令思路方法
要防止服务器广播敏感信息
定要保证将httpd.conf中
“ServerSignature”指令设置为“off”次默认Apache安装会将此指令设置为“off”不过许多管理员却启用了它同样地
禁用目录浏览也是个不错注意在目录浏览被启用时访问个并不包含其所需要文档目录用户会看到此目录中完整内容列表无疑你不应当将敏感材料以纯文本形式存储到个Web服务器上除非你必须这样做你也不应该允许人们看到超过其需要内容目录浏览默认地是被启用
要禁用这个特性应编辑http.conf文件而且对每个“Directory”指令应清除“Indexs”引用例如
在笔者做实验用Apache 2.2.4服务器上这是默认目录命令:Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
清除Indexes引用后
样子:Options FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
你也可以保留Indexes指令
并用个破折号引导从而禁用此指令(也就是“-Indexes”)禁用符号连接追踪
如果你是唯
个校对Web内容人员而你在创建新符号连接时又几乎不犯
你可能不会担心此措施不过如果你有很多人员能够向你站点增加内容并非所有人都像你样谨慎从事那么就会有种风险即某个用户可能偶然会创建个符号连接指向你文件系统部分而你又确实不想让人们看到这些文件例如如果你Apache服务器根目录中某人创建了个指向 “/”文件夹符号连接你该如何办?为了取消Apache服务器允许用户追踪符号连接
请求应该在Directory命令中清除FollowSymlinks指令例如
在笔者试验性Apache 2.2.4服务器中Directory命令如下:Options Indexes FollowSymLinks
AllowOverrride None
Order allow,deny
Allow from all
在清除了FollowSymLinks引用后
就成为如下样子:Options Indexes
AllowOverrride None
Order allow,deny
Allow from all
如果
些用户需要跟踪符号连接能力可以考虑使用SymLinksIfOwnerMatch代替Listen指令具体化
在你第
次安装Apache时httpd.conf包含个“Listen 80”指令应将其改变为“Listen mn.xx.yy.zz:80”在这里“mn.xx.yy.zz”是你想让Apache监听其请求IP地址如果你Apache运行在个拥有多个IP地址服务器上时这点尤其重要如果你不采取预防措施默认“Listen 80”指令告诉Apache监听每个IP地址80端口不过
这项措施有可能不适用于你环境应根据需要而定从httpd.conf中清除默认
注释Apache 2.2.4中默认
httpd.conf文件有400多行在这400行中只有小部分是实际Apache指令其余仅是帮助用户如何恰当地在httpd.conf中放置指令注释根据笔者经验这些注释有时起负面作用甚至将危险指令留存于文件中笔者在所管理许多Apache服务器上将httpd.conf文件复制为其它文件如httpd.conf.orig等然后完全清除多余注释文件变得更加容易阅读从而更好地解决了潜在安全问题或者地配置文件TAG: Apache apache WEB 服务器 Web 措施
最新评论