Apache服务器的安全性及实现

一、Apache 服务器的功能
　　
　　ApacheServe的前身是NCSA的httpd，曾经在1995年成为最为流行的万维网的服务器。因为强大的功能和灵活的设置及平台移植性，Apache Server取得了广泛的信赖。Apache Server的主要功能有：
　　1、支持最新的HTTP1.1协议（RFC2616）。
　　2、极强的可配置和可扩展性，充分利用第三方模快的功能。
　　3、提供全部的源代码和不受限制的使用许可（License）。
　　4、广泛应用于Windows 2000/NT/9x、Netware 5.x，OS/2 和Unix家族极其他操作系统，所支持的平台多达17余种。
　　5、强大的功能，涵盖了用户的需求，包括：认证中的DBM数据库支持；错误和问题的可定制响应的目录导向功能；不受限的灵活的URL别名机制和重定向功能；虚拟主机（多宿主主机）支持多个域主页共存一台主机；超强的日志文件功能；利用站点的分析；拓展于维护等等。

　　正因为这些强大的优势，使Apache Server与其他的Web服务器相比，充分展示了高效、稳定及功能丰富的特点。Apache Server 已用于超过600万个Internet站点。

　　二、Apache 服务器的安全特性

　　作为最流行的Web服务器，Apache Server提供了较好的安全特性，使其能够应对可能的安全威胁和信息泄漏。

    1、采用选择性访问控制和强制性访问控制的安全策略

　　从Apache 或Web的角度来讲，选择性访问控制DAC（Discretionary Access Control）仍是基于用户名和密码的，强制性访问控制MAC（Mandatory Access Control）则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式，如输入错误，那么用户还有机会更正，从新输入正确的的密码；如果用户通过不了MAC关卡，那么用户将被禁止做进一步的操作，除非服务器作出安全策略调整，否则用户的任何努力都将无济于事。

　　2、Apache 的安全模块

　　Apache 的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache Server的访问控制和认证、授权等一系列至关重要的安全服务。

　　mod_Access模块能够根据访问者的IP地址（或域名，主机名等）来控制对Apache服务器的访问，称之为基于主机的访问控制。

　　mod_auth模块用来控制用户和组的认证授权（Authentication）。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息（如名称、组属和口令等）存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

　　mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

　　mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

　　SSL（Secure Socket Lager），被Apache所支持的安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是，Apache的这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序的结合提供安全的网上交易支持。

　三、Apache服务器的安全配置

　　在前面的内容中提到过，Apache具有灵活的设置。所有Apache的安全特性都要经过周密的设计与规划，进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面，有运行环境、认证与授权设置及建立安全的电子交易链接等。

　　1、Apache的安装配置和运行

　　（1）以Nobody用户运行一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。

文章来自: 站长网(www.admin5.com) 详文参考：http://www.admin5.com/article/20070331/39102.shtml