保障Web服务器 Apache安全五项措施

核心提示： 为了取消Apache服务器允许用户追踪符号连接的请求，应该在Directory命令中清除FollowSymlinks指令，保障Web服务器 Apache安全五项措施(3)，例如，在笔者的试验性的Apache 2.2.4服务器中，然后完全清除多余的注释，文件变得更加容易阅读，Directory命令

为了取消Apache服务器允许用户追踪符号连接的请求，应该在Directory命令中清除FollowSymlinks指令。

例如，在笔者的试验性的Apache 2.2.4服务器中，Directory命令如下：

　Options Indexes FollowSymLinks
　　AllowOverrride None
　　Order allow,deny
　　Allow from all

在清除了FollowSymLinks引用后，就成为如下的样子：

　　Options Indexes
　　AllowOverrride None
　　Order allow,deny
　　Allow from all

如果一些用户需要跟踪符号连接的能力，可以考虑使用SymLinksIfOwnerMatch代替。

Listen指令具体化

在你第一次安装Apache时，httpd.conf包含一个“Listen 80”指令。应将其改变为“Listen mn.xx.yy.zz:80”，在这里“mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时，这一点尤其重要。如果你不采取预防措施，默认的“Listen 80”指令告诉Apache监听每一个IP地址的80端口。

不过，这项措施有可能不适用于你的环境，应根据需要而定。

从httpd.conf中清除默认的注释

Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中，只有一小部分是实际的Apache指令，其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验，这些注释有时起负面作用，甚至将危险的指令留存于文件中。笔者在所管理的许多Apache服务器上将httpd.conf文件复制为其它的文件，如httpd.conf.orig等，然后完全清除多余的注释。文件变得更加容易阅读，从而更好地解决了潜在的安全问题或者错误地配置文件。