Apache drošība

Pēc tam, kad Apacche ir ielādēts un uzdarītas dažas sākuma darbības, atvērti log faili, tas startē dažus apakšprocesus, kuri klausās 80 portu un atbild kientam, tai skaitā darbojas ar CGI un SSI.

Turpmāk Apache kodols darbojas kā root, bet apakšprocesi ar mazāk priviliģētu lietotāju.

Sīkāk par Apache startēšanu ar root pielikumā 2.

Fails access.conf ir galvenais konfigurācijas fails, tas atrodas ServerRoot katalogā. Serveris to nolasa tikai startējoties. Ja ir veiktas izmaiņas konfigurācijas failā, tad ir nepieciešams pārstartēt Apache. Faila nosaukums ir noteikts kompilējot Apache, bet to var mainīt no komandrindas ar –f.

Var pievienot papildus konfigurācijas failus lietojot Include direktīvu.

Ja Include norāda uz katalogu, tad Apache nolasa visus failus šajā katalogā un apakškatalogos un uzskata tos par konfigurācijas failiem. Ērti lietot ja operē ar virtuālajiem hostiem.

Lietotājs zem kura apache servers darbojas. Ieteicams izveidot jaunu lietotāju kuram nav tiesību. Lai varētu lietotu šo direktīvu serverim sākumā ir jāstartējas kā root. Iespējams, ka var norādīt kā lietotāju nobody. Virtuāliem hostiem var notiekt citu lietotāju.

Grupa zem kuras serveris darbojas. Ieteicams izveidot jaunu grupu kuram nav tiesību. Iespējams ka var norādīt kā grupu nobody.

Nosaka kuri host var piekļūt noteiktiem dokumentiem uz servera.

Pieeju var kontrolēt pēc pilna vai daļēja domēna vārda vai IP adreses, pēc tikla/tīkla maskas (Allow from 10.1.0.0/255.255.0.0), pēc A network/nnn CIDR specification (Allow from 10.1.0.0/16)

Order Deny,Allow . Nosākuma izvērtē Deny, tad Allow. Šajā secībā stiprākas ir Allow tiesības.

Order Allow,Deny Nosākuma izvērtē Allow, tad Deny. Šajā secībā stiprākas ir Deny tiesības. Stiprākai drošībai šāda secība ir piemērotāka.

Ļauj lietot direktīvas, kas kontrolē dokumentu tipus (DefaultType, ErrorDocument, ForceType, LanguagePriority, SetHandler, SetInputFilter, SetOutputFilter, and mod mime Add* and Remove* directives, un citas.).

Ļauj lietot direktīvas, kas kontrolē pieeju resursam pēc hostiem (Allow, Deny and Order).

Ļauj lietot direktīvas, kas kontrolē specifiskas kataloga īpašības (Options and XBitHack). Atļaujot ietot šo direktīvu lietotājs pat sev var piešķirt atļauju izpildīt CGI un SSI.

Ja vienam katalogam ir definēts options vairākās vietās, tad tiek ņemts vērā specifiskākā norāde. Tas ir, ja katalogu struktūrā options ir definēts augstākajam līmenim un tai pašā laikā options ir definēts apakškatalogam, tad options tiek ņemts no apakškataloga.

Šajā piemērā katalogam /web/docs/spec tiek uzstādīts tikai Includes. Parasti options netiek apvienoti, bet ir iespējams apvienot options ar + un .

Šajā piemērā katalogam /web/docs/spec tiek uzstādīts papildus esošajām options Includes un noņemts Indexes.

Liedz pieejeu visām HTTP direktīvām izņemot minētās. Šī direktīva ir pretēja .

Uzstāda faila vārdu, kurā glabājas lietotāju saraksts ar parolēm. Jāuzmanās, lai AuthUserFile ir novietots ārpus web katalogu koka. Citādi klientiem ir iespēja ta redzēt.