尼卡．Nica

譯者：Nica < nicaliu at gmail dot com >



Apache HTTP Server 是 Red Hat Enterprise Linux 下最穩也最安全的服務之一。擁有超多的選項與技術，可用來加強 Apache HTTP Server 的安全 - 因為太多，無法在此一一敘述。

在組態 Apache HTTP Serveer 時，最重要的就是要先詳讀該應用程式的文件，包括此處的 22 章 Apache HTTP server 與 Stronghold 手冊 - http://www.redhat.com/docs/manuals/stronghold/。



系統管理者在使用下列組態選項時，應該特別留意：



．FollowSymLinks

該指令預設為啟用，所以在為 Web Server 的 document root 建立 symblic link 時請特別的小心。舉例來說，不建議在這裡為 / 設定 symblic link。



．Indexes 指令

預設為啟用，但不需要。為避免訪客瀏覽你伺服器裡的檔案，請移除該指令。



【Nica 註：將 <Directory "/var/www/html" 下的   Options Indexes FollowSymLinks 這一行的 Indexes 刪除。】



．UserDir 指令

UserDir 預設為停用，因為這麼作可以保護系統裡存在的使用者帳號。欲啟用瀏覽伺服器裡的使用者目錄，請使用下列指令：



UserDir enabled

UserDir disabled root



這樣的指令可啟動所有使用者目錄的瀏覽，除了 /root/ 以外。欲加入停用帳號的清單，只要在 UserDir disabled 這行，以空白隔開清單項目即可。



．不要移除 IncludesNoExec 指令

預設情況下， Server-Side Includes (SSI)  模組無法執行命令。建議你不要作任何變更，除非絕對有其必要，因為這麼作會給攻擊者在你系統裡執行命令的機會。



．為具可執行權限的目錄限制存取

要確保只有 root 可以寫入任何含有 script 或 CGI 的目錄，請輸入以下命令：

chown root <directory_name>

chmod 755 <directory_name>



原文參考：

43.2.5. Securing the Apache HTTP Server

．http://www.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/index.html

．http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s1-server-http.html