服务器 频道

Linux服务器安全策略详解之Apache配置

  6.3.5  Web目录的访问策略

  对于可以访问的Web目录,要使用相对保守的途径进行访问,不要让用户查看任何目录索引列表。

  1.禁止使用目录索引

  Apache服务器在接收到用户对一个目录的访问时,会查找Directorylndex指令指定的目录索引文件,默认情况下该文件是index.html。如果该文件不存在,那么Apache会创建动态列表为用户显示该目录的内容。通常这样的设置会暴露Web站点结构,因此需要修改配置文件禁止显示动态目录索引。

  修改配置文件httpd.conf:

  Options -Indexes FollowSymLinks

  Options指令通知Apache禁止使用目录索引。FollowSymLinks表示不允许使用符号链接。

  2.禁止默认访问

  一个好的安全策略要禁止默认访问的存在,只对指定的目录开启访问权限,如果允许访问/var/www/html目录,使用如下设定:

  Order deny,allow

  Allow from all

  3.禁止用户重载

  为了禁止用户对目录配置文件(.htaccess)进行重载(修改),可以这样设定:

  AllowOverride None

  6.3.6  Apache服务器访问控制方法

  Apache的access.conf文件负责设置文件的访问权限,可以实现互联网域名和IP地址的访问控制。它包含一些指令,控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。如果允许192.168.1.1到192.168.1.254的主机访问,可以这样设定:

  order deny,allow

  deny from all

  allow from pair 192.168.1.0/255.255.255.0

 

0
相关文章