配置Apache服务器(2)

• 主服务器设置

Apache服务器需要各种设置，以定义自己使用各种参数以提供Web服务。对于使用虚拟主机的情况，除了在 虚拟主机的定义项中覆盖的设置之外（有的设置必须重新定义），这里的设置也是虚拟主机的缺省设置。 Port 80 Port定义了Standalone模式下httpd守护进程使用的端口，标准端口是80。这 个选项只对于以独立方式启动的服务器才有效，对于以inetd方式启动的服务器则在inetd.conf中定义使用哪 个端口。 在Unix下使用80端口需要root权限，一些管理员为了安全的原因，认为httpd服务器不可能没有安全 漏洞，因而更愿意使用普通用户的权限来启动服务器，这样就不能使用80端口及其他小于1024的端口，而必须使用大于 1024的端口来启动httpd，一般情况下8000或8080也是常用的端口。而Apache httpd服务器本 身可以在以root权限打开80端口后再改变为普通用户身份进行运行，这样就减少了危险性，因而就不需要考虑这个安全 问题。但是如果普通用户也想安装配置自己的WWW服务器，那么就不得不使用大于1024的端口，当然普通用户不能使用 Ports Collection进行编译安装，而必须手工编译安装。 User nobody Group nogroup User和Group配置是Apache的安全保证，Apache在打开端口之 后，就将其本身设置为这两个选项设置的用户和组权限进行运行，这样就降低了服务器的危险性。这个选项也只用于 Standalone模式，inetd模式在inetd.conf中指定运行Apache的用户。由于服务器必须执行改变身份 的setuid()操作，因此初始进程应该具备root权限，如果是使用非root用户来启动Aapche，这个配置 就不会发挥作用。 缺省设置为nobody和nogroup，这个用户和组在系统中不拥有文件，保证了服务器本身和由它启动的CGI 进程没有权限更改文件系统。在某些情况下，例如为了运行CGI与Unix交互，也需要让服务器来访问服务器上的文 件，如果仍然使用nobody和nogroup，那么系统中将会出现属于nobody的文件，这对于系统安全是不利的 ，因为其他程序也会以nobody和nogroup的权限执行某些操作，就有可能访问这些nobody拥有的文件，造 成安全问题。一般情况下要为Web服务设定一个特定的用户和组，同时在这里更改用户和组设置。 ServerAdmin [email protected]