亚洲国产日韩欧美一区二区三区,精品亚洲国产成人av在线,国产99视频精品免视看7,99国产精品久久久久久久成人热,欧美日韩亚洲国产综合乱

Verzeichnis suchen
首頁 版本說明 從1.3升級到2.0 編譯時配置的改變 運行時配置的改變 雜項變化 第三方模塊 從 2.0 升級到 2.2 編譯時配置的改變 運行時配置的改變 雜項變化 第三方模塊 Apache 2.1/2.2 版本的新特性 核心增強 模塊增強 程序增強 針對模塊開發(fā)者的變化 Apache 2.0 版本的新特性 核心的增強 模塊的增強 Apache許可證 參考手冊 編譯與安裝 針對心急者的概述 要求 下載 解壓 配置源代碼樹 編譯 安裝 配置 測試 升級 啟動 Apache是怎樣啟動的 啟動時發(fā)生錯誤 隨系統(tǒng)啟動時啟動 額外信息 停止與重新啟動 簡介 立即停止 優(yōu)雅重啟 立即重啟 優(yōu)雅停止 附錄:信號和競爭條件 運行時配置指令 主配置文件 配置文件的語法 模塊 指令的作用域 .htaccess文件 配置段 配置段(容器)的類型 文件系統(tǒng)和網絡空間 虛擬主機 代理 允許使用哪些指令? 配置段的合并 內容緩沖 簡介 緩沖概述 安全方面的考慮 文件句柄緩沖 內存緩沖 磁盤緩沖 服務器全局配置 服務器標識 文件定位 限制資源的使用 日志文件 安全警告 錯誤日志 訪問日志 日志滾動 管道日志 虛擬主機 其他日志文件 從URL到文件系統(tǒng)的映射 相關模塊和指令 DocumentRoot DocumentRoot以外的文件 用戶目錄 URL重定向 反向代理 重寫引擎 File Not Found 安全方面的提示 保持不斷更新和升級 ServerRoot目錄的權限 服務器端包含 關于CGI 未指定為腳本的CGI 指定為腳本的CGI 其他動態(tài)內容的來源 系統(tǒng)設置的保護 默認配置下服務器文件的保護 觀察日志文件 動態(tài)共享對象(DSO) 實現 用法概要 背景知識 優(yōu)點和缺點 內容協(xié)商 關于內容協(xié)商 Apache中的內容協(xié)商 協(xié)商的方法 打亂品質值 透明內容協(xié)商的擴展 超鏈和名稱轉換說明 緩沖說明 更多信息 自定義錯誤響應 行為 配置 自定義錯誤響應與重定向 地址和端口綁定 概述 針對IPv6的特殊考慮 怎樣與虛擬主機協(xié)同工作 多路處理模塊(MPM) 簡介 選擇一個MPM 默認的MPM 環(huán)境變量 設置環(huán)境變量 使用環(huán)境變量 用于特殊目的的環(huán)境變量 示例 處理器的使用 什么是處理器? 例子 程序員注意事項 過濾器 Apache2中的過濾器 智能過慮 使用過濾器 CGI腳本的Suexec執(zhí)行 開始之前 suEXEC的安全模型 配置和安裝suEXEC 啟用和禁用suEXEC 使用suEXEC 調試suEXEC 謹防Jabberwock:警告和舉例 性能調整 硬件和操作系統(tǒng) 運行時的配置 編譯時的配置 附錄:蹤跡的詳細分析 URL重寫指南 mod_rewrite簡介 實踐方案 URL的規(guī)劃 內容的處理 對訪問的限制 其他 虛擬主機文檔 總述 虛擬主機支持 配置指令 基于主機名的虛擬主機 基于域名的虛擬主機和基于IP的虛擬主機比較 使用基于域名的虛擬主機 與舊版瀏覽器的兼容性 基于IP地址的虛擬主機 系統(tǒng)需求 如何配置Apache 設置多個守護進程 配置擁有多個虛擬主機的單一守護進程 動態(tài)配置大量虛擬主機 動機 概述 簡單的動態(tài)虛擬主機 一個實際的個人主頁系統(tǒng) 在同一個服務器上架設多個主機的虛擬系統(tǒng) 更為有效的基于IP地址的虛擬主機 使用老版本的Apache 使用mod_rewrite實現簡單的動態(tài)虛擬主機 使用mod_rewrite的個人主頁系統(tǒng) 使用獨立的虛擬主機配置文件 虛擬主機的普通配置示例 在一個IP地址上運行多個基于域名的web站點 在多于一個IP的情況下使用基于域名的虛擬主機 在不同的IP的地址(比如一個內部和一個外部地址)上提供相同的內容 在不同的端口上運行不同的站點 建立基于IP的虛擬主機 混用基于端口和基于IP的虛擬主機 混用基于域名和基于IP的虛擬主機 將虛擬主機和代理模塊一起使用 使用默認虛擬主機 將一個基于域名的虛擬主機移植為一個基于IP的虛擬主機 使用ServerPath指令 深入討論虛擬主機的匹配 解析配置文件 虛擬主機匹配 小技巧 文件描述符限制 關于DNS和Apache 一個簡單示例 拒絕服務 "主服務器"地址 避免這些問題的小技巧 附錄:進一步的提示 常見問題 概述 SSL/TLS 加密 概述 文檔 mod_ssl 緒論 密碼技術 證書 安全套接字層(SSL) 參考 兼容性 配置指令 環(huán)境變量 自定義日志功能 如何... 加密方案和強制性高等級安全 客戶認證和訪問控制 常見問題解答 About The Module Installation Configuration Certificates The SSL Protocol mod_ssl Support 如何.../指南 概述 認證 相關模塊和指令 簡介 先決條件 啟用認證 允許多人訪問 可能存在的問題 其他認證方法 更多信息 CGI動態(tài)頁面 簡介 配置Apache以允許CGI 編寫CGI程序 程序還是不能運行! 幕后是怎樣操作的? CGI模塊/庫 更多信息 服務器端包含 簡介 什么是SSI? 配置服務器以允許SSI 基本SSI指令 附加的例子 我還能設置其它什么? 執(zhí)行命令 高級SSI技術 總結 .htaccess文件 .htaccess文件 工作原理和使用方法 (不)使用.htaccess文件的場合 指令的生效 認證舉例 服務器端包含(SSI)舉例 CGI舉例 疑難解答 用戶網站目錄 用戶網站目錄 用UserDir設置文件路徑 限定哪些用戶可以使用此功能 啟用對每個用戶都有效的cgi目錄 允許用戶改變配置 對特定平臺的說明 概述 Microsoft Windows 其他平臺 在Microsoft Windows中使用Apache 對操作系統(tǒng)的要求 下載 Apache for Windows 安裝 Apache for Windows 配置 Apache for Windows 以服務方式運行 Apache for Windows 作為控制臺程序運行Apache 測試安裝 編譯Windows下的Apache 系統(tǒng)要求 命令行編譯 Developer Studio集成開發(fā)環(huán)境的工作區(qū)編譯 項目組件 在Novell NetWare平臺上使用Apache Requirements Downloading Apache for NetWare Installing Apache for NetWare Running Apache for NetWare Configuring Apache for NetWare Compiling Apache for NetWare 在HP-UX中運行Apache The Apache EBCDIC Port Overview of the Apache EBCDIC Port Design Goals Technical Solution Porting Notes Document Storage Notes Apache Modules' Status Third Party Modules' Status 服務器與支持程序 概述 httpd 語法 選項 ab 語法 選項 Bugs apachectl 語法 選項 apxs 語法 選項 舉例 configure 語法 選項 環(huán)境變量 dbmmanage 語法 選項 Bugs htcacheclean 語法 選項 返回值 htdbm 語法 選項 Bugs 返回值 舉例 安全方面的考慮 限制 htdigest 語法 選項 htpasswd 語法 選項 返回值 舉例 安全方面的考慮 限制 logresolve 語法 選項 rotatelogs 語法 選項 Portability suexec 語法 選項 其他程序 log_server_status split-logfile 雜項文檔 概述 相關標準 HTTP推薦標準 HTML推薦標準 認證 語言/國家代碼 Apache 模塊 描述模塊的術語 說明 狀態(tài) 源代碼文件 模塊標識符 兼容性 描述指令的術語 說明 語法 默認值(Default) 作用域(Context) 覆蓋項(Override) 狀態(tài) 模塊(Module) 兼容性(Compatibility) Apache核心(Core)特性 AcceptFilter AcceptPathInfo AccessFileName AddDefaultCharset AddOutputFilterByType AllowEncodedSlashes AllowOverride AuthName AuthType CGIMapExtension ContentDigest DefaultType <Directory> <DirectoryMatch> DocumentRoot EnableMMAP EnableSendfile ErrorDocument ErrorLog FileETag <Files> <FilesMatch> ForceType HostnameLookups <IfDefine> <IfModule> Include KeepAlive KeepAliveTimeout <Limit> <LimitExcept> LimitInternalRecursion LimitRequestBody LimitRequestFields LimitRequestFieldSize LimitRequestLine LimitXMLRequestBody <Location> <LocationMatch> LogLevel MaxKeepAliveRequests NameVirtualHost Options Require RLimitCPU RLimitMEM RLimitNPROC Satisfy ScriptInterpreterSource ServerAdmin ServerAlias ServerName ServerPath ServerRoot ServerSignature ServerTokens SetHandler SetInputFilter SetOutputFilter TimeOut TraceEnable UseCanonicalName UseCanonicalPhysicalPort <VirtualHost> Apache MPM 公共指令 AcceptMutex CoreDumpDirectory EnableExceptionHook GracefulShutdownTimeout Group Listen ListenBackLog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers StartThreads ThreadLimit ThreadsPerChild ThreadStackSize User Apache MPM beos MaxRequestsPerThread CoreDumpDirectory Group Listen ListenBacklog MaxClients MaxMemFree MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize StartThreads User Apache MPM event AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ScoreBoardFile SendBufferSize ServerLimit StartServers ThreadLimit ThreadsPerChild ThreadStackSize User Apache MPM netware MaxThreads Listen ListenBacklog MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads ReceiveBufferSize SendBufferSize StartThreads ThreadStackSize Apache MPM os2 Group Listen ListenBacklog MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize SendBufferSize StartServers User Apache MPM prefork 工作方式 MaxSpareServers MinSpareServers AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers User Apache MPM winnt Win32DisableAcceptEx CoreDumpDirectory Listen ListenBacklog MaxMemFree MaxRequestsPerChild PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ThreadLimit ThreadsPerChild ThreadStackSize Apache MPM worker 工作方式 AcceptMutex CoreDumpDirectory EnableExceptionHook Group Listen ListenBacklog LockFile MaxClients MaxMemFree MaxRequestsPerChild MaxSpareThreads MinSpareThreads PidFile ReceiveBufferSize ScoreBoardFile SendBufferSize ServerLimit StartServers ThreadLimit ThreadsPerChild ThreadStackSize User Apache Module mod_actions Action指令 Script指令 Apache Module mod_alias 處理順序 Alias AliasMatch Redirect RedirectMatch RedirectPermanent RedirectTemp ScriptAlias ScriptAliasMatch Apache Module mod_asis 用法 Apache Module mod_auth_basic AuthBasicAuthoritative AuthBasicProvider Apache Module mod_auth_digest 使用摘要認證 配合 MS Internet Explorer 6 工作 AuthDigestAlgorithm AuthDigestDomain AuthDigestNcCheck AuthDigestNonceFormat AuthDigestNonceLifetime AuthDigestProvider AuthDigestQop AuthDigestShmemSize Apache Module mod_authn_alias 示例 <AuthnProviderAlias> Apache Module mod_authn_anon 示例 Anonymous Anonymous_LogEmail Anonymous_MustGiveEmail Anonymous_NoUserID Anonymous_VerifyEmail Apache Module mod_authn_dbd 配置示例 AuthDBDUserPWQuery AuthDBDUserRealmQuery Apache Module mod_authn_dbm AuthDBMType AuthDBMUserFile Apache Module mod_authn_default AuthDefaultAuthoritative Apache Module mod_authn_file AuthUserFile Apache Module mod_authnz_ldap Contents Operation The require Directives 舉例 Using TLS Using SSL Using Microsoft FrontPage with mod_authnz_ldap AuthLDAPBindDN AuthLDAPBindPassword AuthLDAPCharsetConfig AuthLDAPCompareDNOnServer AuthLDAPDereferenceAliases AuthLDAPGroupAttribute AuthLDAPGroupAttributeIsDN AuthLDAPRemoteUserIsDN AuthLDAPUrl AuthzLDAPAuthoritative Apache Module mod_authz_dbm AuthDBMGroupFile AuthzDBMAuthoritative AuthzDBMType Apache Module mod_authz_default AuthzDefaultAuthoritative Apache Module mod_authz_groupfile AuthGroupFile AuthzGroupFileAuthoritative Apache Module mod_authz_host Allow Deny Order Apache Module mod_authz_owner 配置示例 AuthzOwnerAuthoritative Apache Module mod_authz_user AuthzUserAuthoritative Apache Module mod_autoindex Autoindex Request Query Arguments AddAlt AddAltByEncoding AddAltByType AddDescription AddIcon AddIconByEncoding AddIconByType DefaultIcon HeaderName IndexIgnore IndexOptions IndexOrderDefault IndexStyleSheet ReadmeName Apache Module mod_cache Related Modules and Directives 配置示例 CacheDefaultExpire CacheDisable CacheEnable CacheIgnoreCacheControl CacheIgnoreHeaders CacheIgnoreNoLastMod CacheLastModifiedFactor CacheMaxExpire CacheStoreNoStore CacheStorePrivate Apache Module mod_cern_meta MetaDir MetaFiles MetaSuffix Apache Module mod_cgi CGI 環(huán)境變量 CGI 腳本的調試 ScriptLog ScriptLogBuffer ScriptLogLength Apache Module mod_cgid ScriptSock ScriptLog ScriptLogBuffer ScriptLogLength Apache Module mod_charset_lite Common Problems CharsetDefault CharsetOptions CharsetSourceEnc Apache Module mod_dav Enabling WebDAV Security Issues Complex Configurations Dav DavDepthInfinity DavMinTimeout Apache Module mod_dav_fs DavLockDB Apache Module mod_dav_lock DavGenericLockDB Apache Module mod_dbd Connection Pooling Apache DBD API SQL Prepared Statements DBDExptime DBDKeep DBDMax DBDMin DBDParams DBDPersist DBDPrepareSQL DBDriver Apache Module mod_deflate 配置舉例 啟用壓縮 代理服務器 DeflateBufferSize DeflateCompressionLevel DeflateFilterNote DeflateMemLevel DeflateWindowSize Apache Module mod_dir DirectoryIndex DirectorySlash Apache Module mod_disk_cache CacheDirLength CacheDirLevels CacheMaxFileSize CacheMinFileSize CacheRoot Apache Module mod_dumpio 啟用dumpio支持 DumpIOInput DumpIOOutput Apache Module mod_echo ProtocolEcho Apache Module mod_env PassEnv SetEnv UnsetEnv Apache Module mod_example Compiling the example module Using the mod_example Module Example Apache Module mod_expires 交替間隔語法 ExpiresActive ExpiresByType ExpiresDefault Apache Module mod_ext_filter 舉例 ExtFilterDefine ExtFilterOptions Apache Module mod_file_cache Using mod_file_cache CacheFile MMapFile Apache Module mod_filter Smart Filtering Filter Declarations Configuring the Chain Examples Protocol Handling FilterChain FilterDeclare FilterProtocol FilterProvider FilterTrace Apache Module mod_headers 處理順序 前處理和后處理 舉例 Header RequestHeader Apache Module mod_ident IdentityCheck IdentityCheckTimeout Apache Module mod_imagemap New Features Imagemap File Example Mapfile Referencing your mapfile ImapBase ImapDefault ImapMenu Apache Module mod_include Enabling Server-Side Includes PATH_INFO with Server Side Includes Basic Elements Include Variables Variable Substitution Flow Control Elements SSIEndTag SSIErrorMsg SSIStartTag SSITimeFormat SSIUndefinedEcho XBitHack Apache Module mod_info 安全問題 選擇哪些信息可以被顯示 已知的局限 AddModuleInfo Apache Module mod_isapi 用法 附加注釋 程序員注記 ISAPIAppendLogToErrors ISAPIAppendLogToQuery ISAPICacheFile ISAPIFakeAsync ISAPILogNotSupported ISAPIReadAheadBuffer Apache Module mod_ldap 示例配置 LDAP 連接池 LDAP 緩沖 使用SSL/TLS SSL/TLS 證書 LDAPCacheEntries LDAPCacheTTL LDAPConnectionTimeout LDAPOpCacheEntries LDAPOpCacheTTL LDAPSharedCacheFile LDAPSharedCacheSize LDAPTrustedClientCert LDAPTrustedGlobalCert LDAPTrustedMode LDAPVerifyServerCert Apache Module mod_log_config 定制日志文件格式 安全考慮 BufferedLogs CookieLog CustomLog LogFormat TransferLog Apache Module mod_log_forensic 定制日志文件格式 安全考慮 ForensicLog Apache Module mod_logio 定制日志文件格式 Apache Module mod_mem_cache MCacheMaxObjectCount MCacheMaxObjectSize MCacheMaxStreamingBuffer MCacheMinObjectSize MCacheRemovalAlgorithm MCacheSize Apache Module mod_mime 帶多擴展名的文件 內容編碼 字符集和語言 AddCharset AddEncoding AddHandler AddInputFilter AddLanguage AddOutputFilter AddType DefaultLanguage ModMimeUsePathInfo MultiviewsMatch RemoveCharset RemoveEncoding RemoveHandler RemoveInputFilter RemoveLanguage RemoveOutputFilter RemoveType TypesConfig Apache Module mod_mime_magic "Magic文件"的格式 性能問題 注意 MimeMagicFile Apache Module mod_negotiation 類型表 MultiViews CacheNegotiatedDocs ForceLanguagePriority LanguagePriority Apache Module mod_nw_ssl NWSSLTrustedCerts NWSSLUpgradeable SecureListen Apache Module mod_proxy 正向和反向代理 簡單示例 控制對代理服務器的訪問 緩慢啟動 局域網代理 協(xié)議調整 請求體 AllowCONNECT NoProxy <Proxy> ProxyBadHeader ProxyBlock ProxyDomain ProxyErrorOverride ProxyIOBufferSize <ProxyMatch> ProxyMaxForwards ProxyPass ProxyPassReverse ProxyPassReverseCookieDomain ProxyPassReverseCookiePath ProxyPreserveHost ProxyReceiveBufferSize ProxyRemote ProxyRemoteMatch ProxyRequests ProxyTimeout ProxyVia Apache Module mod_proxy_ajp Overview of the protocol Basic Packet Structure Request Packet Structure Response Packet Structure Apache Module mod_proxy_balancer Load balancer scheduler algorithm Request Counting Algorithm Weighted Traffic Counting Algorithm Enabling Balancer Manager Support Apache Module mod_proxy_connect Apache Module mod_proxy_ftp 為什么xxx類型的文件不能從FTP下載? 如何強制文件xxx使用FTP的ASCII形式下載? 我如何使用FTP上傳? 我如何能訪問我自己home目錄以外的FTP文件? 我如何才能在瀏覽器的URL框中隱藏FTP的明文密碼? Apache Module mod_proxy_http Apache Module mod_rewrite 特殊字符的引用 環(huán)境變量 實用方案 RewriteBase RewriteCond RewriteEngine RewriteLock RewriteLog RewriteLogLevel RewriteMap RewriteOptions RewriteRule Apache Module mod_setenvif BrowserMatch BrowserMatchNoCase SetEnvIf SetEnvIfNoCase Apache Module mod_so 為Windows創(chuàng)建可加載模塊 LoadFile LoadModule Apache Module mod_speling CheckSpelling Apache Module mod_ssl 環(huán)境變量 Custom Log Formats SSLCACertificateFile SSLCACertificatePath SSLCADNRequestFile SSLCADNRequestPath SSLCARevocationFile SSLCARevocationPath SSLCertificateChainFile SSLCertificateFile SSLCertificateKeyFile SSLCipherSuite SSLCryptoDevice SSLEngine SSLHonorCipherOrder SSLMutex SSLOptions SSLPassPhraseDialog SSLProtocol SSLProxyCACertificateFile SSLProxyCACertificatePath SSLProxyCARevocationFile SSLProxyCARevocationPath SSLProxyCipherSuite SSLProxyEngine SSLProxyMachineCertificateFile SSLProxyMachineCertificatePath SSLProxyProtocol SSLProxyVerify SSLProxyVerifyDepth SSLRandomSeed SSLRequire SSLRequireSSL SSLSessionCache SSLSessionCacheTimeout SSLUserName SSLVerifyClient SSLVerifyDepth Apache Module mod_status Enabling Status Support 自動更新 Machine Readable Status File ExtendedStatus Apache Module mod_suexec SuexecUserGroup Apache Module mod_unique_id Theory Apache Module mod_userdir UserDir Apache Module mod_usertrack Logging 2-digit or 4-digit dates for cookies? CookieDomain CookieExpires CookieName CookieStyle CookieTracking Apache Module mod_version <IfVersion> Apache Module mod_vhost_alias 目錄名稱的轉換 示例 VirtualDocumentRoot VirtualDocumentRootIP VirtualScriptAlias VirtualScriptAliasIP 開發(fā)者文檔 Overview Topics External Resources Apache API notes Basic concepts How handlers work Resource allocation and resource pools Configuration Debugging Memory Allocation in APR Available debugging options Allowable Combinations Activating Debugging Options Documenting Apache 2.0 Apache 2.0 Hook Functions Creating a hook function Hooking the hook Converting Modules from Apache 1.3 to Apache 2.0 The easier changes ... The messier changes... Request Processing in Apache 2.0 The Request Processing Cycle The Request Parsing Phase The Security Phase The Preparation Phase The Handler Phase How Filters Work in Apache 2.0 Filter Types How are filters inserted? Asis Explanations 詞匯和索引 詞匯表 模塊索引 指令索引 指令速查 譯者聲明
Figuren

suEXEC支持

suEXEC特性使得Apache可以使用與調用web服務器的用戶不同的用戶身份來運行CGISSI程序。而通常情況下,CGI或者SSI程序執(zhí)行時使用和web服務器相同的用戶身份。

正確運用該特性,可以減少很多因為提供用戶執(zhí)行私有CGI或者SSI程序所帶來的安全風險。但如果配置不當的話,則可能引起很多問題,使你的計算機產生更多的安全漏洞。如果你對管理 setuid root 程序以及可能導致的安全問題不熟悉的話,我們強烈建議你不要使用suEXEC。

開始之前

在我們開始切入正題之前,你必須明白Apache開發(fā)組以及本文檔所做的假設。

首先,我們假設你正在使用類UNIX操作系統(tǒng),只有這類操作系統(tǒng)才具有setuidsetgid命令。所有的其他命令行的例子也是如此。其他的操作系統(tǒng)平臺,即使也支持suEXEC,但是它的配置可能和我們所講的并不相同。

第二,我們假設你熟悉計算機的安全和管理計算機的一些基本概念。這關系到如何正確理解setuid/setgid操作以及對你的系統(tǒng)可能帶來的各種影響和不同的安全等級。

第三,我們假設你正在使用源代碼未經修改的suEXEC版本。所有suEXEC的代碼都經過開發(fā)者的仔細查驗并做過大量測試。在這些代碼中,人們采取了各種預防措施,使之簡單、健壯、安全。修改這些代碼可能會導致預料之外的問題和安全隱患。所以我們強烈地建議你不要修改代碼,除非你精通安全編程,并愿意和Apache開發(fā)組共享成果。

第四,也是最后一點,Apache開發(fā)組已經決定默認不安裝suEXEC。suEXEC的配置需要管理員細致關注各個細節(jié)。在仔細考察過關于suEXEC的各種設置方法后,管理員應該使用標準的安裝方法來安裝suEXEC。設置的參數應該經過仔細推敲,以保證系統(tǒng)的安全運行。Apache開發(fā)組希望通過限制suEXEC的安裝,僅使那些經過細致理解,并有能力運用它的管理員來使用。

你還想使用suEXEC嗎?還想?很好!那我們開始吧!

suEXEC的安全模型

在我們開始配置和安裝suEXEC之前,我們需要先討論一下它的安全模型。這樣,你才能更好的理解suEXEC內部究竟做了些什么事情,以及哪些確保系統(tǒng)安全的預防措施。

suEXEC是基于一個setuid的"封裝"程序,該程序由"主"Apache web服務器調用。當一個HTTP請求的是管理員指定的、以不同于"主"服務器用戶身份運行的CGI或SSI程序時,該封裝程序將被調用。處理這樣的請求時,Apache將被請求的程序名及其UID和GID提供給suEXEC封裝器。

封裝器(wrapper)通過處理下面所描述的步驟,來決定封裝的成功或失?。喝绻腥我庖粋€條件為假,程序將把錯誤情況記錄到日志中,退出并返回錯誤信息。否則繼續(xù)執(zhí)行。(以下所說的"程序"均指"CGI/SSI程序")

  1. 用戶使用了合法的系統(tǒng)賬號來執(zhí)行封裝程序了嗎?

    確保運行封裝器的是一個系統(tǒng)中確實存在的用戶。

  2. 封裝器被調用時,使用的參數個數正確嗎?

    封裝器僅在使用了正確數量的參數調用時才會執(zhí)行。Apache web服務器知道正確的參數格式是什么。如果封裝器沒有收到正確數量的參數,則說明要么被黑客攻擊,要么Apache二進制代碼中suEXEC的部分出了問題。

  3. 這個合法的用戶被允許運行封裝器嗎?

    這個用戶是可以運行封裝器的用戶嗎?僅有一個用戶(Apache用戶)被允許運行封裝器。

  4. 目標CGI/SSI程序有不安全的分級路徑索引嗎?

    目標CGI/SSI程序包含了"/"開頭或者有".."后向路徑索引嗎?這些都是不允許的;并且目標程序必須位于suEXEC的文檔根目錄下。(參見下面的:--with-suexec-docroot=DIR)

  5. 目標程序的所屬用戶名合法嗎?

    目標程序的所屬用戶名存在嗎?

  6. 目標程序的所屬用戶組合法嗎?

    目標程序的所屬用戶組存在嗎?

  7. 目標程序的所屬用戶名不是超級用戶嗎?

    目前,suEXEC不允許root執(zhí)行CGI/SSI程序。

  8. 目標程序所屬用戶的UID高于最小UID值嗎?

    最小UID值是在配置中指定的。你可以指定允許執(zhí)行CGI/SSI程序的最小UID值,這樣可以保證不會和系統(tǒng)賬號沖突。

  9. 目標程序的所屬用戶組不是超級用戶組嗎?

    目前,suEXEC不允許root組用戶執(zhí)行CGI/SSI程序。

  10. 目標程序所屬用戶組的GID高于最小GID值嗎?

    最小GID值是在配置中指定的。你可以指定允許執(zhí)行CGI/SSI程序的最小GID值,這樣可以保證不會和系統(tǒng)賬號沖突。

  11. 封裝器能夠成功地變?yōu)槟繕擞脩艉徒M嗎?

    這里就是程序變?yōu)槟繕擞脩艉徒M的關鍵步驟了。我們是通過調用setuid和setgid來實現的。在組訪問列表中,和該用戶相關的所有組信息都將被初始化。

  12. 能夠切換到程序所在的目錄嗎?

    如果不存在,將無法包含程序文件。如果不能切換一般也表示目錄不存在。

  13. 這個目錄在Apache的網絡空間中嗎?

    如果是對于服務器的一般請求,那么請求的目錄是在suEXEC的根文檔目錄下嗎?如果請求的是一個用戶目錄,那么該目錄是在suEXEC配置的該用戶的根目錄下嗎?(參見:suEXEC配置選項)

  14. 該目錄不具有其他用戶可寫的權限嗎?

    我們不想把目錄開放給其他人;只有屬主才可以改變該目錄中的內容。

  15. 目標CGI/SSI程序存在嗎?

    如果不存在,當然無法繼續(xù)運行。

  16. 目標CGI/SSI程序不可以被其他用戶改寫嗎?

    我們不想給其他人有修改程序的權限。

  17. 目標程序尚未被setuid或者setgid ?

    我們不想要執(zhí)行的程序被再次改變UID/GID。

  18. 目標用戶和組與程序的用戶和組相同嗎?

    用戶是這個文件的屬主嗎?

  19. 我們可以成功清除進程的環(huán)境變量并保證操作的安全性嗎?

    suEXEC通過建立一個安全的可執(zhí)行路徑(在配置中定義)來清除該進程的環(huán)境變量,同時只傳送在安全環(huán)境變量列表(配置中定義)中所列出的環(huán)境變量。

  20. 可以成功的變?yōu)槟繕顺绦虿?zhí)行嗎?

    這里就是suEXEC結束,并開始運行目標程序的地方了。

這是suEXEC封裝器標準操作方式的安全模型。它有些嚴格,并強加了CGI/SSI設計上的限制。但它是仔細考慮過安全之后一步步發(fā)展起來的模型。

更多關于該安全模型如何根據服務器的配置來限制使用者的權限,以及恰當的suEXEC安裝步驟能夠避免的安全隱患,請參見警告和舉例部分。

配置和安裝suEXEC

繼續(xù)我們的探險 ...

suEXEC配置選項

--enable-suexec
該選項啟用默認禁止的suEXEC功能。并同時至少提供一個 --with-suexec-xxxxx 選項,以使APACI使用suEXEC功能來處理請求。
--with-suexec-bin=PATH
出于安全考慮,suexec二進制程序的路徑必須用這個選項指定并硬編碼在服務器里。比如:--with-suexec-bin=/usr/sbin/suexec
--with-suexec-caller=UID
Apache運行時所用的UID。這是唯一允許執(zhí)行程序的用戶。
--with-suexec-userdir=DIR
定義suEXEC允許訪問的用戶宿主目錄下的子目錄。suEXEC將以用戶身份執(zhí)行這個目錄下的所有可執(zhí)行程序,所以這些程序必須是"安全程序"。如果使用"簡單的"UserDir指令(即不帶"*"),則此處應該被設置為相同的值。當UserDir指令所指向的目錄與"passwd"文件所指定的用戶宿主目錄不同時,suEXEC將不會正常工作,其默認值是"public_html"。如果所支持的虛擬主機對每個用戶有不同的UserDir ,則應該把他們集中在同一個父目錄下,而用這個參數指向這個父目錄。如果配置不當,"~userdir"下的cgi請求將無效!
--with-suexec-docroot=DIR
定義Apache的DocumentRoot。它是除UserDir外suEXEC唯一可以使用的目錄。其默認目錄是 --datadir 值所指定的帶有"/htdocs"的后綴的目錄,比如:如果配置了"--datadir=/home/apache",那么"/home/apache/htdocs"目錄將作為suEXEC處理器的文檔根目錄。
--with-suexec-uidmin=UID
定義了suEXEC目標用戶的最低UID。對大多數系統(tǒng),一般是500或100。默認值是100
--with-suexec-gidmin=GID
定義了suEXEC目標組的最低GID。對大多數系統(tǒng),是100,默認值也是100。
--with-suexec-logfile=FILE
它定義了suEXEC用于記錄所做的事情以及發(fā)生的錯誤的日志文件名(對審核和排錯很有用),默認文件名是"suexec_log",并位于標準的日志文件目錄中(--logfiledir)。
--with-suexec-safepath=PATH
定義傳給CGI程序的一個安全的PATH環(huán)境變量的值。默認值是"/usr/local/bin:/usr/bin:/bin"

編譯和安裝suEXEC處理器
若用 --enable-suexec 打開了suEXEC功能,那么執(zhí)行make命令時(Apache自帶的)suexec二進制文件就會被自動建立。所有組件編譯完畢后執(zhí)行 make install 命令進行安裝時,suexec文件將被安裝在 --sbindir 選項指定的目錄中,默認為"/usr/local/apache2/sbin/suexec"。
注意,安裝過程需要root權限。為了使suEXEC處理器可以設置UID,其所有者必須為root ,并且文件模式中的執(zhí)行位必須設置為1(允許執(zhí)行)。

設置許可權限
雖然suEXEC包裝會檢查以確保它的調用者就是配置選項 --with-suexec-caller 所指定的用戶。但是總是存在這樣的可能性:一個系統(tǒng)或者庫在suEXEC執(zhí)行用戶身份檢查之前調用它,這樣就存在一個可利用的漏洞。通常,避免這種問題的最佳辦法是,使用文件系的統(tǒng)權限來確保只有Apache組用戶運行的程序才能執(zhí)行suEXEC。

如果你的web-server是按照如下所示進行配置的:

User www
Group webgroup

并且suexec被安裝在"/usr/local/apache2/sbin/suexec"目錄,你應當運行以下命令:

chgrp webgroup /usr/local/apache2/bin/suexec
chmod 4750 /usr/local/apache2/bin/suexec

這將確保只有Apache組用戶運行的程序才能執(zhí)行suEXEC。

啟用和禁用suEXEC

Apache在啟動過程中,會在 --sbindir 選項指定的目錄(默認為:"/usr/local/apache/sbin/suexec")中尋找suexec。如果Apache找到了一個正確配置的suEXEC處理器,會在錯誤日志中記錄以下信息:

[notice] suEXEC mechanism enabled (wrapper: /path/to/suexec)

如果服務器啟動后沒有這個信息,那么很可能是服務器沒找到適當的處理器,或者是這個執(zhí)行程序沒有安裝setuid root

如果要在Apache服務器運行過程中打開suEXEC功能,則必須停止并重新啟動Apache。用一個簡單的HUP或USR1信號來重新啟動是不夠的。

如果要關閉suEXEC功能,應該刪除suexec文件,并停止和重新啟動Apache。

使用suEXEC

對CGI程序的請求僅在下述兩種情況下才會調用suEXEC包裝:對一個含SuexecUserGroup指令的虛擬主機發(fā)起請求,或者該請求由mod_userdir模塊處理。

虛擬主機:
使用suEXEC處理器的方法之一是在VirtualHost定義中使用SuexecUserGroup指令。通過設置這個指令來確定不同于主服務器的UID,所有對CGI資源的請求將以<VirtualHost>所定義的UserGroup身份執(zhí)行。如果<VirtualHost>中沒有這個指令,則將以主服務器的UID身份執(zhí)行。

用戶目錄:
mod_userdir處理的請求會調用suEXEC處理器以被請求的用戶目錄所屬的UID執(zhí)行CGI程序。此功能的唯一要求是,此用戶必須有CGI執(zhí)行權限,并且其腳本符合上述安全檢查的要求。參見 --with-suexec-userdir 編譯選項。

調試suEXEC

如上所述,suEXEC處理器會在 --with-suexec-logfile 選項所指定的日志文件中記錄信息。如果你感覺配置和安裝不正常,可以查看這個日志以及服務器的錯誤日志。

謹防Jabberwock:警告和舉例

注意!這部分文檔可能還沒有完成。查看最新的修訂版本,請到Apache開發(fā)組的在線文檔。

以下是有關限制和服務器安裝的幾個注意事項,在提交任何關于suEXEC的"bugs"以前,請仔細閱讀。

  • suEXEC注意事項
  • 層次限制

    出于安全和效率考慮,所有suEXEC請求必須被限制在虛擬主機或者用戶目錄的頂層。舉例來說,如果你配置了4個虛擬主機,你必須把所有虛擬主機的文檔根目錄都安置在同一個主Apache目錄中,這樣才能為虛擬主機啟用suEXEC。(例子以后會有的)

  • suEXEC的PATH環(huán)境變量

    改變這個變量的值是危險的,必須確保其中每個路徑都是可以信任的目錄。你不會希望誰都可以在你的服務器上安裝特洛伊木馬。

  • 改變suEXEC的代碼

    重申,如果你不清楚你在干什么就盡量避免,否則會帶來大麻煩的。

Vorheriger Artikel: N?chster Artikel: