Windows下Apache應用環(huán)境塔建安全設(shè)置

服務器的安全是最為重要的，這里介紹了在Windows操作系統(tǒng)下安裝Apache后的一些安全配置教程，讓您的服務器更安全，網(wǎng)站更健康！

環(huán)境配置情況：
apache安裝目錄：d:\www-s\apache
php目錄：d:\www-s\php5
mysql目錄：d:\www-s\mysql
網(wǎng)站根目錄：d:\www\htdocs

專門為運行Apache運行所使用的用戶：apache-u（可不隸屬于任何用戶組）

PS：這里只說Windows下Apache應用環(huán)境相關(guān)的目錄權(quán)限設(shè)置，至于其他基本的服務器目錄權(quán)限設(shè)置就不提啦！

Windows下Apache應用環(huán)境塔建目錄安全設(shè)置操作步驟：

配置目錄權(quán)限

Apache所在的根目錄（也就是D盤），只需要讀取的權(quán)限，并且這個讀取權(quán)限不需要繼承到子目錄與文件（可以在權(quán)限設(shè)置高級里選擇——應用到：只有該文件夾——權(quán)限：列出文件夾/讀取數(shù)據(jù)， 讀取屬性，讀取擴展屬性，讀取權(quán)限——確定）。

Apache安裝目錄的上級目錄（d:\www-s），需要“讀取”的權(quán)限（和根目錄D盤的權(quán)限雷同）。

Apache安裝目錄，需要“列出文件夾目錄”和“讀取”的權(quán)限（可以為了方便使用繼承）。

Apache安裝目錄下的子目錄權(quán)限設(shè)置

“bin”和“modules”目錄需要“讀取和運行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

“logs”目錄需要“列出文件夾和目錄”、“讀取”、“寫入”的權(quán)限（若Apache安裝目錄的權(quán)限使用啦繼承，可只添加“寫入”權(quán)限即可）。

到這里Apache的權(quán)限已經(jīng)設(shè)置完畢，接下來設(shè)置PHP的權(quán)限

PHP目錄（PHP5）可簡單的設(shè)置為“讀取和運行”、“列出文件夾和目錄”、“讀取”的權(quán)限。

Mysql目錄下的bin文件夾和文件（mysql）需要為添加apache用戶的“遍歷文件夾和運行文件”、“列出文件夾和讀取數(shù)據(jù)”的權(quán)限（可以在權(quán)限高級設(shè)置里找到）。

到這里Apache+Mysql+Php已經(jīng)基本可以使用，接著配置網(wǎng)站根目錄權(quán)限

網(wǎng)站根目錄（www\htdocs）的上級目錄www需要讀�。�“列出文件夾和讀取數(shù)據(jù)”、“讀取屬性”、“讀取擴展屬性”、“讀取權(quán)限”）的權(quán)限（和Apache的上級目錄權(quán)限雷同，不需要繼承到子目錄和文件中去）。

網(wǎng)站根目錄（htdocs）可簡單的設(shè)置“讀取”權(quán)限就可以啦（然后可以根據(jù)需要對緩存文件夾設(shè)置可寫權(quán)限）。

到這里Apache+PHP+Mysql的環(huán)境受限制權(quán)限設(shè)置基本完成。

為Apache服務啟用受限制用戶

進入服務管理器（Services.msc，或者“我的電腦——屬性——管理——服務”），找到Apache的服務項（Apache2.2），設(shè)置屬性，登錄用戶選擇受限用戶（Apache-u）輸入受限用戶的密碼，應用，確定。

這里“確定”之后一般會有提示（已授予賬戶.\apache-u“以服務方式登錄”的權(quán)利）。這個提示相當于在組策略（開始->管理工具->本地安全策略，或者使用gpedit.msc打開）中的“用戶權(quán)利分配”中選擇“作為服務登陸”，添加apache-u用戶。

可在任務管理器中查看httpd.exe進程的用戶名為apache-u，使用PHP+Mysql的程序都可正常運行。
到這里已經(jīng)完成啦“Windows下Apache應用環(huán)境目錄權(quán)限”的受限制使用設(shè)置。

補充3：

可以在目錄（具有可寫權(quán)限的）下建個 .htaccess 內(nèi)容寫上：

RewriteEngine On
Order Allow,Deny
Deny from all
<files ~ “.(css|js)$”>
Allow from all
</files>

css和js為允許的文件擴展類型！

補充2：

1.Apache的權(quán)限設(shè)置錯誤提示

apache目錄，php目錄，網(wǎng)站目錄中的一個權(quán)限設(shè)置不夠都不能正常啟動Apache服務，一般提示為：

Windows 不能再 本地計算機 啟動 Apache2.2。有關(guān)更多信息，查閱系統(tǒng)事件日志。如果這是非 Microsoft服務，請與服務廠商聯(lián)系，并參與特定服務錯誤代碼 1。

查看系統(tǒng)事件日志中的提示為：

Apache2.2 服務因 1 (0×1) 服務性錯誤而停止。

若是php的權(quán)限配置錯誤會在應用程序事件日志中有記錄。

2.另外Mysql的目錄權(quán)限配置錯誤，不會對正常啟動Apache服務造成影響，但不能網(wǎng)站程序使用Mysql服務（PHPINFO中顯示并沒有加載Mysql模塊）。

補充1：

這個東東在本地機子上用來做測試基本是不用理會這些權(quán)限的，因為默認是使用系統(tǒng)用戶來啟動這個Apache服務的！不過若是暴露在外網(wǎng)就很危險啦！

安全是全方面的架構(gòu)考慮，這里說的僅僅是冰山一角，不能以點蓋面！