作者：佚名 责任编辑：左决 点击数： 更新时间：2008-2-21 6:09:20

　　一、文件许可和访问控制

　　1. 用户和组

　　首先要保障的是Apache不要以root身份运行，因为如果Apache被攻破的话，那么攻击者就可以控制root账户。下面让我们看一下Apache正以何种用户和组的身份运行：

　　运行下面的命令：

　　可以看出，www-data是运行Apache的用户。不过，我们需要编辑Apache的配置并创建一个新用户和组：

　　将User root Group root改为：

　　然后重新加载以使改变生效：

　　2. 服务文件准许

　　一个最易被忽视的安全问题是如何正确地使用chmod命令。例如，我们在Apache 的html root目录中创建了一个index.cgi文件，不过在浏览器中打开这个文件时却被告知拒绝访问。为了让我们的index.cgi文件正常工作，我们执行一个chomod 777 index.cgi。在我们如此试验时，每一个Apache管理员都在考虑这样安全吗?答案是否定的。不过，如何使这种许可足够安全并能允许index.cgi脚本正常运行呢?

　　Apache需要得到准许来访问index.cgi文件。不过，我们不希望人人都能读写index.cgi。这个文件的所有者应当拥有读写这个文件的许可。为此我们需要下面的命令：

　　将下面的一行加入到你的Apache.conf文件中是很重要的：

　　注意：

　　1、上面的命令行防止Apache访问root之外的文件。

　　2、有一些Linux发行版本比其它版本拥有更好的安全性。EnGarde Secure Linux就是一个很好的例子，因为它默认情况下就在其Apache配置文件中包含了上面的代码行。

　　我们并不想让用户在文件系统上的任何地方运行CGI脚本，不过我们确实需要它们在root中运行。对这个问题的解决办法是“Options ExecCGI”指令。

　　例如，将下面的行添加到/etc/apache2/apache2.conf文件中:

　　重新加载Apache：

　　那么，如果你拥有只应当被某个网络或IP地址访问的资源怎么办?对这个问题的解决办法是使用我们的Apache配置来为你增强安全性：

　　先说一个只允许访问192.168.0.0网络的例子，需要改变/etc/apache2/apache2.conf文件中以下的一行：

　   将其改为：

　　然后重新加载以使更改生效：

　　现在只有你内部网络上的用户能够在/home/username/public_html/cgi-bin中运行CGI脚本。

[1] [2] 下一页