13、Apache安全配置与管理全解析-创锋一号

Apache安全配置与管理全解析

网站访客的访问权限与运行服务器进程的用户ID相似，该用户ID应具备有限权限。合理配置后，此用户ID在机器上的操作范围会受到严格限制，保障系统安全的关键在于将该用户ID的访问权限控制在狭窄范围内。

需要注意的是，虽然非root用户可以启动Apache，但Apache进程无法切换到其他用户ID运行，也无法绑定低于1024的端口。这种情况在某些有限场景下可能有用，但对于公开可访问的系统并非理想选择。

在Linux系统中，文件权限是安全的重要方面。若不谨慎设置关键文件的权限，普通用户可能会进行通常只有超级用户才能执行的更改。

为使Apache以非特权用户身份在80端口（或任何低于1024的端口）运行，用户必须从root用户启动它。假设这个非特权用户为webuser，它需要能够读取Web文档树，但通常不应有修改权限。为确保webuser能读取文档树，需将文档树中所有要提供服务的文件和目录设置为全局可读：

# chmod -R o+r

为处理Web文档的用户创建一个组，例如webeditors。该组应与webuser所属组不同，因为它需要对文档树进行写入操作。为<htdocs>目录设置组粘滞位，可确保在该目录下创建的任何新文件