php安全性漫谈之apache server安全性设置
1、以nobody用户运行一般情况下，apache是由root 来安装和运行的。如果apache server进程具有root用户特权，那么它将给系统的安全构成很大的威胁，应确保apache server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以nobody用户运行apache 达到相对安全的目的。
user nobodygroup# -1
2、serverroot目录的权限为了确保所有的配置是适当的和安全的，需要严格控制apache 主目录的访问权限，使非超级用户不能修改该目录中的内容。apache 的主目录对应于apache server配置文件httpd.conf的server root控制项中，应为：
server root /usr/local/apache
3、ssi的配置在配置文件access.conf 或httpd.conf中的确options指令处加入includes no exec选项，用以禁用apache server 中的执行功能。避免用户直接执行apache 服务器中的执行程序，而造成服务器系统的公开化。
options includes noexec
4、阻止用户修改系统设置在apache 服务器的配置文件中进行以下的设置，阻止用户建立、修改 .htaccess文件，防止用户超越能定义的系统安全特性。
allowoveride noneoptions noneallow from all
然后再分别对特定的目录进行适当的配置。
5、改变apache 服务器的缺省访问特性apache 的默认设置只能保障一定程度的安全，如果服务器能够通过正常的映射规则找到文件，那么客户端便会获取该文件，如http://local host/~ root/ 将允许用户访问整个文件系统。在服务器文件中加入如下内容：
order deny,ellowdeny from all
将禁止对文件系统的缺省访问。
6、cgi脚本的安全考虑cgi脚本是一系列可以通过web服务器来运行的程序。为了保证系统的安全性，应确保cgi的作者是可信的。对cgi而言，最好将其限制在一个特定的目 录下，如cgi-bin之下，便于管理；另外应该保证cgi目录下的文件是不可写的，避免一些欺骗性的程序驻留或混迹其中；如果能够给用户提供一个安全性 良好的cgi程序的模块作为参考，也许会减少许多不必要的麻烦和安全隐患；除去cgi目录下的所有非业务应用的脚本，以防异常的信息泄漏。
7、ssl链接加密以上这些常用的举措可以给apache server 一个基本的安全运行环境，显然在具体实施上还要做进一步的细化分解，制定出符合实际应用的安全配置方案。