Windows下Apache應(yīng)用環(huán)境塔建安全設(shè)置

2013-05-31 21:25:41來源:西部e網(wǎng)轉(zhuǎn)作者:

服務(wù)器的安全是最為重要的,這里介紹了在Windows操作系統(tǒng)下安裝Apache后的一些安全配置教程,讓您的服務(wù)器更安全,網(wǎng)站更健康!

服務(wù)器的安全是最為重要的,這里介紹了在Windows操作系統(tǒng)下安裝Apache后的一些安全配置教程,讓您的服務(wù)器更安全,網(wǎng)站更健康!

環(huán)境配置情況:
apache安裝目錄:d:\www-s\apache
php目錄:d:\www-s\php5
mysql目錄:d:\www-s\mysql
網(wǎng)站根目錄:d:\www\htdocs

專門為運行Apache運行所使用的用戶:apache-u(可不隸屬于任何用戶組)

PS:這里只說Windows下Apache應(yīng)用環(huán)境相關(guān)的目錄權(quán)限設(shè)置,至于其他基本的服務(wù)器目錄權(quán)限設(shè)置就不提啦!

Windows下Apache應(yīng)用環(huán)境塔建目錄安全設(shè)置操作步驟:

配置目錄權(quán)限

Apache所在的根目錄(也就是D盤),只需要讀取的權(quán)限,并且這個讀取權(quán)限不需要繼承到子目錄與文件(可以在權(quán)限設(shè)置高級里選擇——應(yīng)用到:只有該文件夾——權(quán)限:列出文件夾/讀取數(shù)據(jù), 讀取屬性,讀取擴展屬性,讀取權(quán)限——確定)。

Apache安裝目錄的上級目錄(d:\www-s),需要“讀取”的權(quán)限(和根目錄D盤的權(quán)限雷同)。

Apache安裝目錄,需要“列出文件夾目錄”和“讀取”的權(quán)限(可以為了方便使用繼承)。

Apache安裝目錄下的子目錄權(quán)限設(shè)置

“bin”和“modules”目錄需要“讀取和運行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

“logs”目錄需要“列出文件夾和目錄”、“讀取”、“寫入”的權(quán)限(若Apache安裝目錄的權(quán)限使用啦繼承,可只添加“寫入”權(quán)限即可)。

到這里Apache的權(quán)限已經(jīng)設(shè)置完畢,接下來設(shè)置PHP的權(quán)限

PHP目錄(PHP5)可簡單的設(shè)置為“讀取和運行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

Mysql目錄下的bin文件夾和文件(mysql)需要為添加apache用戶的“遍歷文件夾和運行文件”、“列出文件夾和讀取數(shù)據(jù)”的權(quán)限(可以在權(quán)限高級設(shè)置里找到)。

到這里Apache+Mysql+Php已經(jīng)基本可以使用,接著配置網(wǎng)站根目錄權(quán)限

網(wǎng)站根目錄(www\htdocs)的上級目錄www需要讀。“列出文件夾和讀取數(shù)據(jù)”、“讀取屬性”、“讀取擴展屬性”、“讀取權(quán)限”)的權(quán)限(和Apache的上級目錄權(quán)限雷同,不需要繼承到子目錄和文件中去)。

網(wǎng)站根目錄(htdocs)可簡單的設(shè)置“讀取”權(quán)限就可以啦(然后可以根據(jù)需要對緩存文件夾設(shè)置可寫權(quán)限)。

到這里Apache+PHP+Mysql的環(huán)境受限制權(quán)限設(shè)置基本完成。

為Apache服務(wù)啟用受限制用戶

進入服務(wù)管理器(Services.msc,或者“我的電腦——屬性——管理——服務(wù)”),找到Apache的服務(wù)項(Apache2.2),設(shè)置屬性,登錄用戶選擇受限用戶(Apache-u)輸入受限用戶的密碼,應(yīng)用,確定。

這里“確定”之后一般會有提示(已授予賬戶.\apache-u“以服務(wù)方式登錄”的權(quán)利)。這個提示相當(dāng)于在組策略(開始->管理工具->本地安全策略,或者使用gpedit.msc打開)中的“用戶權(quán)利分配”中選擇“作為服務(wù)登陸”,添加apache-u用戶。

可在任務(wù)管理器中查看httpd.exe進程的用戶名為apache-u,使用PHP+Mysql的程序都可正常運行。
到這里已經(jīng)完成啦“Windows下Apache應(yīng)用環(huán)境目錄權(quán)限”的受限制使用設(shè)置。

補充3:

可以在目錄(具有可寫權(quán)限的)下建個 .htaccess 內(nèi)容寫上:

RewriteEngine On
Order Allow,Deny
Deny from all
<files ~ “.(css|js)$”>
Allow from all
</files>

css和js為允許的文件擴展類型!

補充2:

1.Apache的權(quán)限設(shè)置錯誤提示

apache目錄,php目錄,網(wǎng)站目錄中的一個權(quán)限設(shè)置不夠都不能正常啟動Apache服務(wù),一般提示為:

Windows 不能再 本地計算機 啟動 Apache2.2。有關(guān)更多信息,查閱系統(tǒng)事件日志。如果這是非 Microsoft服務(wù),請與服務(wù)廠商聯(lián)系,并參與特定服務(wù)錯誤代碼 1。

查看系統(tǒng)事件日志中的提示為:

Apache2.2 服務(wù)因 1 (0×1) 服務(wù)性錯誤而停止。

若是php的權(quán)限配置錯誤會在應(yīng)用程序事件日志中有記錄。

2.另外Mysql的目錄權(quán)限配置錯誤,不會對正常啟動Apache服務(wù)造成影響,但不能網(wǎng)站程序使用Mysql服務(wù)(PHPINFO中顯示并沒有加載Mysql模塊)。

補充1:

這個東東在本地機子上用來做測試基本是不用理會這些權(quán)限的,因為默認是使用系統(tǒng)用戶來啟動這個Apache服務(wù)的!不過若是暴露在外網(wǎng)就很危險啦!

安全是全方面的架構(gòu)考慮,這里說的僅僅是冰山一角,不能以點蓋面!

關(guān)鍵詞:Apache安全

贊助商鏈接: