为 Apache 建立专门的用户和组
按照最小特权原则(是保证系统安全的最基本原则之一,它限制了使用者对系统及数据进
行存取所需的最小权限,这样,即保证了用户能完成所需的操作,同时也确保非法用户或者异
常操作所造成的损失最小化),需要 分配一个合适的权限,某个目录的权限错误不
会影响到其他目录。
必须保证 使用一个专门的用户和用户组,不要使用系统预置的账号,比如
! 用户和 用户组。因为只有 用户可以运行 ,
应该能够被管理 站点内容的用户访问和使用 服务器的 用户和用户组访
问。所以,如果希望“9用户在 站点发布内容,并且可以以 身份运行 服
务器,通常可以这样:
7
788
7<>?+88
只有 用户访问日志目录,这个目录的权限应设为:
788
7?++88
Web 目录的访问策略
禁止使用目录索引
服务器在接收到用户对一个目录的访问时,会查找 !) 指令的目录索
引文件,默认情况下该文件时 )。如果该文件不存在,那么 会创建一个动
态列表为用户显示该目录的内容。通常这样的设置回暴漏 站点结构,因此需要修改配置
文件来禁止显示动态目录结构。
修改配置文件 %@
7) % !1
指令通知 禁止使用目录索引。: !1 表示允许使用符号链接
禁止默认访问
一个号的安全策略是要禁止默认访问的存在,值对指定的目录开启访问权限,如果允许访
问8/88 目录,则需要以下设置:
!A
%
禁止用户重载
为了禁止用户对目录配置文件( )进行重载(修改)可以这样设置:
/B
服务访问控制方法
的 % 文件负责文件的访问设置,可以实现互联网域名和 & 地址的访
问控制。它包含一些指令,控制允许什么用户访问 目录,应该把 !% 设
置 成 初 始 化 指 令 , 再 试 用 % 指令打开 访 问 权 限 。 如 果 允 许 C,<C-DCC 到