20、网络服务器安全与配置指南

网络服务器安全与配置指南

1. Apache服务器安全配置

Apache Web服务器具有诸多优势，如功能先进、性能良好且源代码免费获取。不过，为保障其安全性，需进行一系列配置。

1.1 防止.htaccess文件滥用

可防止除特定启用目录外的所有目录使用.htaccess文件。

1.2 保障服务器端包含（SSI）安全

SSI会给系统带来安全风险，增加服务器负载，即便文件中无SSI指令，Apache也会解析所有启用SSI的文件。虽负载增加不显著，但在共享环境中影响较大。同时，SSI文件与CGI存在相同风险，启用SSI的文件可执行CGI脚本或程序，这对系统管理员而言是安全隐患。

为防范这些安全威胁，可采取以下措施：
- 使用Linux提供的suEXEC实用工具，该功能可让CGI和SSI程序在与调用Web服务器不同的用户ID下运行。
- 为.html或.htm文件启用SSI存在风险，启用SSI的文件应使用独立扩展名，如常规的.shtml，这有助于减轻服务器负载并便于文件管理。
- 禁用从SSI页面运行脚本和程序的功能，可在Options指令中将Includes替换为IncludesNOEXEC。

此外，应将CGI限制在特定目录，以便管理员控制这些目录。对这些目录有写入权限的用户需值得信任，管理员还需对每个新的CGI脚本或程序进行潜在安全漏洞测试。

1.3 限制默认访问

Apache Web服务器提供默认访问，即服务器可遍历整个文件系统以响应客户端请求。为避免此情况，可在服务器配置中添加以下条目：