修改 httpd.conf 檔中影響安全的設定值
在 Apache 的 httpd.conf 設定檔中
有許多設定值會影響伺服器的安全
以下將分別解說之
| 1. 設定能存取伺服器網址 |
| 在設定檔中可利用 order、 allow 及 deny 項目來設定 |
| Apache 伺服器允許哪些主機存取 |
| 以下將解說如何設定過程 |
| 首先請開啟 httpd.conf 設定檔 |
| # vi /etc/httpd/conf/httpd.conf |
| 可在目錄設定區中加入以下參數 (假設只開放給 123.com.tw 來存取主機) |
| ... |
| Order deny , allow 先處理 deny 項目,其次才適 allow 項目 |
| Deny from all 拒絕所有主機存取 |
| Allow from 123.com.tw 只允許來自 123.com.tw 網域可存取主機 |
| ... |
| 反過來如果只限制某些主機無法存取而其他任何主機皆可存取 |
| ... |
| Order allow , deny 先處理 allow 項目,其次才是 deny 項目 |
| Allow from all 允許所有主機都可存取 |
| Deny from 123.123.123.12 123.123.123.13 不允取來自 123.123.123.12 和 123.123.123.13 主機存取 |
| ... |
| 存檔後離開 :wq |
| 2. 設定使否允取執行 CGI |
| 有些執行 CGI 會影響 Linux 系統安全的指令或者是洩露主機資訊 |
| 以及可能也因 CGI 程式編寫關係而影響主機的系統資源 |
| 因此在設定 CGI 權限時請要特別注意安全性... |
| 如果要在該目錄加上可執行 CGI 功能則可以依照以下方式設定 |
| 首先請開啟 httpd.conf 設定檔 |
| # vi /etc/httpd/conf/httpd.conf |
| 在要開放 CGI 執行權限目錄下新增參數 (假設要在 cgitest 目錄開啟 CGI 功能) |
| ... |
| 設定 cgitest 目錄功能區 |
| AllowOverride None |
| Options ExecCGI 如果要允許執行 CGI 則加入此參數 |
| Order allow , deny |
| Allow from all |
| ... |
| 設定好後請存檔離開即可 :wq |
| 如果非必要開放 CGI 建議在前面加上 # 關閉此功能以維護主機安全 |
| 3. 關閉檔案列表功能 |
| 如果當使用者瀏覽到一個網站中沒有存放在 DirectoryIndex 項目的設定值 |
| 像 index.html、index.htm ... 等檔案則可能主機會將該網頁目錄下檔案都列出來 |
| 這樣子一般使用者都可能看到該目錄下所有檔案 |
| 如果管理者不想讓一般使用者能看到網站目錄底下的所有資料時 |
| 只要依照以下方式做修改即可取消檔案列表的功能 |
| 首先開啟 httpd.conf 設定檔 |
| # vi /etc/httpd/conf/httpd.conf |
| 移到要關閉檔案列表功能的目錄設定區塊中 |
| ... |
| 設定該目錄的設定區 |
| ... |
| Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec |
| 將上行中的 Indexes 刪除即可 |
| ... |
| 存檔離開 :wq 並重新啟動 Apache |
| 此後當使用者瀏覽到 /home/*/public_html 網頁目錄底下時 |
| 如果該目錄中沒有 DirectoryIndex 項目設定值的內容時 |
| 也並不會再列出目錄底下的檔案列表出來了 |
文章標籤
全站熱搜
Linux 基本區 (6)