Ｔ技 术
Ａ 。ｈ ｐ。ｏｗｏ 服务器安全运行环境的配置总结 ｂ
毛钧
（ 河南理工大学计算机学院信息管理系
４４０ ５００ ）
摘 要： 介绍Ａ ａｈ 服务器的安全特性， 据架设Ａ ｃ ｗ ｂ ｐ ｅ ｃ 根 ａｅ Ｐ ｈ ｅ 服务器的工作实践， 总结构建Ａ ａｈ ｅｒｅ安全 ｐｃｅｓｖｒ 运行环境的基本措施。 关键词：Ａ ａｈ 安全特性 安全运行环境 ｐｃｅ 文章编号： ７一 ７１ ０７ ６ ）０２一 １ １ ２ ３９（ ０） （ 一 １２ ０ ６ ２ ０ａ 中图分类号： Ｐ ６ ． Ｔ ３８５ 文献标识码： Ａ
泄漏。
以上这些常用的举措可以给 Ａｐ ｃ ｅ ａｈ Ｓ ｖｒ一个基本的安全运行环境， 然在具 ｒ ｅｅ 显 体实施上还要做进一步的细化分解， 制定出符 合实际应用的安全配置方案。
参考文献
【 Ａｐ ｃ ｅ Ｊ Ｉ ａ ｈ 服务器安装与配置． ｔｐ ／ ｈ ：／ ｗｗｗ． ｃ ｒｎ ｃ ｍ／ ｔ ｅ ｗｌｑ ａ ｈ ｅ ．ｏ Ａｒｉｌ／ ａ ／ ｔ ｅ ｃ ｗＺ ／ ０ １／ ８ ｈｎ ． ５０ ９ ．ｔｉ ｊ ２０ ｓ ｌ １ ２ 娜Ｃｅ简介及基本配置．ｔ ：／ ， 刃 ［Ａ ｈ ｈ Ｐ／ 从 ｐ ． ｃＰａ ． ／ｓｏ ｌ ｅｅ Ｐ ｊ ／ ｃｍ ｅ ｈ ｏ ｄｖ ｏ／ａａ ｎ 羚ｒ ｏ ｃ ／ ｌ ｌ ｖ
问整个文件系统。在服务器文件中 加人如下
内容： 。ｄ ｒｄ ｙ ｅ ， ｎ ， ｏ犷 ｒｅ ｅ ｌ Ｄｎ ｆ ｍ ａ ｅｙ ｒ ｏ ｌ 将禁止对文件系统的缺省访问。 ２６ｃ Ｉ ． Ｇ 脚本的安全考虑 ＣＩ Ｇ 脚本是一系列可以通过 Ｗｅ 服务器 ｂ 来运行的程序。为了保证系统的安全性， 应 确保 Ｃ 的作者是可信的。对 Ｃ Ｉ ＧＩ Ｇ 而言， 最
好将其限制在一个 特定的目 录下， ｇｉｂｎ 如ｃ 一 ｉ
之下， 便于管理． 另外应该保证Ｃ Ｉ 录下的 Ｇ目 文件是不可写的， 避免一些欺骗性的程序驻留 或混迹其中． 如果能够给用户提供一个安全性 良 好的Ｃ 程序的模块作为参考， Ｉ Ｇ 也许会减少 许多不必要的麻烦和安全隐患； 除去Ｃ 目 Ｉ Ｇ 录 下的所有非业务应用的脚本， 以防异常的信息
作为最流行的Ｗｅ ｂ服务器， ｐ ｃ ｅ Ａ ａｈ Ｐｃｈ ｅ 跳四ｅ提供了较好的安全特性， ｒ 使其能够应对 ＺＡａ 服务器的安全配， Ａ ｃ 具有灵活的设置， ａｅ Ｐｈ 所有Ａ ｈ 的 训ｃｅ 可能的安全威胁和信息泄漏。
安全特性都要经过周密的设计与规划， 进行认 真地配置才能够实现。Ａ ａ ｈ 服务器的安 ｐｃ ｅ Ｉ ａ 服务 安 特性 Ｐ ｈ ＡＣ ｅ 器的 全 有运行环境、认证与 １， 选择性访问 和强制 ． 采用 控制 性访问 控制的 全配置包括很多层面， 授权设置等。Ａ ａ ｈ 的安装配置和运行示 ｐｃｅ 安全策略 从Ａ ｈ 因ｃｅ或Ｗｅ的角度来讲， ｂ 选择性访 例如下： ． ｄ 记 用户运行 向控制Ｄ ｃＤ ｒ １ ｒ Ａｃ粥Ｃｎｒ ） ２１以Ｎ 阮 ｖ Ａ ｉ ｅｏ ｙ ｃ （ ｓ ｔｎ ｃ ａ 巴 ｏｔ ｌ ｏ 一般情况下， 阳ｃｅ Ａ 】 是由Ｒ ｏ ｌ ｏｔ来安装和 仍是基于用户名和密码的， 强制性访问控制 ｐ ｅ ｅｖ 进程具有Ｒ ｏ ｃ ｅ ｏ ｔ ＭＡ （ ｎａ 邝 Ａｃ治 Ｃ ｎｒｌ ＣＭａｄｔ ｏ ｃ 已 ｏｔ ） ｏ 则是依据 运行的。如果Ａ ａｈ ｓｒ ｒ 那么它将给系统的安全构成很大的 发出请求的客户端的Ｉ 地址或所在的域号来 用户特权， Ｐ 应确保Ａ ｈ ｅｒ ｒ 训ｃｅｓｖ 进程以最可能低 ｅ 进行界定的。对于 ＤＡＣ方式， 如输入错误， 威胁， ｔ ｃｆ ｄ ｏ 那么用户还有机会更正， 从新输入正确的的密 的权限用户来运行。通过修改ｈ Ｐ ． ｎ 文 以Ｎ 饮 ｙ 训ｃ ｅ 码。 如果用户 通过不了ＭＡ 关卡， Ｃ 那么用户将 件中的下列选项， 。 刃 用户运行Ａ ｈ 达到相对安全的 目的。 被禁止做进一步的操作， 除非服务器作出安全 Ｕ ｒｎ ｔ 记ｙ ｅ ｓ ｏｘ 策略调整， 否则用户的任何努力都将无济于 Ｇ 叩＃ １ 一 ｏ ｒ 事 。 ２ＺＳｒ ｒ ｏ目录的权限 ． ｅ ｖＲ ｔ ｅｏ １ ｐ俪 的 全 块 ． ａ ２＾ｃ 安 棋 为了确保所有的配置是适当的和安全的， Ａ ｈ 阳ｃｅ的一个优势便是其灵活的模块结 ａ Ｐｈ 录的访问权限， 使 构， 其设计思想也是围绕模块（ ｏｕ ） Ｍ ｄ ｅ 概念而 需要严格控制Ａ ｃｅ主目 ｌ ｓ 展开的。安全模 块是Ａ ｃｅｓｒｅ中的极 非超 级 用户 不能修改 该 目录 中的 内容 。 ａ Ｐ ｈ ｅｖｒ ｐｃｅ的主目 录对应于 Ａ ｃｅｓｒ ｒ ａ Ｐｈ ｅｖ 配 ｅ 其重要的组成部分。这些安全模块负责提供 Ａ ａｈ ｔ ｃｆ ｅｖ ｏ ｅ ｏｔ Ａ ｃｅｓｒｅ的访问 ａ Ｐｈ ｅｖ ｒ 控制和认证、 授权等 置文件ｈ 冈 ． ｏ 的Ｓｒ ｒＲ ｏ控制项中， 应为 ： 一系列至关重要的安全服务。 ｅｖｒ Ｓｒｅ Ｒ ｏ ｕ ｌ ｌ Ｐｃｅ ０ｔ／ ／ｏａ ａａｈ ｒ ｓ ｃ ／ ｍ ｅｃ 模块能够根据访问者的Ｉ 地 摇 ｄ ａ以 ｏｓ ｃ Ｐ ． ５ 的配皿 址（ 或域名， 主机名等） 来控制对Ａ ａｈ 服务 ２３５ １ ｐ ｅ ｃ 在配置文件ａ ． ． ｆ ｃ 如ｃｏ 或ｈｔ ． ｎ中 ｃ ｏ ｔ Ｃｆ 冈 ｏ 器的访问， 称之为基于主机的访问控制。 Ｐ１ ０ ｓ ｎ ｕｓ ＯＥ Ｅ ｃｄ ｍ ｅｕ 模块用来控制用户和组的认证 的确Ｏ ｔ ｎ指令处加入Ｉ ｌ ｅ Ｎ Ｘ Ｃ ｄ ａｈ ｏｓｔ 用以禁用Ａ ａｈ ｅ ｅ 中的执行功 ｐ ｅｓｒｒ ｃ ｖ 授权（ｕｈｎｉ ｔ ｎ。用户名和口 Ａ ｅｔ ａ ） ｔ ｃｉ ｏ 令存干纯 选项， ｐ ｃｅ服务器中 的 文本文件中。 ｄ ａ ｔ ＿ ｂ ｍｏ ＿ ｕｈ ｄ 和ｍｏ 一 ｕ 能。避免用户直接执行Ａ ａｈ ｄａ 而造成服务器系统的公开化． ｈ ｄ ｍ模块则分别将用户信息（ ｔ＿ ｂ 如名称、组 执行程序， Ｏ ｔ ｓｌ ｕ ｅ ｏｘ ｃ ｎｌｄ Ｎ ｅ ｅ ｔ ｎ ｃ ｓ Ｐｏ 属和口 令等） 存于Ｂ ｋｌ 一 Ｂ Ｂ ｒ ｙ ｅ ｅ Ｄ 及Ｄ Ｍ型的 ｅ ２４阻止用户修改系统设！ ． 小型数据库中， 便于管理及提高应用效率。 在Ａ ａｈ ｅ服务器的配置文件中进行以 ｐ ｃ ｍ ｄａｔ ｄｇｓ ＿ｉｅ 模块则采用ＭＤ 数字 ｏ＿ｕｈ ｔ Ｓ 阻止用户建立、修改 ．ｔ ｃ沼 ｈａ 巴 文 ｃ 签名的方式来进行用户的认证， 但它相应的需 下的设置， 件， 防止用户超越能定义的系统安全特性。 要客户端的支持。 Ａｌ Ｗ０ ｅ ｌｅ ｄ Ｎ０ ｅ ｌ ０ ｖｒ ｎ ｍｏ＿ｕｈ ｎ ｎ ａ ｏ 模块的功能和ｍ ｄ ａ－ ｔ 团』ｕｈ ｔ Ｏ ｔ ｎ ０ｅ Ｎ ｎ ｐ ｓ ｏ ｉ 的功能类似， 只是它允许匿名登录， 将用户输 Ａｌ ｗ ｆｏ ａ ｌ ｏ ｒｍ ｌ 入的Ｅ ｍ ｌ 一 ａ 地址作为口 ｉ 令。 然后再分别对特定的目 录进行适当的配 Ｓ ＬＳ ｕ ｏｋｔＬ ｇ ） ｒ ｓｃｅ ａ ｒ， ｐｃｅ （ｅ ｅ ｃ ｅ 被Ａ ａｈ 所支持的安全套接字层协议， 提供Ｉ ｅｎｔ ｔ ｎ ｒｅ上 皿。 ２５改变Ａ． 服务器的确省 特性 ． ｐｈ ｃ ｅ 访问 安全交易服务， 如电子商务中的一项安全措 Ａ ｈ 的默认设置只能保障一定程度 脚ｃｅ 的 施。通过对通讯字节流的加密来防止敏感信 如果服务器能够通过正常的映射规则找 息的泄漏。但是， ｐ ｈ 的这种支持是建立 安全． Ａａ ｅ ｃ 在对Ａ ｃｅ Ｐ 扩展来实现的， 干一 到文件 ，那么客户端便会获取该文件 ，如 ａ Ｐｈ 的Ａ Ｉ 相当
１２ ２
Ｓ ＥＣ ＆ ＴＣ Ｎ Ｏ ＣＩＮ Ｅ Ｅ Ｈ ＯＬ ＧＹ ４ １５
［ Ｐ ｃ ｅ ｌ３ Ｕ ｅ ’ ｕｄ ．ｔ ：／ ３ ］Ａ ａｈ ． ｓｒｓＧ ｉｅｈ Ｐ ／ ｗ， 万 ａ ｃ ０ ａｈ ．堆 ． ｎ ．Ｐ ｅ
个外部模块， 通过与第三方程序的结合提供安
全的网上交易支持 。
ｈ ｐ／ 。ａ ｈｓ ｒｏ／将允许用户 ｔ ：／ ｃ ｏｔ ｏｔ ｌ ｌ 厂 访