Apache(Windows)安全配置手册.doc

Apache(Windows) 安全配置手册 目录 1. 操作系统的安全配置 3 2. 更新Apache最新版本 3 2.1查看Apache版本 3 2.3 到官方网站确认及下载最新版本 4 3. Apache安全配置 4 3.1隐藏Apache的版本号及其它敏感信息 4 3.2 创建Apache运行帐户及组 5 3.3设置Apache的目录访问 7 3.4使用错误机制保护出错页面 8 1. 操作系统的安全配置 Apache的安全配置包括两个部分，系统安全安全配置和Apache安全配置，安装Apache是，不能选择安装在系统盘C，应选择安装在其他盘： 2. 更新Apache最新版本 2.1查看Apache版本 开始－程序－Apache HTTP Server 2.0.54 2.3 到官方网站确认及下载最新版本 到确认和下载最新的版本，截止到2008-07-30日，Apache最新的版本为： 2.2系列最新版为：2.2.9 2.0系列最新版为：2.0.63 1.3系列最新版为：1.3.41 建议不要再使用1.3系列的Apache，更新为2.0系列最新版最好。 3. Apache安全配置 3.1隐藏Apache的版本号及其它敏感信息 操作步骤： 开始－程序－ Apache HTTP Server 2.0.54－Configure Apache Server－Edit the Apache httpd.conf configuration file，编辑httpd.conf文件。 也可以在Apache安装目录下打开httpd.conf文件： 参数设置： 在配置文件httpd.conf中加入以下语句。 3.2 创建Apache运行帐户及组 默认情况下，安装完后，Apache会以用户System(本地系统账号)运行Options指令控制了在特定目录中将使用哪些服务器特性。 1）None ：在这种情况下，将不启用任何额外特性或设置为以下选项中的一个或多个All：除MultiViews之外的所有特性这是默认设置。 ExecCGI：允许使用mod_cgi执行CGI脚本。 FollowSymLinks：服务器允许在此目录中使用符号连接。 注意：即使服务器会使用符号连接，但它不会改变用于匹配Directory段的路径名。 注意：如果此配置位于Location配置段中，则此设置会被忽略。 Includes：允许使用mod_include提供的服务器端包含。 IncludesNOEXEC：允许服务器端包含，但禁用#exec cmd和#exec cgi。但仍可以从ScriptAlias目录使用#include virtual虚拟CGI脚本。 Indexes：如果一个映射到目录的URL被请求，而此目录中又没有DirectoryIndex(例如：index.html)，那么服务器会返回由mod_autoindex生成的一个格式化后的目录列表。 MultiViews：允许使用mod_negotiation提供内容协商的多重视图(MultiViews)。 SymLinksIfOwnerMatch：服务器仅在符号连接与其目的目录或文件的拥有者具有相同的uid时才使用它。如果此配置出现在Location配置段中，此选项将被忽略。 –Includes NOEXEC 或 -Includes 时，不论前面如何设置，都会完全禁用服务器端包含。 3.4使用错误机制保护出错页面 当用户浏览网页出错时，将转向错误页面，建立专门的错误页面，防止出错 时过多的信息泄露。 操作步骤： 打开和编辑httpd.conf。 参数设置： 配置错误跳转页要注意两个方面： 1．在网站的默认目录下建立一个错误页，并且能够访问一个正确的访问该页； 2．在apache的配置文件里加上ErrorDocument 404 /404.html（此为错误页的url，一般在apache的配置文件里他们都是配置注释的）。