M8-3提升Linux系统的WEB服务的安全防御1.1教学目的与要求1.1.1教学目的学生通过该能力模块的学习,能够独立完成和熟练掌握安全配置WEB服务,从而实现提升Linux系统的WEB服务器安全防御能力。1.1.2教学要求1.教学重点Apache安全配置选项SSL加密安全2.教学难点SSL加密安全1.2本能力单元涉及的知识组织1.2.1本能力单元涉及的主要知识点1、Apache配置文件2、SSL加密安全1.2.2本能力单元需要解决的问题1、按照项目的需求,重点掌握WEB服务的安全配置选项。2、按照项目的需求,重点掌握SSL加密安全。1.3核心技术和知识的理解1.3.1安全配置选项【第一部分】·ServerTypestandalone这表示Apache是以standalone启动,也可以是inetd。所谓standalone是指启动一次来接听所有的连线;而inetd是接到http的连线要求才启动,随着连线的结束而结束,这样负担是不是很但呢?所以一般都是以standalone启动。·ServerRoot"/usr/local/httpd"此为apache的目录·#LocdFile/use/local/httpd/logs/httpd.lock保留预设值,不更动·PidFile/usr/local/httpd/logs/httpd.pid此文件记录着apache的父处理程序id·ScoreBoardFile/usr/local/httpd/logs/httpd.scoreboard此文件存储处理程序的信息·#ResourceConfigconf/srm.conf·#AccessConfigconf/access.conf由于我们统筹由httpd.conf来管理,所以这两个文件预设是注解起来的,可以保留预设值不更动·Timeout300设盯超时的时间。如果用户端超过300秒还没连上server,或server超过300秒还没传送信息给用户端,即断线。·KeepAliveOn允许用户端的连线有多个请求,设为Off表示不允许·MaxKeepAliveRequests100每次连线最大的请求树木,数字愈大,效能愈好。0表示不限制·MinSpareServer5·MaxSpareServers10MinSpareServer5表示最少会有5个闲置的处理程序,如果实际的数目少于此数目,则会增加处理程序。MaxSpareServers10表示最大的闲置处理程序数目,如果你的网站需求量很大,可以将此数目设大一些,大不要随便将此数目设得太大。·StartServers5启动时Server的数目MaxClients150限制同时间最大的连线数目,当然不能设得太小,一旦达到此数目,就无法再增加用户端·MaxRequestPerChild0限制子处理程序结果前的要求数目,0表示不限制·#Listen3000·#Listen12.34.56.78:80使用其它的连接端口或IP·BindAddress*可以接听*(所有IP地址)、指定的IP地址或是完整的域名·#LoadModulefoo_modulelibexec/mod_foo.so使用DSO模块·#ExtendedStatusOn可检阅apache的状态信息,预设是Off(注解起来)【第二部分】如果之前的ServerType是inetd,请直接跳到ServerAdmin。·Port80Standalone服务器接听的连接端口,当然也可以是其他小于1023的端口号·Usernobody·Groupnobody执行httpd的用户和群组·ServerAdmin管理员的电子邮件地址这是管理员的电子邮件地址,如果apache有问题的话,会寄信通知管理员,当然你也可以建立一个专门负责web的帐号来收信·ServerName你的主机名称此为主机名称,如果没有域名,也可以用IP·DocumentRoot"usr/local/httpd/htdocs"此目录为apache放置网页的地方,里面的index.html即为连到此主机的预设首页OptionsFollowSymLinksAllowOverridenone此目录设定用户放置网页的目录(public_html)的执行动作。详细的目录存取方法会在后面说明OptionsIndexesFolloeSymLinksAllowOverrideNoneOrderallow,denyAllowfromall此目录设定apache的网页目录(htdocs)的执行动作·UserDirpublic_html用户可在自己的目录下建立public_html目录来放置网页,输入http://主机地址/~用户名称即可连接到...劳撤胖玫牡胤?/a>·DirectoryIndexindex.html这里设定预设主页的名称·AccessFileName.htaccess这个是控制存取的文件名称,一般采用预设的.htaccess名称,后面会说明htaccess的使用方法Orderallow,denyDenyfromall这用来防止其他人看到.ht开头的文件内容,不仅是保护.htaccess的内容,还保护.htpasswd的内容。当然也可以直接写成。如果你有更改AccessFilename,例如将.htaccess改成.accessht,请记得也要在此做相关的更改,如此才能防止其他人看到哦·#Cac...
