Apache服务器的安全配置

Apache效劳器的平安配置湖南交通职业技术学院信息管理系曾瑶辉课程目标训练如下的平安配置技能：实现访问控制〔按IP或名称地址〕实现认证控制〔按用户名和口令〕实现SSL要了解的根底：

与Apache效劳器和web站点相关的目录和文件/etc/httpd/conf/httpd.confApache的主配置文件/var/log/httpd/access_log访问日志文件/var/log/httpd/error_log错误日志文件/var/www/html默认web站点的documentroot/var/www/cgi-bin默认web站点CGI程序的保存目录任务一实现访问控制访问控制的涵义：允许或拒绝某些IP、某些主机对Apache效劳器的某个目录、某个文件的访问。实现方法：在d.conf中编辑访问控制参数段访问控制的例子1<Directory/var/www/html>Orderallow,denyallowfromall</Directory>这段表示允许来自所有地方的IP和主机访问“/var/www/html”目录。(其中orderallow,deny表示首先检查允许列表，再检查拒绝列表，没有明确允许的默认为拒绝)访问控制的例子2<Directory“/var/www/html”>Orderallow,denyallowfromedu</Directory>这段表示允许来自网段和edu域的客户访问“/var/www/html”目录。(其中orderallow,deny表示首先检查允许列表，再检查拒绝列表，没有明确允许的默认为拒绝)访问控制的例子3<Directory“/var/www/html”>Orderdeny,allowdenyfromallallowfromedu</Directory>这段表示允许来自edu域的客户访问“/var/www/html”目录，拒绝所有其他客户。(其中orderdeny，allow表示先检查拒绝列表，后检查允许列表，没有明确拒绝的默认为允许)任务二实现认证控制认证控制的涵义：用户要提供用户名和口令才能访问某个目录或文件〔注意，前面的访问控制是不需要提供用户名和口令的〕认证控制例子1要求/var/www/html/test目录中所有网页文件只允许zeng，wang访问。第一步

在d.conf中指定访问哪个目录需要用户名和口令参加如下行：<Directory/var/www/html/test> OptionsIndexesFollowSymLinks AuthTypeBasic AllowOverrideAuthConfig AuthUserFile/var/www/userpassword requirevalid-user Orderallow,deny Allowfromall/Directory>〔这里的用户名称和口令与linux主机上的帐号和口令互不相干〕此处指定目录此处表示启用用户认证,且为根本方式此行指定存放用户名和口令的文件第二步

创立认证用户名和口令文件〔例如/var/www/userpassword〕cd/usr/binhtpasswd–c/var/www/userpasswordzeng.(按提示输入zeng的口令).htpasswd/var/www/userpasswordwang.(按提示输入wang的口令)(注意，－c选项用于创立口令文件，只在设置第一个用户时使用，用－d选项可以把用户从口令文件中删除)认证控制和访问控制都有的例子1要求/var/www/html/test目录中所有网页文件只允许从IP段访问，而且要输入用户名和口令。<Directory/var/www/html/test> OptionsIndexesFollowSymLinks AuthTypeBasic AllowOverrideAuthConfig AuthUserFile/var/www/userpassword requirevalid-user Orderdeny,allow denyfromall/Directory>虚拟主机配置1：利用相同IP的不同端口任务：在IP为的主机上面设置2个虚拟主机，分别使用8000和8888端口。

访问虚拟主机的方式：://8:8000或8888步骤1.在d.conf文件中添加如下内容listen8000listen8888<VirtualHost8:8000>DocumentRoot/var/www/vhost8000ServerName</VirtualHost>#----------------------<VirtualHost8:8888>DocumentRoot/var/www/vhost8888ServerName</VirtualHost>2.建立/var/www/vhost8000和/var/www/vhost8888目录，并且在目录下创立index.html3.重新启动d。在客户端用:端口号的方式访问主机。〔如果网络上的DNS配置好了，也可以用://:端口号的方式访问主机〕虚拟主机配置2：利用不同的IP任务：某主机仅有一块网卡，IP为，要求设置2个虚拟主机，分别使用和。

步骤1.为网卡创立2个设备别名，并且绑定IP[root@localhostroot]#ifconfig[root@localhostroot]#ifconfig2.在d.conf文件中添加如下内容<VirtualHost9>DocumentRoot/var/www/vhost69ServerName</VirtualHost><VirtualHost0>DocumentRoot/var/www/vhost70ServerName</VirtualHost>3.建立/var/www/vhost69和/var/www/vhost70目录，并且在目录下创立index.html4.重新启动d。在客户端用://ip的方式访问主机。〔如果网络上的DNS配置好了，也可以用://域名的方式访问主机〕虚拟主机配置3：利用不同的域名任务：某主机仅有一块网卡，IP为，要求设置2个虚拟主机，域名称分别和(基于域名的虚拟主机的好处在于不浪费IP地址，实际用的较多)步骤1.在DNS效劳器中的正向区域文件中添加A记录，反向区域文件中添加PTR记录，说明域名称、与的对应关系。并且重新启动DNS2.在d.conf文件中添加如下内容NameVirtualHost<VirtualHost8>DocumentRoot/var/www/vhost-zeng1ServerName</VirtualHost><VirtualHost8>DocumentRoot/var/www/vhost-zeng2ServerName</VirtualHost>3.建立/var/www/vhost-zeng1和/var/www/vhost-zeng2目录，并且在目录下创立index.html4.重新启动d。在客户端用://域名的方式访问主机。

SSL的安装与配置1：SSL简介SSL：SecureSocketLayer〔平安套接层协议〕功能：在Web效劳器和浏览器之间建立平安的数据传输通道，保障它们之间的通信数据的保密性，并且始终对效劳器进行认证〔保障效劳器不是假冒的〕，还可选择对客户进行认证。优势：与高层应用层协议完全独立无关。SSL协议在高层应用协议〔如，ftp〕通信之前就已经完成加密算法、通信密钥的协商及效劳器的认证工作。此后高层应用协议所传输的所有数据都会被加密，而高层应用协议并不需要做任何改动。例如，用://访问，效劳器送给浏览器和浏览器送给效劳器的数据在传输途中是不加密的，用s://访问的话，就先在web效劳器和浏览器之间建立一条平安通道，再把效劳器上的原主页交给这条平安通道的效劳器端，由它加密后送给客户端，在平安通道的客户端解密后再交给客户端的浏览器。这样看来，效劳器端的原网页并没有改动，在客户浏览器上看到的也是原来的网页显示结果，只是数据在传输途中是加密的了！(当然，前提条件是效劳器上装了SSL