Apache Web服务器安全配置全攻略

核心提示： order deny,ellowDeny from all将禁止对文件系统的缺省访问，6、CGI脚本的安全考虑CGI脚本是一系列可以通过Web服务器来运行的程序，Apache Web服务器安全配置全攻略(3)，为了保证系统的安全性，应确保CGI的作者是可信的，提供一定的灵活性，当Deny、All

order deny,ellow

Deny from all

将禁止对文件系统的缺省访问。

6、CGI脚本的安全考虑

CGI脚本是一系列可以通过Web服务器来运行的程序。为了保证系统的安全性，应确保CGI的作者是可信的。对CGI而言，最好将其限制在一个特定的目录下，如cgi-bin之下，便于管理；另外应该保证CGI目录下的文件是不可写的，避免一些欺骗性的程序驻留或混迹其中；如果能够给用户提供一个安全性良好的CGI程序的模块作为参考，也许会减少许多不必要的麻烦和安全隐患；除去CGI目录下的所有非业务应用的脚本，以防异常的信息泄漏。

以上这些常用的举措可以给Apache Server 一个基本的安全运行环境，显然在具体实施上还要做进一步的细化分解，制定出符合实际应用的安全配置方案。

Apache Server基于主机的访问控制

Apache Server默认情况下的安全配置是拒绝一切访问。假定Apache Server内容存放在/usr/local/apache/share 目录下，下面的指令将实现这种设置：

　　Deny from all
　　Allow Override None

则禁止在任一目录下改变认证和访问控制方法。

同样，可以用特有的命令Deny、Allow指定某些用户可以访问，哪些用户不能访问，提供一定的灵活性。当Deny、Allow一起用时，用命令Order决定Deny和Allow合用的顺序，如下所示：

1、 拒绝某类地址的用户对服务器的访问权（Deny）

如：Deny from all

　　Deny from test.cnn.com
　　Deny from 204.168.190.13
　　Deny from 10.10.10.0/255.255.0.0

2、 允许某类地址的用户对服务器的访问权（Allow）

如：Allow from all

　　Allow from test.cnn.com
　　Allow from 204.168.190.13
　　Allow from 10.10.10.0/255.255.0.0