Apache服务器配置安全规范及其缺陷

监视系统日志

Apache为管理员提供了很全面的日志管理工具来对服务器的活动进行事后分析。Apache提供了多种不同的记录日志，但是对安全专业人士最重要的是访问日志。这个灵活的工具还具有了相当多的自定义功能，你可以按照你的需要很方便地记录尽可能多或者少的日志，以保证有效的分析。至少，你应该记录那些失败的认证企图和系统产生的错误。使用像AWStats一样的免费工具可以很轻松地完成分析任务。但是必须明确的一点是：监视日志只是一种事后分析手段。你可以利用它回顾和判断对服务器的攻击（和攻击企图），但是希望及时查看日志来对紧急情况做出快速反应是不可能的。如果需要进行预判反应，你应该考虑使用入侵预防系统如信息安全杂志评选的2003年度最新兴技术奖得主：Lucid Security公司的ipAngel系统。

管理文件系统

我们已经讨论了使用（或不使用）.htaccess文件对管理文件访问权限的重要性。禁止通过文件系统许可对Apache服务器进行非授权修改也是很重要的。特别值得一提的是，你应该保证只有根用户才能修改存储在“/usr/local/apache ”目录的文件（或者你选择的任何Apache服务器的根目录）。确保只有根用户才能修改日志文件也很关键，这样可以防止用户掩盖他们的操作。

Apache 服务器日常配置

1、如何设 置请求等待时间

在httpd.conf里面设置：

TimeOut n

其中n为整数，单位是秒。

设置这个TimeOut适用于三种情况：

2、如何接收一个get请求的总时间

接收一个post和put请求的TCP包之间的时间

TCP包传输中的响应（ack）时间间隔

3、如何使得apache监听在特定的端口

修改httpd.conf里面关于Listen的选项，例如：

Listen 8000

是使apache监听在8000端口

而如果要同时指定监听端口和监听地址，可以使用：

Listen 192.170.2.1:80
Listen 192.170.2.5:8000

这样就使得apache同时监听在192.170.2.1的80端口和192.170.2.5的8000端口。

当然也可以在httpd.conf里面设置：

Port 80

这样来实现类似的效果。

4、如何设置apache的最大空闲进程数

修改httpd.conf，在里面设置：

MaxSpareServers n

其中n是一个整数。这样当空闲进程超过n的时候，apache主进程会杀掉多余的空闲进程而保持空闲进程在n，节省了系统资源。如果在一个apache非常繁忙的站点调节这个参数才是必要的，但是在任何时候把这个参数调到很大都不是一个好主意。

同时也可以设置：

MinSpareServers n

来限制最少空闲进程数目来加快反应速度。

5、apache如何设置启动时的子服务进程个数

在httpd.conf里面设置：

StartServers 5

这样启动apache后就有5个空闲子进程等待接受请求。

也可以参考MinSpareServers和MaxSpareServers设置。

6、如何在apache中设置每个连接的最大请求数

在httpd.conf里面设置：

MaxKeepAliveRequests 100

这样就能保证在一个连接中，如果同时请求数达到100就不再响应这个连接的新请求，保证了系统资源不会被某个连接大量占用。但是在实际配置中要求尽量把这个数值调高来获得较高的系统性能。