請(qǐng)教windows下apache的權(quán)限設(shè)置

因?yàn)槲业姆?wù)器是2008的且是64位的windows下apache的權(quán)限設(shè)置，這里只說(shuō)Windows下Apache應(yīng)用環(huán)境相關(guān)的目錄權(quán)限設(shè)置，至于其他基本的服務(wù)器目錄權(quán)限設(shè)置就不提啦！

公司主營(yíng)業(yè)務(wù)：成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)公司是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。創(chuàng)新互聯(lián)公司推出延慶免費(fèi)做網(wǎng)站回饋大家。

這個(gè)是我的服務(wù)器實(shí)際進(jìn)行配置的環(huán)境配置情況：

apache安裝目錄：d:www-sapache

php目錄：d:www-sphp5

mysql目錄：d:www-smysql

網(wǎng)站根目錄：d:www\htdocs\chaodiquan.com 抄底專門為運(yùn)行Apache運(yùn)行所使用的用戶：apache-u（可不隸屬于任何用戶組）Windows下Apache應(yīng)用環(huán)境塔建目錄安全設(shè)置操作步驟：配置目錄權(quán)限?? 這里的權(quán)限是重點(diǎn)

Apache所在的根目錄（也就是D盤），只需要讀取的權(quán)限，并且這個(gè)讀取權(quán)限不需要繼承到子目錄與文件（可以在權(quán)限設(shè)置高級(jí)里選擇——應(yīng)用到：只有該文件夾——權(quán)限：列出文件夾/讀取數(shù)據(jù)， 讀取屬性，讀取擴(kuò)展屬性，讀取權(quán)限——確定）。

Apache安裝目錄的上級(jí)目錄（d:www-s），需要“讀取”的權(quán)限（和根目錄D盤的權(quán)限雷同）。

Apache安裝目錄，需要“列出文件夾目錄”和“讀取”的權(quán)限（可以為了方便使用繼承）。

Apache安裝目錄下的子目錄權(quán)限設(shè)置

“bin”和“modules”目錄需要“讀取和運(yùn)行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

“l(fā)ogs”目錄需要“列出文件夾和目錄”、“讀取”、“寫入”的權(quán)限（若Apache安裝目錄的權(quán)限使用啦繼承，可只添加“寫入”權(quán)限即可）。

到這里Apache的權(quán)限已經(jīng)設(shè)置完畢，接下來(lái)設(shè)置PHP的權(quán)限

PHP目錄（PHP5）可簡(jiǎn)單的設(shè)置為“讀取和運(yùn)行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

Mysql目錄下的bin文件夾和文件（mysql）需要為添加apache用戶的“遍歷文件夾和運(yùn)行文件”、“列出文件夾和讀取數(shù)據(jù)”的權(quán)限（可以在權(quán)限高級(jí)設(shè)置里找到）。

到這里Apache+Mysql+Php已經(jīng)基本可以使用，接著配置網(wǎng)站根目錄權(quán)限

網(wǎng)站根目錄（www內(nèi)）的上級(jí)目錄www需要讀取（“列出文件夾和讀取數(shù)據(jù)”、“讀取屬性”、“讀取擴(kuò)展屬性”、“讀取權(quán)限”）的權(quán)限（和Apache的上級(jí)目錄權(quán)限雷同，不需要繼承到子目錄和文件中去）。

網(wǎng)站根目錄（htdocs）可簡(jiǎn)單的設(shè)置“讀取”權(quán)限就可以啦（然后可以根據(jù)需要對(duì)緩存文件夾設(shè)置可寫權(quán)限）。

到這里Apache+PHP+Mysql的環(huán)境受限制權(quán)限設(shè)置基本完成。

為Apache服務(wù)啟用受限制用戶

進(jìn)入服務(wù)管理器（Services.msc，或者“我的電腦——屬性——管理——服務(wù)”），找到Apache的服務(wù)項(xiàng)（Apache2.2），設(shè)置屬性，登錄用戶選擇受限用戶（Apache-u）輸入受限用戶的密碼，應(yīng)用，確定。

這里“確定”之后一般會(huì)有提示（已授予賬戶.apache-u“以服務(wù)方式登錄”的權(quán)利）。這個(gè)提示相當(dāng)于在組策略（開(kāi)始-管理工具

-本地安全策略，或者使用gpedit.msc打開(kāi)）中的“用戶權(quán)利分配”中選擇“作為服務(wù)登陸”，添加apache-u用戶。

可在任務(wù)管理器中查看httpd.exe進(jìn)程的用戶名為apache-u，使用PHP+Mysql的程序都可正常運(yùn)行。

到這里已經(jīng)完成啦“Windows下Apache應(yīng)用環(huán)境目錄權(quán)限”的受限制使用設(shè)置。

配置apache19服務(wù)器需要修改的配置文件為

配置apache19服務(wù)器需要修改的配置文件為：

1、httpd.conf：Apache服務(wù)器的主配置文件，用來(lái)配置全局服務(wù)器參數(shù)。

2、mime.types：MIME類型文件，用來(lái)定義每種文件的MIME類型。

3、access.conf：用來(lái)控制用戶訪問(wèn)權(quán)限，主要用于安全限制。

4、srm.conf：用于配置服務(wù)器資源管理，可用來(lái)設(shè)置虛擬主機(jī)。

5、httpd-vhosts.conf：用于配置多個(gè)虛擬主機(jī)的文件。

6、httpd-default.conf：Apache服務(wù)器的默認(rèn)配置文件，用于設(shè)置Apache服務(wù)器的默認(rèn)參數(shù)。

7、httpd-ssl.conf：用于設(shè)置SSL服務(wù)器參數(shù)。

8、httpd-info.conf：用于檢查Apache服務(wù)器信息。

9、httpd-manual.conf：用于配置Apache手冊(cè)服務(wù)器參數(shù)。

10、logs.conf：Apache服務(wù)器的日志配置文件，用于記錄服務(wù)器的日志信息。

用雷網(wǎng)主機(jī)，怎樣保證Linux Apache Web服務(wù)器安全?

如果你是一個(gè)系統(tǒng)管理員，你應(yīng)該按照以下的10點(diǎn)建議來(lái)保證Apache web服務(wù)器的安全。 1、禁用不必要的模塊 如果你打算源碼編譯安裝apache，你應(yīng)該禁用以下的模塊。如果你運(yùn)行./configure -help，你將會(huì)看到所有可用的你可以禁用/開(kāi)啟的模塊。 userdir –用戶特定用戶的請(qǐng)求映射。例如：帶用戶名的URL會(huì)轉(zhuǎn)化成服務(wù)器的一個(gè)目錄。 autoindex – 當(dāng)沒(méi)有默認(rèn)首頁(yè)（如index.html）時(shí)顯示目錄列表。 status –顯示服務(wù)器統(tǒng)計(jì) env – 清除或修改環(huán)境變量 setenvif –根據(jù)客戶端請(qǐng)求頭字段設(shè)置環(huán)境變量 cgi –CGI腳本 actions – 根據(jù)特定的媒體類型或請(qǐng)求方法，激活特定的CGI腳本 negotiation –提供內(nèi)容協(xié)商支持 alias – 提供從文件系統(tǒng)的不同部分到文檔樹(shù)的映射和URL重定向 include –實(shí)現(xiàn)服務(wù)端包含文檔（SSI）處理 filter –根據(jù)上下文實(shí)際情況對(duì)輸出過(guò)濾器進(jìn)行動(dòng)態(tài)配置 version –提供基于版本的配置段支持 asis – 發(fā)送自己包含HTTP頭內(nèi)容的文件 當(dāng)你執(zhí)行./configure按照下面禁用以上的所有模塊。 ./configure \ --enable-ssl \ --enable-so \ --disable-userdir \ --disable-autoindex \ --disable-status \ --disable-env \ --disable-setenvif \ --disable-cgi \ --disable-actions \ --disable-negotiation \ --disable-alias \ --disable-include \ --disable-filter \ --disable-version \ --disable-asis 如果激活ssl且禁用mod_setenv，你將會(huì)得到以下錯(cuò)誤。 錯(cuò)誤： Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf： Invalid command ‘BrowserMatch’， perhaps misspelled or defined by a module not included in the server configuration 解決方案：如果你使用ssl，不要禁用setenvif模塊?；蛘吣憬胹etenvif模塊，可以在httpd-ssl.conf注釋BrowserMatch。 安裝完成全，執(zhí)行httpd -l，會(huì)列出所有已安裝的模塊。 # /usr/local/apache2/bin/httpd -l Compiled in modules： core.c mod_authn_file.c mod_authn_default.c mod_authz_host.c mod_authz_groupfile.c mod_authz_user.c mod_authz_default.c mod_auth_basic.c mod_log_config.c mod_ssl.c prefork.c http_core.c mod_mime.c mod_dir.c mod_so.c 在這個(gè)例子里，我們安裝了如下apache模塊： core.c –Apache核心模塊 mod_auth* –各種身份驗(yàn)證模塊 mod_log_config.c –允許記錄日志和定制日志文件格式 mod_ssl.c – SSL prefork.c – 一個(gè)非線程型的、預(yù)派生的MPM httpd_core.c – Apache核心模塊 mod_mime.c – 根據(jù)文件擴(kuò)展名決定應(yīng)答的行為（處理器/過(guò)濾器）和內(nèi)容（MIME類型/語(yǔ)言/字符集/編碼） mod_dir.c – 指定目錄索引文件以及為目錄提供”尾斜杠”重定向 mod_so.c – 允許運(yùn)行時(shí)加載DSO模塊 2、以單獨(dú)的用戶和用戶組運(yùn)行Apache Apache可能默認(rèn)地以nobody或daemon運(yùn)行。讓Apache運(yùn)行在自己沒(méi)有特權(quán)的帳戶比較好。例如：用戶apache。 創(chuàng)建apache用戶組和用戶。 groupadd apache useradd -d /usr/local/apache2/htdocs -g apache -s /bin/false apache 更改httpd.conf，正確地設(shè)置User和Group。 # vi httpd.conf User apache Group apache 之后重啟apache，執(zhí)行ps -ef命令你會(huì)看到apache以“apache”用戶運(yùn)行（除了第一個(gè)都是以root運(yùn)行之外）。 # ps -ef | grep -i http | awk ‘{print $1}’ root apache apache apache apache apache 3、限制訪問(wèn)根目錄（使用Allow和Deny） 在httpd.conf文件按如下設(shè)置來(lái)增強(qiáng)根目錄的安全。 Options None Order deny，allow Deny from all 在上面的： Options None –設(shè)置這個(gè)為None，是指不激活其它可有可無(wú)的功能。 Order deny，allow – 這個(gè)是指定處理Deny和Allow的順序。 Deny from all –阻止所有請(qǐng)求。Deny的后面沒(méi)有Allow指令，所以沒(méi)人能允許訪問(wèn)。 4、為conf和bin目錄設(shè)置適當(dāng)?shù)臋?quán)限 bin和conf目錄應(yīng)該只允許授權(quán)用戶查看。創(chuàng)建一個(gè)組和把所有允許查看/修改apache配置文件的用戶增加到這個(gè)組是一個(gè)不錯(cuò)的授權(quán)方法。 下面我們?cè)O(shè)置這個(gè)組為：apacheadmin 創(chuàng)建組： groupadd apacheadmin 允許這個(gè)組訪問(wèn)bin目錄。 chown -R root:apacheadmin /usr/local/apache2/bin chmod -R 770 /usr/local/apache2/bin 允許這個(gè)組訪問(wèn)conf目錄。 chown -R root:apacheadmin /usr/local/apache2/conf chmod -R 770 /usr/local/apache2/conf 增加合適的用戶到這個(gè)組。 # vi /etc/group apacheadmin:x:1121:user1,user2 5、禁止目錄瀏覽 如果你不關(guān)閉目錄瀏覽，用戶就能看到你的根目錄（或任何子目錄）所有的文件（目錄）。 比如，當(dāng)他們?yōu)g覽http://{your-ip}/images/而images下沒(méi)有默認(rèn)首頁(yè)，那么他們就會(huì)在瀏覽器中看到所有的images文件（就像ls -l輸出）。從這里他們通過(guò)點(diǎn)擊就能看到私人的圖片文件，或點(diǎn)點(diǎn)擊子目錄看到里面的內(nèi)容。 為了禁止目錄瀏覽，你可以設(shè)置Opitons指令為“None“或者是“-Indexes”。在選項(xiàng)名前加“-”會(huì)強(qiáng)制性地在該目錄刪除這個(gè)特性。 Indexes選項(xiàng)會(huì)在瀏覽器顯示可用文件的列表和子目錄（當(dāng)沒(méi)有默認(rèn)首頁(yè)在這個(gè)目錄）。所以Indexes應(yīng)該禁用。 Options None Order allow,deny Allow from all (or) Options -Indexes Order allow,deny Allow from all 6、禁用.htaccess 在htdocs目錄下的特定子目錄下使用.htaccess文件，用戶能覆蓋默認(rèn)apache指令。在一些情況下，這樣不好，應(yīng)該禁用這個(gè)功能。 我們可以在配置文件中按如下設(shè)置禁用.htaccess文件來(lái)不允許覆蓋apache默認(rèn)配置。 Options None AllowOverride None Order allow，deny Allow from all 7、禁用其它選項(xiàng) 下面是一些Options指令的可用值。 Options All –所有的選項(xiàng)被激活（除了MultiViews）。如果你不指定Options指令，這個(gè)是默認(rèn)值。 Options ExecCGI –執(zhí)行CGI腳本（使用mod_cgi）。 Options FollowSymLinks –如果在當(dāng)前目錄有符號(hào)鏈接，它將會(huì)被跟隨。 Options Includes –允許服務(wù)器端包含文件（使用mod_include）。 Options IncludesNOEXEC –允許服務(wù)器端包含文件但不執(zhí)行命令或cgi。 Options Indexes –允許目錄列表。 Options MultiViews -允許內(nèi)容協(xié)商多重視圖（使用mod_negotiation） Options SymLinksIfOwnerMatch –跟FollowSymLinks類似。但是要當(dāng)符號(hào)連接和被連接的原始目錄是同一所有者是才被允許。 絕不要指定“Options All”，通常指定上面的一個(gè)或多個(gè)的選項(xiàng)。你可以按下面代碼把多個(gè)選項(xiàng)連接。 Options Includes FollowSymLinks 當(dāng)你要嵌入多個(gè)Directory指令時(shí)，“+”和“-”是有用處的。也有可能會(huì)覆蓋上面的Directory指令。 如下面，/site目錄，允許Includes和Indexes。 Options Includes Indexes AllowOverride None Order allow，deny Allow from all 對(duì)于/site/en目錄，如果你需要繼承/site目錄的Indexes（不允許Includes），而且只在這個(gè)目錄允許FollowSymLinks，如下： Options -Includes +FollowSymLink AllowOverride None Order allow，deny Allow from all /site目錄允許IncludesIndexes /site/en目錄允許Indexes和FollowSymLink 8、刪除不需要的DSO模塊 如果你加載了動(dòng)態(tài)共享對(duì)象模塊到apache，他們應(yīng)該在httpd.conf文件在“LoadModule”指令下。 請(qǐng)注意靜態(tài)編譯的Apache模塊是不在“LoadModule”指令里的。 在httpd.conf注釋任何不需要的“LoadModules”指令。 grep LoadModule /usr/local/apache2/conf/httpd.conf 9、限制訪問(wèn)特定網(wǎng)絡(luò)（或IP地址） 如果你需要只允許特定IP地址或網(wǎng)絡(luò)訪問(wèn)你的網(wǎng)站，按如下操作： 只允許特定網(wǎng)絡(luò)訪問(wèn)你的網(wǎng)站，在Allow指令下給出網(wǎng)絡(luò)地址。 Options None AllowOverride None Order deny,allow Deny from all Allow from 10.10.0.0/24 只允許特定IP地址訪問(wèn)你的網(wǎng)站，在Allow指令下給出IP地址。 Options None AllowOverride None Order deny，allow Deny from all Allow from 10.10.1.21 10、禁止顯示或發(fā)送Apache版本號(hào)（設(shè)置ServerTokens） 默認(rèn)地，服務(wù)器HTTP響應(yīng)頭會(huì)包含apache和php版本號(hào)。像下面的，這是有危害的，因?yàn)檫@會(huì)讓黑客通過(guò)知道詳細(xì)的版本號(hào)而發(fā)起已知該版本的漏洞攻擊。 Server:Apache/2.2.17 (Unix) PHP/5.3.5 為了阻止這個(gè)，需要在httpd.conf設(shè)置ServerTokens為Prod，這會(huì)在響應(yīng)頭中顯示“Server:Apache”而不包含任何的版本信息。 # vi httpd.conf ServerTokens Prod 下面是ServerTokens的一些可能的賦值： ServerTokens Prod 顯示“Server:Apache” ServerTokens Major 顯示 “Server:Apache/2″ ServerTokens Minor 顯示“Server:Apache/2.2″ ServerTokens Min d顯示“Server:Apache/2.2.17″ ServerTokens OS 顯示 “Server:Apache/2.2.17 (Unix)” ServerTokens Full 顯示 “Server:Apache/2.2.17 (Unix) PHP/5.3.5″ （如果你這指定任何的值，這個(gè)是默認(rèn)的返回信息） 除了上面10個(gè)apache的安全建議，你還必要確保你的UNIX/Linux操作系統(tǒng)的安全。如果你的操作系統(tǒng)不安全，那么只是確保apache的安全就沒(méi)有任何意義了。通常的我們要保持apache版本的更新，最新的apahce版本會(huì)修復(fù)所有已知的安全問(wèn)題。還有就是要確保時(shí)常查看apache日志文件。