标签归档:Apache

Apache 403 Forbidden后续以及安全配置

今天处理下上次遗留的安全问题。

遇到403后,将目录设置为755虽然解决了权限不足,却造成了权限过大的问题。此前,有人说将apache用户add到网站所属的用户组内,用以提高apache的权限,然后设置权限为750。

gpasswd -a apache GroupSite
chmod -R 750 /home/user

 

此时安全性应该大大提高了。不过,仍不满足啊。如果因为某站点致使apache被拿下,所有用户的站点就会一起遭殃。所以又有了以下的解决方案。

Apache-mpm-itk是Apache的一个补丁,它可以让Apache以多用户的方式运行。让不同的用户运行Apache,对自己的目录有着完全的权限,并且没有其他目录的权限,这样应该可以满足需求了。

yum -y install httpd-itk

vi /etc/sysconfig/httpd
HTTPD=/usr/sbin/httpd.itk

vi /etc/httpd/conf.d/itk.conf
<IfModule itk.c>
StartServers 2
MinSpareServers 2
MaxSpareServers 10
ServerLimit 256
MaxClients 256
MaxRequestsPerChild 4000
</IfModule>

vi /etc/httpd/conf.d/php.conf
<IfModule itk.c>
LoadModule php5_module modules/libphp5.so
</IfModule>

vi /etc/httpd/conf.d/vhost.conf
<VirtualHost>
AssignUserId user group
</VirtualHost>

service httpd restart

 

完成。

Apache 403 Forbidden

今天配置CentOS的Apache时,一直出现403错误。从已有的相关资料来看主要原因有以下两点:

  1. Apache的Directory授权配置出错。
  2. SELinux的安全设置。

经过排除,发现并非这两点原因造成的。既然是权限问题,就开始从文件权限开始检查,先给web目录777权限,仍然403,迷茫了。此时突然想起上级目录,也就是用户目录的权限,ls -l后发现时700,设置为755,页面终于正常打开。
总觉得这是一个坑啊,755也就意味着其他组的用户也可以查看这么用户的文件了。哪位有更好的方案呢?