 配 a e e 置文件ht 冈 . c o 的S r r Root 控制项中， t o f e v e 应为 : e vr S r e R0ot / u / lo al/ aPache r s c 2. 3 551的配皿 在配置文件acc. 如 f 或htt冈 .C f 中 .coo on 的确OPt1 s 指令处加入Include NO EXEC 0n s 选项， 用以禁用Apa he s er e 中的执行功 c v r 能。避免用户直接执行Apache 服务器中 的 执行程序， 而造成服务器系统的公开化. OP t ns ln lude Noex ec t o c s 2 .4 阻止用户修改系统设! 在Apa h e 服务器的配置文件中进行以 c 下的设置， 阻止用户建立、修改 .htacc巴 文 沼 件， 防止用户超越能定义的系统安全特性。
14 8 15 5 . h t m .
AP che s rve 的访问 a e r 控制和认证、 授权等
一系列至关重要的安全服务。 mo e acc以 模块能够根据访问者的I 地 d s 摇 P 址(或域名， 主机名等)来控制对Apa h e 服务 c 器的访问， 称之为基于主机的访问控制。 mo e au h 模块用来控制用户和组的认证 d s t 授权(Au henticat n 。用户名和口 t o i ) 令存干纯
好将其限制在一个 特定的目 录下， g i一 n 如c b i
之下， 便于管理. 另外应该保证CGI 目 录下的 文件是不可写的， 避免一些欺骗性的程序驻留 或Байду номын сангаас迹其中. 如果能够给用户提供一个安全性 良 好的CG 程序的模块作为参考， I 也许会减少 许多不必要的麻烦和安全隐患;除去CG 目 I 录 下的所有非业务应用的脚本， 以防异常的信息

《组网技术》 第06课1．教学目的：使学生熟练掌握Linux环境常规与高级WEB服务和配置、验证方法。

使学生了解Linux环境LAMP及HTTPS相关知识2．教学内容：⑴Apache 常规服务器的配置⑵站点配置后的一般检测步骤和方法⑶Apache 高级服务器的配置⑷LAMP模型⑸实现HTTPS3．内容难点：配置Apache 虚拟主机Apache访问控制与安全网站4．学习要求：理解Web服务器的概念，正确建立和配置WEB 服务器。

在客户端检验WEB 服务器。

5．教学纲要㈠ Apache服务器非图形工具配置方法从上一讲中Apache服务器图形工具配置方法中可以知道，Apache服务器的核心配置文件是/etc/httpd.conf/conf/httpd.conf。

httpd.conf是Apache服务器中最核心的配置文件，大部分的设置都是通过该文件来完成的。

httpd.conf文件的内容非常多，其中包含很多的注释与说明，用来告诉读者可以提供哪些功能以及用法等。

从下图中Apache服务器图形工具配置的界面可以领略到httpd.conf文件的内容。

还有一些隐性的设置不能从中解读到。

主要的几种配置参数①Apache服务器根目录设置字段ServerRoot本字段用来设置Apache服务器的配置文件、错误文件和日志文件的存放目录。

默认情况下为：ServerRoot "/etc/httpd"可以根据需要进行修改。

②Apache服务器客户端连接数限制字段MaxClients<IfModule prefork.c>StartServers 8MinSpareServers 5MaxSpareServers 20ServerLimit 256MaxClients 256MaxRequestsPerChild 4000</IfModule>③设置主机名称字段ServerNameServerName字段定义服务器名称和端口号，用以标明自己的身份。

Apache配置详解Apache的配置由httpd.conf文件配置，因此下面的配置指令都是在httpd.conf文件中修改。

主站点的配置(基本配置)(1) 基本配置:ServerRoot "/mnt/software/apache2" #你的apache软件安装的位置。

其它指定的目录如果没有指定绝对路径，则目录是相对于该目录。

PidFile logs/httpd.pid #第一个httpd进程(所有其他进程的父进程)的进程号文件位置。

Listen 80 #服务器监听的端口号。

ServerName :80 #主站点名称（网站的主机名）。

ServerAdmin admin@ #管理员的邮件地址。

DocumentRoot "/mnt/web/clusting" #主站点的网页存储位置。

以下是对主站点的目录进行访问控制：<Directory "/mnt/web/clusting">Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow from all</Directory>在上面这段目录属性配置中，主要有下面的选项：Options：配置在特定目录使用哪些特性，常用的值和基本含义如下：ExecCGI: 在该目录下允许执行CGI脚本。

FollowSymLinks: 在该目录下允许文件系统使用符号连接。

Indexes: 当用户访问该目录时，如果用户找不到DirectoryIndex指定的主页文件(例如index.html),则返回该目录下的文件列表给用户。

SymLinksIfOwnerMatch: 当使用符号连接时，只有当符号连接的文件拥有者与实际文件的拥有者相同时才可以访问。

其它可用值和含义请参阅：/Apache/ApacheManual/mod/core.html#options AllowOverride：允许存在于.htaccess文件中的指令类型(.htaccess文件名是可以改变的，其文件名由AccessFileName指令决定)：None: 当AllowOverride被设置为None时。

Apache的各种优化以及安全配置详解简介：Apache所运⾏的硬件环境都是对性能影响最⼤的因素，即使不能对硬件进⾏升级，也最好给Apache⼀个单独的主机以免受到其他应⽤的⼲扰。

各个硬件指标中，对性能影响最⼤的是内存，对于静态内容（图⽚、JavaScript⽂件、css⽂件等）。

它决定了Apache可以缓存多少内容，它缓存的内容越多，在硬盘上读取内容的机会就会越少，⼤内存可以极⼤提⾼静态站点的速度；对动态⾼负载站点来说，每个请求保存的时间更多⼀些，Apache的mpm模块会为每个请求派⽣出相应的进程或线程分别处理，⽽进程或线程的数量与内存的消耗近似成正⽐，因此增⼤内存对提⾼动态站点的负载和运⾏速度也极为有利。

其次是硬盘的速度，静态站点尤为突出，Apache不断的在读取⽂件并发送给相应的请求，硬盘的读写是极其频繁的；动态站点也要不断的加载web程序（php等），⼀个请求甚⾄要读取⼗⼏个⽂件才能处理完成，因此尽可能的提⾼硬盘速度和质量对提⾼Apache的性能是有积极意义的。

最后CPU和⽹络，CPU影响的是web程序执⾏速度，⽹络影响流量⼤⼩。

⼀、Apache的⼏种⼯作模式以及调优Apache HTTP服务器被设计为⼀个强⼤的、灵活的能够在多种平台以及不同环境下⼯作的服务器。

这种模块化的设计就叫做“多进程处理模块”（Multi-Processing Module，MPM），也叫做⼯作模式。

1.Prefork（⼀个⾮线程型的）：其主要⼯作⽅式是：当Apache服务器启动后，mpm_prefork模块会预先创建多个⼦进程（默认为5个），每个⼦进程只有⼀个线程，当接受到客户端的请求后，mpm_prefork模块再将请求转交给⼦进程处理，并且每个⼦进程同时只能⽤于处理单个请求。

如果当前的请求数将超过预先创建的⼦进程数时，mpm_prefork模块就会创建新的⼦进程来处理额外的请求。

这样客户端的请求就不需要在接受后等候⼦进程的产⽣。

中国移动公司--A p a c h e安全配置规范S p e c i f i c a t i o n f o r A p a c h eC o n f i g u r a t i o n i n C h i n a M o b i l e版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部-目录-1. 范围 (1)2. 规范性引用文件 (1)2.1. 内部引用 (1)2.2. 外部引用 (2)3. 术语、定义和缩略语 (2)4. Tomcat Web服务器安全配置要求 (2)4.1. 账号管理及认证授权要求 (3)4.1.1. 账号安全要求 (3)4.1.2. 口令安全要求 (3)4.1.3. 授权安全要求 (3)4.2. 日志安全要求 (3)4.3. IP协议安全要求 (4)4.4. 设备其他安全要求 (4)5. 编制历史 (7)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信集团公司网络部、中国移动通信集团山东有限公司网络部。

本标准解释单位：同提出单位。

本标准主要起草人：王自亮、周智、曹一生、陈敏时。

1.范围本规范适用于中国移动通信网、业务系统和支撑系统的Apache服务器。

本规范明确了Apache服务器安全配置方面的基本要求。

2.规范性引用文件2.1. 内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的Apache安全配置规范。

以下分项列出本规范对《通用规范》设备配置要求的修订情况。

Order deny,allow Deny from Deny from 192.168.16.111
例3：仅允许来自网络192.168.16.0/24的客户端访问 ：仅允许来自网络192.168.16.0/24的客户端访问 192.168.16.0/24
Order allow,deny Allow from 192.168.16.0/24
Web服务的基本配置（ Web服务的基本配置（2） 服务的基本配置
设置相对根目录路径
相对根目录通常是Apache存放配置文件、日志文件、模块 相对根目录通常是Apache存放配置文件、日志文件、模块 文件等的地方。 在默认情况下，相对目录为/etc/httpd，它一般包含conf和 在默认情况下，相对目录为/etc/httpd，它一般包含conf和 logs子目录 logs子目录 ServerRoot “/etc/httpd” /etc/httpd”
设置目录权限（3） 设置目录权限（
Order：设置默认的访问权限和Allow和Deny语句的处 Order：设置默认的访问权限和Allow和Deny语句的处 理顺序
Order allow,deny
默认禁止所有客户端的访问，且Allow语句在Deny语句之前被匹配。 默认禁止所有客户端的访问，且Allow语句在Deny语句之前被匹配。 如果某条件同时匹配Deny和Allow语句，则Deny语句起作用（Allow 如果某条件同时匹配Deny和Allow语句，则Deny语句起作用（Allow 语句被覆盖）
注意：为了让主目录允许目录浏览，需要删除/etc/httpd/conf.d 注意：为了让主目录允许目录浏览，需要删除/etc/httpd/conf.d 目录下的welcome.conf文件，然后重启Apache。（这里不能将 目录下的welcome.conf文件，然后重启Apache。（这里不能将 welcome.conf重命名为welcome2.conf，为什么？） welcome.conf重命名为welcome2.conf，为什么？）

CustomLog “/tmp/www2/logs/logs/acess-log.txt common”
< /VirtualHost>
基于IP地址虚拟主机
1、基于IP地址的虚拟主机 < VirtualHost 172.16.100.252 > ServerName 172.16.100.252 ServerAdmin web1@ DocumentRoot “/tmp/html/www3” DirectoryIndex index.html ErrorLog “/tmp/html/www3/logs/error-log.txt”
基于域名虚拟主机
2、基于域名的虚拟主机
NameVirtualHost 172.16.100.253
< VirtualHost 172.16.100.253 > ServerName ServerAdmin web1@ DocumentRoot “/tmp/vh1/html” DirectoryIndex index.html ErrorLog /tmp/vh1/html/logs/error-log.txt CustomLog /tmp/vh1/html/logs/acess-log.txt combined < /VirtualHost>
Apache服务的安装
与Apache 相关的软件包
软件包名称 功能描述 Apache服务器程序 Apache2.0手册
httpd ： httpd-manual： Systen-config-httpd：
Apche的图形配置工具
rpm –qa | grep httpd
Apache的主要文件和目录结构
温馨提示：Apache2.0 开始应用MPM（Multi-Proecessing Moudles 多道处理模块），用户可以根据自己需要选择不同的核心模块。查 看当前服务器的核心模块使用命令”httpd -l”

网站安全配置指南第1章网站安全基础概念 (4)1.1 网站安全的重要性 (4)1.2 常见网站攻击手段 (4)1.3 网站安全防护策略 (4)第2章服务器安全配置 (5)2.1 操作系统安全设置 (5)2.1.1 系统更新与补丁管理 (5)2.1.2 账户与权限管理 (5)2.1.3 服务与进程管理 (5)2.1.4 文件系统安全 (5)2.1.5 日志管理 (5)2.2 网络安全配置 (5)2.2.1 网络架构安全 (5)2.2.2 防火墙配置 (6)2.2.3 VPN与远程访问 (6)2.2.4 网络隔离与VLAN (6)2.3 硬件防火墙与入侵检测系统 (6)2.3.1 硬件防火墙部署 (6)2.3.2 入侵检测系统（IDS） (6)2.3.3 入侵防御系统（IPS） (6)2.3.4 安全设备管理 (6)第3章数据库安全配置 (6)3.1 数据库安全策略 (6)3.1.1 数据库安全概述 (6)3.1.2 数据库安全策略制定原则 (6)3.1.3 数据库安全策略实施 (7)3.2 数据库用户权限管理 (7)3.2.1 用户权限管理概述 (7)3.2.2 用户账号管理 (7)3.2.3 权限分配 (7)3.2.4 权限回收 (7)3.3 数据库备份与恢复 (7)3.3.1 备份策略 (7)3.3.2 备份操作 (8)3.3.3 恢复策略 (8)3.3.4 异地容灾 (8)第4章 Web服务器软件安全配置 (8)4.1 Apache安全配置 (8)4.1.1 保证Apache版本更新 (8)4.1.2 禁用不必要的模块 (8)4.1.3 配置文件权限 (8)4.1.5 禁止目录列表 (8)4.1.6 配置SSL/TLS (9)4.1.7 配置安全头 (9)4.2 Nginx安全配置 (9)4.2.1 更新Nginx版本 (9)4.2.2 禁用不必要的模块 (9)4.2.3 配置文件权限 (9)4.2.4 限制请求方法 (9)4.2.5 禁止目录列表 (9)4.2.6 配置SSL/TLS (9)4.2.7 设置安全头 (9)4.3 IIS安全配置 (9)4.3.1 更新IIS版本 (9)4.3.2 管理权限控制 (9)4.3.3 禁用不必要的功能 (10)4.3.4 配置文件权限 (10)4.3.5 限制请求方法 (10)4.3.6 禁止目录浏览 (10)4.3.7 配置SSL/TLS (10)4.3.8 添加安全头 (10)第5章网站程序安全 (10)5.1 网站开发安全原则 (10)5.1.1 最小权限原则 (10)5.1.2 数据验证与过滤 (10)5.1.3 安全编码规范 (10)5.1.4 错误处理与日志记录 (10)5.2 代码审计与漏洞修复 (10)5.2.1 代码审计 (11)5.2.2 漏洞修复 (11)5.2.3 安全测试 (11)5.3 网站安全开发框架 (11)5.3.1 选择安全框架 (11)5.3.2 框架安全配置 (11)5.3.3 第三方组件安全 (11)第7章认证与授权安全 (11)7.1 用户认证安全策略 (11)7.1.1 多因素认证 (11)7.1.2 账户锁定策略 (11)7.1.3 用户权限管理 (12)7.2 密码安全策略 (12)7.2.1 密码复杂度要求 (12)7.2.2 密码定期更换 (12)7.2.3 密码加密存储 (12)7.3.1 OAuth 2.0 (12)7.3.2 单点登录 (12)7.3.3 单点登录异常处理 (12)第8章网站安全防护技术 (13)8.1 防SQL注入攻击 (13)8.1.1 原理与危害 (13)8.1.2 防护措施 (13)8.2 防跨站脚本（XSS）攻击 (13)8.2.1 原理与危害 (13)8.2.2 防护措施 (13)8.3 防跨站请求伪造（CSRF）攻击 (13)8.3.1 原理与危害 (13)8.3.2 防护措施 (14)第9章安全监控与日志分析 (14)9.1 网站安全监控策略 (14)9.1.1 监控目标 (14)9.1.2 监控手段 (14)9.1.3 监控流程 (14)9.2 系统日志与审计 (15)9.2.1 日志管理 (15)9.2.2 审计策略 (15)9.2.3 日志分析与监控 (15)9.3 安全事件应急响应 (15)9.3.1 应急响应流程 (15)9.3.2 应急响应措施 (15)9.3.3 应急响应团队 (16)第10章网站安全合规与培训 (16)10.1 网站安全合规性检查 (16)10.1.1 合规性要求概述 (16)10.1.2 安全合规性检查流程 (16)10.1.3 合规性检查内容 (16)10.2 安全意识培训 (17)10.2.1 培训目标 (17)10.2.2 培训对象 (17)10.2.3 培训内容 (17)10.2.4 培训方式 (17)10.3 安全运维管理制度建设与实践 (17)10.3.1 管理制度概述 (17)10.3.2 安全运维管理制度内容 (17)10.3.3 安全运维实践 (18)第1章网站安全基础概念1.1 网站安全的重要性在当今互联网高速发展的时代，网站已成为企业、及个人信息传播的重要平台。