Windows下Apache应用环境塔建安全设置(目录权限设置)

目的:为Apache,php配置受限制的用户权限。保护系统安全。需要的朋友可以参考下。

环境配置情况:
apache安装目录:d:\www-s\apache
php目录:d:\www-s\php5
mysql目录:d:\www-s\mysql
网站根目录:d:\www\htdocs

专门为运行Apache运行所使用的用户:apache-u(可不隶属于任何用户组)

PS:这里只说Windows下Apache应用环境相关的目录权限设置,至于其他基本的服务器目录权限设置就不提啦!

Windows下Apache应用环境塔建目录安全设置操作步骤:

配置目录权限

Apache所在的根目录(也就是D盘),只需要读取的权限,并且这个读取权限不需要继承到子目录与文件(可以在权限设置高级里选择——应用到:只有该文件夹——权限:列出文件夹/读取数据, 读取属性,读取扩展属性,读取权限——确定)。

Apache安装目录的上级目录(d:\www-s),需要“读取”的权限(和根目录D盘的权限雷同)。

Apache安装目录,需要“列出文件夹目录”和“读取”的权限(可以为了方便使用继承)。

Apache安装目录下的子目录权限设置

“bin”和“modules”目录需要“读取和运行”、“列出文件夹和目录”、“读取”的权限。

“logs”目录需要“列出文件夹和目录”、“读取”、“写入”的权限(若Apache安装目录的权限使用啦继承,可只添加“写入”权限即可)。

到这里Apache的权限已经设置完毕,接下来设置PHP的权限

PHP目录(PHP5)可简单的设置为“读取和运行”、“列出文件夹和目录”、“读取”的权限。

Mysql目录下的bin文件夹和文件(mysql)需要为添加apache用户的“遍历文件夹和运行文件”、“列出文件夹和读取数据”的权限(可以在权限高级设置里找到)。

到这里Apache+Mysql+Php已经基本可以使用,接着配置网站根目录权限

网站根目录(www\htdocs)的上级目录www需要读取(“列出文件夹和读取数据”、“读取属性”、“读取扩展属性”、“读取权限”)的权限(和Apache的上级目录权限雷同,不需要继承到子目录和文件中去)。

网站根目录(htdocs)可简单的设置“读取”权限就可以啦(然后可以根据需要对缓存文件夹设置可写权限)。

到这里Apache+PHP+Mysql的环境受限制权限设置基本完成。

为Apache服务启用受限制用户
进入服务管理器(Services.msc,或者“我的电脑——属性——管理——服务”),找到Apache的服务项(Apache2.2),设置属性,登录用户选择受限用户(Apache-u)输入受限用户的密码,应用,确定。

这里“确定”之后一般会有提示(已授予账户.\apache-u“以服务方式登录”的权利)。这个提示相当于在组策略(开始->管理工具->本地安全策略,或者使用gpedit.msc打开)中的“用户权利分配”中选择“作为服务登陆”,添加apache-u用户。

可在任务管理器中查看httpd.exe进程的用户名为apache-u,使用PHP+Mysql的程序都可正常运行。
到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。

补充3:
可以在目录(具有可写权限的)下建个 .htaccess 内容写上:

RewriteEngine On
Order Allow,Deny
Deny from all
<files ~ “.(css|js)$”>
Allow from all
</files>

css和js为允许的文件扩展类型!

补充2:
1.Apache的权限设置错误提示
apache目录,php目录,网站目录中的一个权限设置不够都不能正常启动Apache服务,一般提示为:

Windows 不能再 本地计算机 启动 Apache2.2。有关更多信息,查阅系统事件日志。如果这是非 Microsoft服务,请与服务厂商联系,并参与特定服务错误代码 1。

查看系统事件日志中的提示为:

Apache2.2 服务因 1 (0×1) 服务性错误而停止。

若是php的权限配置错误会在应用程序事件日志中有记录。

2.另外Mysql的目录权限配置错误,不会对正常启动Apache服务造成影响,但不能网站程序使用Mysql服务(PHPINFO中显示并没有加载Mysql模块)。

补充1:
这个东东在本地机子上用来做测试基本是不用理会这些权限的,因为默认是使用系统用户来启动这个Apache服务的!不过若是暴露在外网就很危险啦!

安全是全方面的架构考虑,这里说的仅仅是冰山一角,不能以点盖面!

发现有遗漏的地方欢迎指正。。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

安装 Apache 出现 OS 10013 以一种访问权限不允许的方式做了一个访问套接字的尝试 如下截图: 提示: make_sock: could not bind to address 0.0.0.0:80 这个问题有由于计算机上安装了IIS7,80端口已占用。 打开Apache 的配置文件 Apache安装目录下的conf/htt
apache web服务器的站点,下载pptx,docx,xlsx文件,却被浏览器当作zip文件保存。 这不是浏览器的问题,而是apache不认docx,pptx,,xlsx等Microsoft Office 2007+的文件格式,而这些文件本身是zip压缩文件,所以被apache当作zip压缩文件发给浏览器了。 做个形
网站目录文件权限的设置对网站的安全至关重要,下面简单介绍网站目录文件权限的基本设定。 我们假设http服务器运行的用户和用户组是www,网站用户为centos,网站根目录是/home/centos/web。 我们首先设定网站目录和文件的所有者和所有组为centos,www,如下
Apache mod_ssl 配置多个虚拟主机支持SSL子站,以下配置适用于httpd 2.4+,对于不支持define指令的低版本Apache httpd Web Server,把SSLROOT换成所定义的路径即可。配置中的${WROOT}是httpd.conf中通过define指令定义的一个变量,值为D:/Web/www/ 在httpd.c
在apache的配置文件http.conf中最下面加入了这句,把这段注销掉或者去掉再重启apache就可以启动了! #Begin SafeDogSite-ApacheFilter edits - remove only on uninstall Include d:/wamp/bin/apache/apache2.4.4/conf/SafeDogSiteApacheFilter.Conf #End Sa
今天先说的是MSSQL安全篇第一篇——将MS SQL SERVER运行于普通用户下。