基于Windows的xampp安全环境搭建.docVIP

windows环境下的xampp安全环境的搭建 有时候为了省去从头到尾配置apache,php,mysql的麻烦，会选择xampp搭建我们的服务器，但是如果把安装好的服务器直接用于实际的环境，却是非常不安全，下面我们来看看如何配置，使服务器更安全。 一．xampp设置 安装完毕后，进入http://localhost/xampp/ 点击“安全”，点击= http://localhost/security/xamppsecurity.php = ??[只允许localhost]MySQL SuperUser，root用户的密码（注意实际运行网站是不要使用该用户） 设置XAMPP目录保护 (.htaccess),设置用户名，密码。 （注意：为防止忘记密码的情形，最好将这些用户名密码放在一个安全的地方保存） 二．apache安全与配置 apache服务器的配置文件，主要在两个地方: 一个是在：\xampp\apache\conf，下的http.conf, 一个是在\xampp\apache\conf\extra下，该目录下有很多的配置文件，如xampp的配置(httpd-xampp.conf)，mpm的配置(httpd-mpm.conf)，虚拟host的配置(httpd-vhosts.conf)等等。 下面我们来配置apache服务器，修改xampp\apache\conf,下的http.conf的配置文件 注意，默认该服务器是使用80端口，如果该端口被占用，则必须修改apache服务器的默认端口 Listen 8080 ServerName localhost:8080 1.隐藏apache版本 默认情况下，访问apache服务器，访问某个禁止文件或者不存在的文件时，会显式服务器的版本信息，如下所示 Apache/2.2.17 (Win32) mod_ssl/2.2.17 OpenSSL/0.9.8o PHP/5.3.4 mod_perl/2.0.4 Perl/v5.10.1 或者使用http://website/server-info，也会在网站的响应信息中会清楚的看到如下信息： 这样是非常危险的，然攻击者能清楚的知道你使用的服务器的信息，我们必须把屏蔽掉，首先将，Apache模块 mod_info.so在httpd.conf中注释掉，： #LoadModule info_module modules/mod_info.so 然后在\xampp\apache\conf\extra中的httpd-default.conf中，将 ServerTokens Full 改为 Prod //不允许在http响应里返回服务器的版本信息 ServerSignature On改为off //不允许显示服务器的特征信息 然后修改\xampp\apache\conf\extra,目录下的httpd-info.conf配置文件，找到 Location /server-status SetHandler server-status Order deny,allow Deny from all /Location Location /server-info SetHandler server-info Order deny,allow Deny from all Allow from //表示只允许本机访问，前提是要加载mod_info.so模块 /Location 这样，我们就可以让客户端无法得知服务器端的配置情况了。 2. 清除“Indexs”引用（因为默认情况下，如果在网站目录下找不到index文件则，会列出网站的目录，这是非常危险的，攻击者会清楚知道你网站的文件结构，所以我们清除Indexs，你可以直接删掉，也可以采用：-Indexs,如下: Directory D:/xampp/htdocs Options -Indexes FollowSymLinks //清除FollowSymLinks,或者直接使用Options none /Directory 3.为了优化apache的性能，设置\xampp\apache\conf\extra中的多路处理模块，httpd-mpm.conf， 找到如下部分： IfModule mpm_winnt_module ThreadsPerChild 250 MaxRequestsPerChild 5000 //默认值为0 Win32DisableAcceptEx //这个根据自己的情况，注释掉 /IfModule ThreadsPerChild： 这个参数用于设置每个进程的线程数, 子进程在启动时建立这些线程后就不再建立新的线程