13、Apache服务器安全配置与管理全解析

Apache服务器安全配置与管理全解析

1. 安全基础

网站访客的访问权限与运行服务器进程的用户ID相似。合理配置时，该用户ID在机器上的操作权限有限，确保系统安全就需将其访问范围严格限制在极小的区间内。

需要注意的是，虽无root权限的用户也能启动Apache，但Apache进程无法切换到其他用户ID运行，也不能绑定小于1024的端口。这种情况在特定有限场景中有用，但对公开访问的系统并非理想选择。

2. 文件权限设置

在Linux系统中，文件权限是安全的重要组成部分。若不重视关键文件的权限，普通用户可能做出通常只有超级用户才能进行的更改。

若要让Apache以非特权用户身份在端口80（或小于1024的其他端口）运行，需从root用户启动。假设这个非特权用户为webuser，它应能读取Web文档树但通常不具备修改权限。为确保webuser能读取文档树，需将文档树中所有要提供服务的文件和目录设置为全局可读：

# chmod -R o+r

为处理Web文档的人员创建一个名为webeditors的组，该组应与webuser所属组不同，因为它要对文档树进行写入操作。为<htdocs>目录设置组粘滞位，可保证在此创建的新文件归该组所有，组内成员均可编辑：

# chown -R