Windows下Apache应用环境塔建安全设置(目录权限设置)
“繁花”通过精心收集,向本站投稿了6篇Windows下Apache应用环境塔建安全设置(目录权限设置),下面是小编整理后的Windows下Apache应用环境塔建安全设置(目录权限设置),欢迎大家阅读分享借鉴,希望对大家有所帮助。
篇1:Windows下Apache应用环境塔建安全设置(目录权限设置)
环境配置情况:
apache安装目录:d:www-sapache
php目录:d:www-sphp5
mysql目录:d:www-smysql
网站根目录:d:wwwhtdocs
专门为运行Apache运行所使用的用户:apache-u(可不隶属于任何用户组)
PS:这里只说Windows下Apache应用环境相关的目录权限设置,至于其他基本的服务器目录权限设置就不提啦!
Windows下Apache应用环境塔建目录安全设置操作步骤:
配置目录权限
Apache所在的根目录(也就是D盘),只需要读取的权限,并且这个读取权限不需要继承到子目录与文件(可以在权限设置高级里选择——应用到:只有该文件夹——权限:列出文件夹/读取数据, 读取属性,读取扩展属性,读取权限——确定),
Apache安装目录的上级目录(d:www-s),需要“读取”的权限(和根目录D盘的权限雷同)。
Apache安装目录,需要“列出文件夹目录”和“读取”的权限(可以为了方便使用继承)。
Apache安装目录下的子目录权限设置
“bin”和“modules”目录需要“读取和运行”、“列出文件夹和目录”、“读取”的权限。
“logs”目录需要“列出文件夹和目录”、“读取”、“写入”的权限(若Apache安装目录的权限使用啦继承,可只添加“写入”权限即可)。
到这里Apache的权限已经设置完毕,接下来设置PHP的权限
PHP目录(PHP5)可简单的设置为“读取和运行”、“列出文件夹和目录”、“读取”的权限。
Mysql目录下的bin文件夹和文件(mysql)需要为添加apache用户的“遍历文件夹和运行文件”、“列出文件夹和读取数据”的权限(可以在权限高级设置里找到)。
到这里Apache+Mysql+Php已经基本可以使用,接着配置网站根目录权限
网站根目录(wwwhtdocs)的上级目录www需要读取(“列出文件夹和读取数据”、“读取属性”、“读取扩展属性”、“读取权限”)的权限(和Apache的上级目录权限雷同,不需要继承到子目录和文件中去),
网站根目录(htdocs)可简单的设置“读取”权限就可以啦(然后可以根据需要对缓存文件夹设置可写权限)。
到这里Apache+PHP+Mysql的环境受限制权限设置基本完成。
为Apache服务启用受限制用户
进入服务管理器(Services.msc,或者“我的电脑——属性——管理——服务”),找到Apache的服务项(Apache2.2),设置属性,登录用户选择受限用户(Apache-u)输入受限用户的密码,应用,确定。
这里“确定”之后一般会有提示(已授予账户.apache-u“以服务方式登录”的权利)。这个提示相当于在组策略(开始->管理工具->本地安全策略,或者使用gpedit.msc打开)中的“用户权利分配”中选择“作为服务登陆”,添加apache-u用户。
可在任务管理器中查看httpd.exe进程的用户名为apache-u,使用PHP+Mysql的程序都可正常运行。
到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。
补充3:
可以在目录(具有可写权限的)下建个 .htaccess 内容写上:
RewriteEngine On
Order Allow,Deny
Deny from all
Allow from all
css和js为允许的文件扩展类型!
补充2:
1.Apache的权限设置错误提示
apache目录,php目录,网站目录中的一个权限设置不够都不能正常启动Apache服务,一般提示为:
Windows 不能再 本地计算机 启动 Apache2.2。有关更多信息,查阅系统事件日志。如果这是非 Microsoft服务,请与服务厂商联系,并参与特定服务错误代码 1。
查看系统事件日志中的提示为:
Apache2.2 服务因 1 (0×1) 服务性错误而停止。
若是php的权限配置错误会在应用程序事件日志中有记录。
2.另外Mysql的目录权限配置错误,不会对正常启动Apache服务造成影响,但不能网站程序使用Mysql服务(PHPINFO中显示并没有加载Mysql模块)。
补充1:
这个东东在本地机子上用来做测试基本是不用理会这些权限的,因为默认是使用系统用户来启动这个Apache服务的!不过若是暴露在外网就很危险啦!
安全是全方面的架构考虑,这里说的仅仅是冰山一角,不能以点盖面!
发现有遗漏的地方欢迎指正。。
篇2:Windows下MySQL安全权限设置
注意:本文的内容涉及到修改NTFS磁盘权限和设置安全策略,请务必在确认您了解操作可能的后果之后再动手进行任何的修改,
文中提及的权限都是在原有权限上附加的权限。
[修改步骤]
1.创建用户
创建一个名为mysqlusr的用户,设置一个随机密码,密码的长度最好
不要少于20位。
2.设置用户的身份
将mysqlusr用户加入Guests组,并去掉其它任何的组。
3.设置磁盘权限
假设MySQL安装在如下目录中
D:hostingsystemmysql
假设MySQL的数据库存放在如下目录中
D:hostingMySQLDB
假设MySQL的服务运行者修改为mysqlusr
目录权限设置如下
D:hostingsystemmysql
mysqlusr
读取和运行
列出文件夹目录
读取
D:hostingsystemmysqltmpdir
mysqlusr
修改
读取和运行
列出文件夹目录
读取
写入
D:hostingMySQLDB
mysqlusr
修改
读取和运行
列出文件夹目录
读取
写入
4.修改MySQL的相应配置
修改MySQL目录下的my.ini
在其中增加一行,内容如下
tmpdir=D:/hosting/system/MySQL/tmpdir
篇3:windows下apache的安全设置要点WEB安全
1、使用guest用户启动apache,apache默认是用sys用户启动,sys属于系统用户,对系统有着超级权限,所以为了安全起见,尽量不要使用这个用户,
首先右键我的电脑->管理->系统工具->本地用户和组->用户 在右侧点击右键选“新用户”,然后输入相应的用户名和密码即可,注意勾选密码用不过期。新建帐户默认是user组,可以在用户名称上右击-属性,将user组删除,然后将其加入guest组。
再选择服务和应用程序->服务,找到apache服务器,右键属性,在弹出框中选择“登陆”,浏览选择刚才新建的用户即可,
到这一步已经完成了基本的配置了,还需要进行文件夹权限的设置,因为apache使用了guest帐户启动,那么也要将apache利用到的一些文件夹也赋予guest帐户权限,否则apache将无法启动,就别谈提供网站服务了,需要将apache的安装目录赋予读取权限,将目录下的logs(日志目录)赋予写入权限,然后重新启动ahache即可提供网站服务。
2、虚拟主机设置,在VirtualHost中加入php_admin_value open_basedir “对应的虚拟主机目录",即可限制单个虚拟主机的跨文件夹权限,防止一个虚拟主机被挂马导致整台服务器崩溃,注意如果使用了guest用户启动apache,那么也需要将guest用户对虚拟主机文件夹有读写权限。
最终,一台apache+windows的网站服务器打造完成了,网站建设最后最后一道堡垒筑成。
篇4:Windows下设置MySQL安全权限数据库教程
注意:本文的内容涉及到修改NTFS磁盘权限和设置安全策略,请务必在确认您了解操作可能的后果之后再动手进行任何的修改,
注意:本文的内容涉及到修改NTFS磁盘权限和设置安全策略,请务必在确认您了解操作可能的后果之后再动手进行任何的修改。
文中提及的权限都是在原有权限上附加的权限。
[修改步骤]
1.创建用户
创建一个名为mysqlusr的用户,设置一个随机密码,密码的长度最好
不要少于20位。
2.设置用户的身份
将mysqlusr用户加入Guests组,并去掉其它任何的组。
3.设置磁盘权限
假设MySQL安装在如下目录中
D:hostingsystemmysql
假设MySQL的数据库存放在如下目录中
D:hostingMySQLDB
假设MySQL的服务运行者修改为mysqlusr
目录权限设置如下
D:hostingsystemmysql
mysqlusr
读取和运行
列出文件夹目录
读取
D:hostingsystemmysqltmpdir
mysqlusr
修改
读取和运行
列出文件夹目录
读取
写入
D:hostingMySQLDB
mysqlusr
修改
读取和运行
列出文件夹目录
读取
写入
4.修改MySQL的相应配置
修改MySQL目录下的my.ini
在其中增加一行,内容如下
tmpdir=D:/hosting/system/MySQL/tmpdir
篇5:IIS安全权限设置
系统用户情况为:
administrators 超级管理员(组)
system 系统用户(内置安全主体)
guests 来宾帐号(组)
iusr_服务器名 匿名访问web用户
iwam_服务器名 启动iis进程用户
www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)
为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用
将访问web目录的全部账户设为guests组、去除其他的组
■盘符 安全访问权限
△C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限
△E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.
■目录安全访问权限
▲c:windows
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:windowssystem32
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限
▲c:windowstemp
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限
▲C:WINDOWSsystem32config
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:Program Files
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:Program FilesCommon Files
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限
▲c:Documents and Settings
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:Documents and SettingsAll Users
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:Documents and SettingsAll UsersApplication Data
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:Documents and SettingsAll UsersApplication DataMicrosoft
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Help
△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
■禁止系统盘下的EXE文件:
net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
△些文件都设置成 administrators 完全控制权限
■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】
▲根目录里新建wwwroot目录
▲网站根目录、网页请上传到这个目录
△administrators(组) 完全控制权限
△www_cnnsc_org(用户)完全控制权限
▲根目录里新建logfiles目录
▲网站访问日志文件、本目录不占用您的空间
△administrators(组) 完全控制权限
▲根目录里新建database目录
▲数据库目录、用来存放ACCESS数据库
△administrators(组) 完全控制权限
▲根目录里新建others目录
▲用于存放您的其它文件、该类文件不会出现在网站上
△administrators(组) 完全控制权限
△www_cnnsc_org(用户)完全控制权限
▲在FTP(登陆消息文件里填)IIS日志说明:
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
欢迎您使用本虚拟主机.
请使用CUTEFTP或者LEAFTP等软件上传您的网页.
注意、如果上传不了、请把FTP软件的PASV模式关掉再试.
您登陆进去的根目录为FTP根目录
--wwwroot网站根目录、网页请上传到这个目录.
--logfiles 网站访问日志文件、本目录不占用您的空间.
--database 数据库目录、用来存放ACCESS数据库.
--others 用于存放您的其它文件,该类文件不会出现在网站上.
为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、
类网站、大型论坛、软件下载等耗费系统资源的程序.
IIS日志说明
--Date 动作发生时的日期
--Time 动作发生时的时间
--s-sitename 客户所访问的Internet服务于以及实例号
--s-computername 产生日志条目的服务器的名字
--s-ip 产生日志条目的服务器的IP地址
--cs-method客户端企图执行的动作(例如GET方法)
--cs-uri-stem被访问的资源、例如Default.asp
--cs-uri-query 客户所执行的查询
--s-port 客户端连接的端口号
--cs-username通过身份验证访问服务器的用户名、不包括匿名用户
--c-ip 访问服务器的客户端IP地址
--cs(User-Agent) 客户所用的浏览器
--sc-status用HTTP或者FTP术语所描述的动作状态
--sc-win32-status用Microsoft Windows的术语所描述的动作状态
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■禁止下载Access数据库
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件:C:WINDOWStwain_32.dll
△扩展名:.mdb
▲如果你还想禁止下载其它的东东
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件:C:WINDOWStwain_32.dll
△扩展名:.(改成你要禁止的文件名)
▲然后删除扩展名:shtml stm shtm cdx idc cer
■防止列出用户组和系统进程:
△开始→程序→管理工具→服务
△找到 Workstation 停止它、禁用它
■卸载最不安全的组件:
△开始→运行→cmd→回车键
▲cmd里输入:
△regsvr32/u C:WINDOWSsystem32wshom.ocx
△del C:WINDOWSsystem32wshom.ocx
△regsvr32/u C:WINDOWSsystem32shell32.dll
△del C:WINDOWSsystem32shell32.dll
△也可以设置为禁止guests用户组访问
■解除FSO上传程序小于200k限制:
△在服务里关闭IIS admin service服务
△打开 C:WINDOWSsystem32inetsrvMetaBase.xml
△找到ASPMaxRequestEntityAllowed
△将其修改为需要的值、默认为204800、即200K、把它修改为5100(50M)、然后重启
IIS admin service服务
■禁用IPC连接
△开始→运行→regedit
△找到如下组建(HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa)中的
(restrictanonymous)子键
△将其值改为1即
■清空远程可访问的注册表路径:
△开始→运行→gpedit.msc
△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
△在右侧窗口中找到“网络访问:可远程访问的注册表路径”
△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
■关闭不必要的服务
△开始→程序→管理工具→服务
△Telnet、TCPIP NetBIOS Helper
■解决终端服务许可证过期的办法
△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权
服务
△我的电脑--右键属性--远程---远程桌面、打勾、应用
△重启服务器、OK了、再也不会提示过期了
■取消关机原因提示
△开始→运行→gpedit.msc
△打开组策略编辑器、依次展开
△计算机配置→管理模板→系统
△双击右侧窗口出现的(显示“关闭事件跟踪程序”)
△将(未配置)改为(已禁用)即可
篇6:nginx目录列表和目录访问权限设置
1.目录列表(directory listing)
nginx让目录中的文件以列表的形式展现只需要一条指令
autoindex on;
autoindex可以放在location中,只对当前location的目录起作用,你也可以将它放在server指令块则对整个站点都起作用。或者放到http指令块,则对所有站点都生效。
下面是一个简单的例子:
server {
listen 80;
server_name domain.com ;
access_log /var/...........................;
root /path/to/root;
location / {
index index.php index.html index.htm;
}
location /somedir {
autoindex on;
}
}2.nginx禁止访问某个目录
跟Apache的Deny from all类似,nginx有deny all指令来实现,
禁止对叫dirdeny目录的访问并返回403 Forbidden,可以使用下面的配置:
location /dirdeny {
deny all;
return 403;
}
【Windows下Apache应用环境塔建安全设置(目录权限设置)】相关文章:
4.Windows Server Web服务器的十五项安全设置
7.linux下对一个文件设置多个组的权限(setfaclgetfacl)方法管理
文档为doc格式
