麻茄 | MAQIE 草原的博客 -YuLiang'S blog

第一步：
rpm -qa|apache
查看默认安装的apache具体版本号

如： apache-2.0.43

第二步：
rpm -e apache-2.0.43

目录 [隐藏]
1 服务程序的安全设置
1.1 Apache的安全设置
1.2 PHP安全设置
1.3 Mysql的安全设置
1.4 vsFTPd安全设置
1.5 SSH安全设置
2 操作系统FreeBSD所有条目
3 参见 
 
[编辑]服务程序的安全设置
到这里就是本文的重点所在了，我们将花费比较多的文字进行描述，当然，所以描述不一定是非常正确的，也希望能够对你有一些帮助。我们系统默认是运行了包括Apache、Mysql、vsFTPd，SSH等服务，我们以下进行一一讲解。

[编辑]Apache的安全设置
Apache的核心设置就是在 httpd.conf 里面，我们安装的Apache的目录是在 /usr/local/apache2/ 下，那么我们的配置文件就是在 /usr/local/apache2/conf/httpd.conf ，如果你是使用ports等安装的，配置文件应该是在/etc或/usr/local/etc目录下。使用ee或者vi打开配置文件：

　　# ee /usr/local/apache2/conf/httpd.conf

下面我们就要进行比较多的安全设置了，基本的服务、端口、主目录等等设置就不说了，只讲与安全有关的设置。

（1）指定运行Apache服务的用户和组
这是比较重要的，因为权限是继承的，如果运行Apache服务的用户权限太高，那么很可能使得入侵者通过WebShell等就会对系统构成严重威胁。一般我们运行Apache的是nobody用户和nobody组。在httpd.conf的250-275行之间找到User和Group选项，比如我们默认设置如下（去掉了注释信息）：

　　<IfModule ！mpm_winnt.c>；

　　<IfModule ！mpm_netware.c>；

　　User nobody

　　Group #-1

　　</IfModule>；

　　</IfModule>；

（2） Apache的日志文件
　　Apache的日志文件是非常重要的，可以发现apache的运行状况和访问情况，对于判断入侵等有重要帮助。它的默认选项是：

　　# 错误日志存放目录，默认是存放在apache安装目录的logs下

　　ErrorLog logs/error_log

　　# 日志记录的级别，级别有debug， info， notice， warn， error， crit等，默认是“warn”级别

　　LogLevel warn

　　# 访问日志记录的格式，每一种格式都有不同的内容，根据你的需要进行定制，以获取最多访问信息

　　LogFormat "%h %l %u %t \"%r\" %>；s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

　　LogFormat "%h %l %u %t \"%r\" %>；s %b" common

　　LogFormat "%{Referer}i ->； %U" referer

　　LogFormat "%{User-agent}i" agent

　　# 使用上面格式的那一种，默认是使用common

　　CustomLog logs/access_log common

　　文件格式预定义的格式内容：

　　%a 远程用户IP

　　%A 本地httpd服务器的ip

　　%f 传送的文件名

　　%h 远程主机

　　%m 请求方式

　　%l identd给出的远程名

　　%p 连接的httpd端口号

　　%P 请求的httpd进程

　　%t 时间

　　%T 服务请求时间

你可以定制自己的日志格式，然后通过CustomLog logs/access_log common来进行调用。

注意，日志文件是由运行Apache的用户进行打开的，要注意该文件的安全，防止被黑客改写或者删除。

（3） Apache服务信息显示控制
在配置文件中有个选项是控制是否显示apache版本信息、主机名称、端口、支持的cgi等信息的：

　　ServerSignature On

默认为On，那么将显示所有信息：

　　我故意访问一个不存在的文件：http://www.target.com/404.html

　　那么就会在给的错误提示中显示如下信息：

　　Apache/2.0.53 （Unix） PHP/4.3.11 Server at target.com Port 80

所有Apache和PHP的信息暴露无遗，这是很不安全的。当然同时还有Off和EMail选项，Off将不显示任何信息，EMail将显示管理员的邮箱地址，建议设为Off或者EMail，这样能够避免泄漏Apache服务器的信息给黑客。

（4） 目录浏览
　　在httpd.conf中可以设置apache能够对一些没有索引文件的网页目录进行目录浏览：

　　<Directory />；

　　Options Indexes FollowSymLinks

　　AllowOverride None

　　</Directory>；

　　这是不合适也不安全的，建议不需要目录浏览：

　　<Directory />；

　　Options FollowSymLinks

　　AllowOverride None

　　</Directory>；

（5） 用户主页
　　设置httpd.conf中的：

　　UserDir public_html

　　能够使得每个使用系统的用户在自己的主目录下建立 public_html 目录后就能够把自己的网页放进该目录，然后通过：

　　http://www.target.com/~用户名/网页 就能够显示自己的网页，这是不安全的，而且对于我们服务器来讲，这没有必要，所以我们直接关闭该功能：

　　UserDir disabled

　　或者把该内容改名，改成 一个黑客比较不容易猜到的文件名，比如：

　　UserDir webserver_public_htmlpath

　　也可以只允许部分用户具有该功能：

　　UserDir enabled user1 user2 user3

（6） CGI执行目录
　　如果你的apache要执行一些perl等cgi程序，那么就要设置一下选项：

　　ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

　　但是这也给了黑客利用一些不安全的cgi程序来进行破坏，所以如果你不需要cgi的话，建议关闭该选项：

　　#ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

（7） 控制PHP脚本只能访问指定目录
　　在httpd.conf添加如下内容：

　　php_admin_value open_basedir /usr/www

　　后面的路径是你需要PHP脚本能够访问的目录，如果PHP脚本想要访问其他目录将出项错误提示。

　　（ 目录访问控制 （未完）

　　这项内容最复杂，同时涉及的东西也比较多，我只能简单说一下，不清楚请参考其他文章。

　　比如下面的内容：

　　<Directory />；

　　Options FollowSymLinks

　　AllowOverride None

　　</Directory>；

　　就是允许访问每一个目录，里面设置的是允许执行的动作，一般包含的动作有：Options、AllowOverride、Order、Allow、Deny.

　　Options是只对指定目录及其子目录能够执行的操作，Indexes、Includes、FollowSymLinks、ExecCGI、MultiViews、None、All等操作。

　　AllowOverride是指定目录访问的权限，当然也可以通过 AccessFileName文件指定的 .htaccess 来控制。它的操作有：None、All、Options、FileInfo、AuthConfit、Limit等。

　　Order、Allow、Deny三个指令必须配合来控制目录访问权限。Order指定检查次序的规则，比如Order Allow， Deny，表示先按Allow检查，如果不匹配再按Deny进行检查。Order Deny， Allow ，表示先按Deny规则检查，如果不满足条件，再按Allow进行检查。

　　[NextPage]

　　控制目录访问权限的文件

　　默认在Unix平台下能够使用 .htaccess 来对目录权限进行规则定义，但是这是不安全的，建议关闭，默认的选项：

　　AccessFileName .htaccess

　　建议设成：

　　#AccessFileName .htaccess

　　全部目录权限定义使用httpd.conf中的定义，不使用 .htaccess.

（9） 用户访问认证
　　这个技术非常重要，能够控制一些非法用户访问本内容。假设我们的网站： http://www.target.com/admin 是我们的后台管理目录，我不允许一些非法用户进行访问，那么我就必须设定对该目录访问是需要验证的。

　　先在httpd.conf中加入要进行访问认证的目录：

　　<Directory "/usr/www/admin">；

　　authtype basic

　　authname "rivate"

　　authuserfile /usr/local/apache/bin/admin.dat

　　require user login_user

　　Options Indexes FollowSymlinks MultiViews

　　AllowOverride None

　　</Directory>；

　　上面我们就设置了我们的 /usr/www/admin目录是必须进行认证才能访问的，接着我们设置访问密码：

　　# /usr/local/apahche/bin/htpasswd -c /usr/local/apache/bin/admin.dat login_name

　　New password： *****

　　Re-type new password： *****

　　Adding password for user login_name

　　那么下次任何用户访问http://www.target.com/admin目录的时候就需要输入用户名login_name和你设置的密码。

[编辑]PHP安全设置
PHP本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式，所以要保证安全，PHP代码编写是一方面，PHP的配置更是非常关键。

我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行php能够更安全。

整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

（1） 打开php的安全模式
　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system（），同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：

　　safe_mode = on

（2） 用户组安全
　　当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。

　　建议设置为：

　　safe_mode_gid = off

　　如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。

（3） 安全模式下执行程序主目录
　　如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

　　safe_mode_exec_dir = /usr/bin

　　一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：

　　safe_mode_exec_dir = /tmp/cmd

　　但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

　　safe_mode_exec_dir = /usr/www

（4） 安全模式下包含文件
　　如果要在安全模式下包含某些公共文件，那么就修改一下选项：

　　safe_mode_include_dir = /usr/www/include/

　　其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

（5） 控制php脚本能访问的目录
　　使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问/etc/passwd等文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

　　open_basedir = /usr/www

（6） 关闭危险函数
　　如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system（）等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo（）等函数，那么我们就可以禁止它们：

　　disable_functions = system，passthru，exec，shell_exec，popen，phpinfo

　　如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

　　disable_functions = chdir，chroot，dir，getcwd，opendir，readdir，scandir，fopen，unlink，delete，copy，mkdir，rmdir，rename，file，file_get_contents，fputs，fwrite，chgrp，chmod，chown

　　以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。

　　[NextPage]

（7） 关闭PHP版本信息在http头中的泄漏
　　我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

　　expose_php = Off

　　比如黑客在 telnet www.target.com 80 的时候，那么将无法看到PHP的信息。

（8） 关闭注册全局变量
　　在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：

　　register_globals = Off

　　当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET[‘var’]来进行获取，这个php程序员要注意。

（9） 打开magic_quotes_gpc来防止SQL注入
　　SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：

　　magic_quotes_gpc = Off

　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 \’等，这对防止sql注射有重大作用。所以我们推荐设置为：

　　magic_quotes_gpc = On

（10） 错误信息控制
　　一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

　　display_errors = Off

　　如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

　　error_reporting = E_WARNING & E_ERROR

　　当然，我还是建议关闭错误提示。

（11） 错误日志
　　建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

　　log_errors = On

　　同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

　　error_log = /usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。
[编辑]Mysql的安全设置
　　我们把Mysql安装在 /usr/local/mysql目录下，我们必须建立一个用户名为mysql，组为mysql的用户来运行我们的mysql，同时我们把它的配置文件拷贝到 /etc目录下：

　　# cp suport-files/my-medium.cnf /etc/my.cnf

　　chown root：sys /etc/my.cnf

　　chmod 644 /etc/my.cnf

　　使用用户mysql来启动我们的mysql：

　　# /usr/local/mysql/bin/mysqld_safe -user=mysql &

（1） 修改root用户的的口令
　　缺省安装的mysql是没有密码的，所以我们要修改，以防万一。下面采用三种方式来修改root的口令。

　　* 用mysqladmin命令来改root用户口令

　　＃ mysqladmin -uroot password test

　　这样，MySQL数据库root用户的口令就被改成test了。（test只是举例，我们实际使用的口令一定不能使用这种易猜的弱口令）

　　* 用set password修改口令：

　　mysql>； set password for root@localhost=password（’test’）；

　　这时root用户的口令就被改成test了。

　　* 直接修改user表的root用户口令

　　mysql>； use mysql；

　　mysql>； update user set password=password（’test’） where user=’root’；

　　mysql>； flush privileges；

　　这样，MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用户还可以用root用户及空口令登陆，直到重启MySQL服务器。

（2） 删除默认的数据库和用户
　　我们的数据库是在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要。mysql初始化后会自动生成空用户和test库，这会对数据库构成威胁，我们全部删除。

　　我们使用mysql客户端程序连接到本地的mysql服务器后出现如下提示：

　　mysql>； drop database test；

　　mysql>； use mysql；

　　mysql>； delete from db；

　　mysql>； delete from user where not（host="localhost" and user="root"；

　　mysql>； flush privileges；

（3） 改变默认mysql管理员的名称
　　这个工作是可以选择的，根据个人习惯，因为默认的mysql的管理员名称是root，所以如果能够修改的话，能够防止一些脚本小子对系统的穷举。我们可以直接修改数据库，把root用户改为"admin"

　　mysql>； use mysql；

　　mysql>； update user set user="admin" where user="root"；

　　mysql>； flush privileges；

（4） 提高本地安全性
　　提高本地安全性，主要是防止mysql对本地文件的存取，比如黑客通过mysql把/etc/passwd获取了，会对系统构成威胁。mysql对本地文件的存取是通过SQL语句来实现，主要是通过Load DATA LOCAL INFILE来实现，我们能够通过禁用该功能来防止黑客通过SQL注射等获取系统核心文件。

　　禁用该功能必须在 my.cnf 的[mysqld]部分加上一个参数：

　　set-variable=local-infile=0

（5） 禁止远程连接mysql
　　因为我们的mysql只需要本地的php脚本进行连接，所以我们无需开socket进行监听，那么我们完全可以关闭监听的功能。

　　有两个方法实现：

　　* 配置my.cnf文件，在[mysqld]部分添加 skip-networking 参数

　　* mysqld服务器中参数中添加 ——skip-networking 启动参数来使mysql不监听任何TCP/IP连接，增加安全性。如果要进行mysql的管理的话，可以在服务器本地安装一个phpMyadmin来进行管理。

（6） 控制数据库访问权限
　　对于使用php脚本来进行交互，最好建立一个用户只针对某个库有 update、select、delete、insert、drop table、create table等权限，这样就很好避免了数据库用户名和密码被黑客查看后最小损失。

　　比如下面我们创建一个数据库为db1，同时建立一个用户test1能够访问该数据库。

　　mysql>； create database db1；

　　mysql>； grant select，insert，update，delete，create，drop privileges on db1.* to test1@localhost identified by ‘admindb’；

　　以上SQL是创建一个数据库db1，同时增加了一个test1用户，口令是admindb，但是它只能从本地连接mysql，对db1库有select，insert，update，delete，create，drop操作权限。

（7） 限制一般用户浏览其他用户数据库
　　如果有多个数据库，每个数据库有一个用户，那么必须限制用户浏览其他数据库内容，可以在启动MySQL服务器时加——skip-show-database 启动参数就能够达到目的。

（8） 忘记mysql密码的解决办法
　　如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数——skip-grant-tables来跳过授权表的验证 （。/safe_mysqld ——skip-grant-tables &，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用新口令登陆了。

（9） 数据库文件的安全
　　我们默认的mysql是安装在/usr/local/mysql目录下的，那么对应的数据库文件就是在/usr/local/mysql/var目录下，那么我们要保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。

　　我们修改该目录的所属用户和组是mysql，同时改变访问权限：

　　# chown -R mysql.mysql /usr/local/mysql/var

　　# chmod -R go-rwx /usr/local/mysql/var

（10） 删除历史记录
　　执行以上的命令会被shell记录在历史文件里，比如bash会写入用户目录的。bash_history文件，如果这些文件不慎被读，那么数据库的密码就会泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的。mysql_history文件里。如果数据库用户用SQL语句修改了数据库密码，也会因。mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。

　　另外这两个文件我们也应该不让它记录我们的操作，以防万一。

　　# rm .bash_history .mysql_history

　　# ln -s /dev/null .bash_history

　　# ln -s /dev/null .mysql_history

　　（11） 其他

　　另外还可以考虑使用chroot等方式来控制mysql的运行目录，更好的控制权限，具体可以参考相关文章。

　　[NextPage]

[编辑]vsFTPd安全设置
　　vsFTPd是一款非常着名的ftp daemon程序，目前包括Redhat.com在内很多大公司都在使用，它是一款非常安全的程序，因为它的名字就叫：Very Secure FTP Daemon （非常安全的FTP服务器）。

　　vsftpd设置选项比较多，涉及方方面面，我们下面主要是针对安全方面进行设置。

　　目前我们的需求就是使用系统帐户同时也作为是我们的FTP帐户来进行我们文件的管理，目前假设我只需要一个帐户来更新我的网站，并且我不希望该帐户能够登陆我们的系统，比如我们的网站的目录是在/usr/www下面，那么我们新建一个用户ftp，它的主目录是/usr/www，并且它的shell是 /usr/sbin/nologin，就是没有shell，防止该用户通过ssh等登陆到系统。

　　下面在进行系统详尽的设置，主要就是针对vsftpd的配置文件vsftpd.conf文件的配置。

（1） 禁止匿名用户访问， 我们不需要什么匿名用户，直接禁止掉：
　　anonymous_enable=NO

（2） 允许本地用户登陆，因为我们需要使用ftp用户来对我们网站进行管理：
　　local_enable=YES

（3） 只允许系统中的ftp用户或者某些指定的用户访问ftp，因为系统中帐户众多，不可能让谁都访问。
　　打开用户文件列表功能：

　　userlist_enable=YES

　　只允许用户文件列表中的用户访问ftp：

　　userlist_deny=NO

　　用户名文件列表路径：

　　userlist_file=/etc/vsftpd.user_list

　　然后在/etc下建立文件 vsftpd.user_list 文件，一行一个，把用户ftp加进去，同时也可以加上你允许访问的系统帐户名。

（4） 禁止某些用户登陆ftp：
　　pam_service_name=vsftpd

　　指出VSFTPD进行PAM认证时所使用的PAM配置文件名，默认值是vsftpd，默认PAM配置文件是/etc/pam.d/vsftpd.

　　/etc/vsftpd.ftpusers

　　VSFTPD禁止列在此文件中的用户登录FTP服务器，用户名是一行一个。这个机制是在/etc/pam.d/vsftpd中默认设置的。

　　这个功能和（3）里的功能有点类似，他们俩能结合使用，那样就最好了。

（5） 把本地用户锁定在自己的主目录，防止转到其他目录，比如把/etc/passwd给下载了：
　　chroot_local_users=NO

　　chroot_list_enable=YES

　　chroot_list_file=/etc/vsftpd.chroot_list

　　然后在/etc下建立vsftpd.chroot_list文件，里面把我们要限制的本地帐户加进去，一行一个，我们加上ftp，防止它登陆到系统。

（6） 隐藏文件真实的所有用户和组信息，防止黑客拿下ftp后查看更多系统用户信息：
　　hide_ids=YES

（7） 取消ls -R命令，节省资源，因为使用该命令，在文件列表很多的时候将浪费大量系统资源：
　　ls_recurse_enable=NO

（8） 上传文件的默认权限，设置为022：
　　local_umask=022

　　如果要覆盖删除等，还要打开：

　　write_enable=YES

（9） ftp的banner信息，为了防止黑客获取更多服务器的信息，设置该项：
　　ftpd_banner=banner string

　　把后面的banner string设为你需要的banner提示信息，为了安全，建议不要暴露关于vsFTPd的任何信息。

　　另外，如果你的信息比较多的话，可以设置为提示信息是读取一个文件中的信息：

　　banner_file=/directory/vsftpd_banner_file

（10） 打开日志功能：
　　xferlog_enable=YES

　　同时设置日志的目录：

　　xferlog_file=/var/log/vsftpd.log

　　启用详细的日志记录格式：

　　xferlog_enable=YES

（11） 如果打开虚用户功能等，那么建议关闭本地用户登陆：
　　local_enable=NO

　　vsFTPd还有很多安全设置，毕竟人家的名字就是：Very Secure FTP Daemon，反正它的溢出漏洞什么的是很少的，如果要更安全，建议按照自己的需要设置vsftpd，设置的好，它绝对是最安全的。

[编辑]SSH安全设置
　　SSH是一个基于SSL的安全连接远程管理的服务程序，主要出现就是为了解决telnet、rlogin、rsh等程序在程序交互过程中存在明文传输易被监听的问题而产生的，目前基本上是推荐使用ssh来代替telnet、rlogin、rsh等远程管理服务。

　　ssh能够直接在windows平台下通过Secure SSH Client等客户端工具进行连接管理，目前最流行的服务器端就是OpenSSH程序，目前最新版本是OpenSSH4.0版，详细可以参考www.openssh.com网站。

　　OpenSSH在FreeBSD下已经集成安装了，FreeBSD5.3下的OpenSSH版本是3.8.1，建议ports升级到4.0.

　　主要的安全配置文件是/etc/ssh/sshd_config文件，我们编辑该文件。

（1） 使用protocol 2代替protocol 1，SSH2更加安全，可以防止攻击者通过修改携带的版本banner来劫持（hijacking）启动会话进程并降低到protocol 1.注释掉protocol 2，1 改用下面语句代替：

　　protocol 2

（2） 合理设置最大连接数量， 防止DOS攻击

　　MaxStartups 5：50：10

（3）关闭X11forwording ，防止会话劫持

　　X11Forwarding no

（4）建议不使用静态密码，而使用DSA 或RSA KEY，修改如下内容可以关闭使用密码认证：

　　PasswordAuthentication no

（5）可以限制某个组或光是单个用户访问shell

　　AllowGroups wheel

　　或者

　　AllowUsers heiyeluren

　　（6） 限制root用户登陆，主要是为了防止暴力破解

　　PermitRootLogin no

（7） 不允许口令为空的用户登陆

　　PermitEmptyPasswords no

（8）使用TCP wrappers来限制一些访问，修改/etc/hosts.allow文件，注释掉"ALL ： ALL ： allow"，增加如下内容：

　　sshd：localhost：allow

　　sshd：friendlcomputer：allow

　　sshd：all ： deny

　　#相关命令：

　　#chsh -s /sbin/nologin user

 

httpd.conf对目录开启

AllowOverride All

然后在目录里放一个.htaccess（.htaccess）

在里面写

errorDocument 404 /404.html（这个的内容根据你的情况改写）

 
如果是windows主机 的APACHE   errorDocument 404 /404.html 可以直接插入到你的虚拟主机的配置里面即可

   如果是WINDOWS下的APACHE+PHP环境，直接用官方提供的APACHE下的 REWRITE 是不行的，

可以用下面的规则，复制到改BO-BLOG博客站点的 虚拟主机设置里面。。。我都这么用的，没有出现问题

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^(.*)/post/([0-9]+)/?([0-9]+)?/?([0-9]+)?/?$ $1/read.php?entryid=$2&page=$3&part=$4
RewriteRule ^(.*)/page/([0-9]+)/([0-9]+)/?$ $1/index.php?mode=$2&page=$3
RewriteRule ^(.*)/starred/([0-9]+)/?([0-9]+)?/?$ $1/star.php?mode=$2&page=$3
RewriteRule ^(.*)/category/([^/]+)/?([0-9]+)?/?([0-9]+)?/?$ $1/index.php?go=category_$2&mode=$3&page=$4
RewriteRule ^(.*)/archiver/([0-9]+)/([0-9]+)/?([0-9]+)?/?([0-9]+)?/?$ $1/index.php?go=archive&cm=$2&cy=$3&mode=$4&page=$5
RewriteRule ^(.*)/date/([0-9]+)/([0-9]+)/([0-9]+)/?([0-9]+)?/?([0-9]+)?/?$ $1/index.php?go=showday_$2-$3-$4&mode=$5&page=$6
RewriteRule ^(.*)/user/([0-9]+)/?$ $1/view.php?go=user_$2
RewriteRule ^(.*)/tags/([^/]+)/?([0-9]+)?/?([0-9]+)?/?$ $1/tag.php?tag=$2&mode=$3&page=$4
RewriteRule ^(.*)/component/id/([0-9]+)/?$ $1/page.php?pageid=$2
RewriteRule ^(.*)/component/([^/]+)/?$ $1/page.php?pagealias=$2

#Force redirection for old rules
RewriteRule ^(.*)/post/([0-9]+).htm$ $1/post/$2/
RewriteRule ^(.*)/post/([0-9]+)\_([0-9]+).htm$ $1/post/$2/$3/
RewriteRule ^(.*)/post/([0-9]+)\_([0-9]+)\_([0-9]+).htm$ $1/post/$2/$3/$4/
RewriteRule ^(.*)/index\_([0-9]+)\_([0-9]+).htm$ $1/page/$2/$3/
RewriteRule ^(.*)/star\_([0-9]+)\_([0-9]+).htm$ $1/starred/$2/$3/
RewriteRule ^(.*)/category\_([0-9]+).htm$ $1/category/$2/
RewriteRule ^(.*)/category\_([0-9]+)\_([0-9]+)\_([0-9]+).htm$ $1/category/$2/$3/$4/
RewriteRule ^(.*)/archive\_([0-9]+)\_([0-9]+).htm$ $1/archiver/$2/$3/
RewriteRule ^(.*)/archive\_([0-9]+)\_([0-9]+)\_([0-9]+)\_([0-9]+).htm$ $1/archiver/$2/$3/$4/$5/
RewriteRule ^(.*)/showday\_([0-9]+)\_([0-9]+)\_([0-9]+).htm$ $1/date/$2/$3/$4/
RewriteRule ^(.*)/showday\_([0-9]+)\_([0-9]+)\_([0-9]+)\_([0-9]+)\_([0-9]+).htm$ $1/date/$2/$3/$4/$5/$6/

#Customized URL
RewriteRule ^(.*)/([^/]*).html$ $1/$2/
#RewriteRule ^(.*)/([^/|.]*)/?([0-9]+)?/?([0-9]+)?/?$ $1/read.php?blogalias=$2&page=$3&part=$4
</IfModule>

  这个配置教程是我从DZ上找来的，主要是做的比较详细公证，如果一步步按照配置安装基本没什么问题，可以配置成功。

Apache 2.2.4 — www.apache.com

PHP 5.2.0 — www.php.net

MySQL 5.0.27 — www.mysql.com

Zend Optimizer 3.2.0 — www.zend.com

phpMyAdmin 2.9.2 — www.phpmyadmin.net

530

    上次刚装了APACHE ，其他运行正常，但是发现日志文件，显示信息默认的太少，连浏览器和蜘蛛的来路都没法看到，其实我看网站的日志基本看的就是蜘蛛的活动量，网少找了资料，终于将APACHE 的日志设置弄完成了。

可以使用如下的格式

LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-agent}i"" combined

CustomLog logs/access.log combined

显示的日志格式为

202.160.179.63 – – [09/Dec/2007:02:22:21 +0800] "GET /health/jibing/x/wangxiangzheng/2549.html HTTP/1.0" 200 8624 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)"
202.160.178.244 – – [09/Dec/2007:02:30:46 +0800] "GET /health/jibing/x/yiyuzheng/2245_2.html HTTP/1.0" 200 10944 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)"
61.135.166.230 – – [09/Dec/2007:02:32:28 +0800] "HEAD /health/lady/huli/781.html HTTP/1.1" 200 – "-" "Baiduspider+(+http://www.baidu.com/search/spider.htm)"
61.135.166.230 – – [09/Dec/2007:02:32:32 +0800] "HEAD /health/lady/huli/797.html HTTP/1.1" 200 – "-" "Baiduspider+(+http://www.baidu.com/search/spider.htm)"
61.135.166.230 – – [09/Dec/2007:02:32:32 +0800] "HEAD /health/xinli/xinlichangshi/1103.html HTTP/1.1" 200 – "-" "Baiduspider+(+http://www.baidu.com/search/spider.htm)"

有时候我们需要定制Apache默认日志的格式和内容，比如增加或减少日志所记录的信息、改变默认日志文件的格式等。本文介绍可以用日志记录的所有信息，以及如何设置Apache使其记录这些信息。
　　
　　一、定义日志格式(4月3日)
　　
　　　　 很久以前，日志文件只有一种格式，这就是“公共格式”，许多人已经习惯于使用这种格式。随后出现了定制日志格式，而且看起来定制日志格式更很受欢迎，即使公共日志格式本身也重新用定制日志格式定义。本文介绍的就是如何随心所欲地定制日志文件的格式、如何让日志文件记录自己想要的信息。
　　
　　　　 定制日志文件的格式涉及到两个指令，即LogFormat指令和CustomLog指令，默认httpd.conf文件提供了关于这两个指令的几个示例。
　　
　　　　 LogFormat指令定义格式并为格式指定一个名字，以后我们就可以直接引用这个名字。CustomLog指令设置日志文件，并指明日志文件所用的格式（通常通过格式的名字）。
　　
　　　　 LogFormat指令的功能是定义日志格式并为它指定一个名字。例如，在默认的httpd.conf文件中，我们可以找到下面这行代码：
　　
　　　 LogFormat "%h %l %u %t "%r" %>s %b" common
　　
　　　　 该指令创建了一种名为“common”的日志格式，日志的格式在双引号包围的内容中指定。格式字符串中的每一个变量代表着一项特定的信息，这些信息按照格式串规定的次序写入到日志文件。
　　　　 Apache文档已经给出了所有可用于格式串的变量及其含义，下面是其译文：
　　　　 %…a: 远程IP地址
　　　　 %…A: 本地IP地址
　　　　 %…B: 已发送的字节数，不包含HTTP头
　　　　 %…b: CLF格式的已发送字节数量，不包含HTTP头。例如当没有发送数据时，写入‘-’而不是0。
　　　　 %…{FOOBAR}e: 环境变量FOOBAR的内容
　　　　 %…f: 文件名字
　　　　 %…h: 远程主机
　　　　 %…H 请求的协议
　　　　 %…{Foobar}i: Foobar的内容，发送给服务器的请求的标头行。
　　　　 %…l: 远程登录名字（来自identd，如提供的话）
　　　　 %…m 请求的方法
　　　　 %…{Foobar}n: 来自另外一个模块的注解“Foobar”的内容
　　　　 %…{Foobar}o: Foobar的内容，应答的标头行
　　　　 %…p: 服务器响应请求时使用的端口
　　　　 %…P: 响应请求的子进程ID。
　　　　 %…q 查询字符串（如果存在查询字符串，则包含“?”后面的部分；否则，它是一个空字符串。）
　　　　 %…r: 请求的第一行
　　　　 %…s: 状态。对于进行内部重定向的请求，这是指*原来*请求 的状态。如果用%…>s，则是指后来的请求。
　　　　 %…t: 以公共日志时间格式表示的时间（或称为标准英文格式）
　　　　 %…{format}t: 以指定格式format表示的时间
　　　　 %…T: 为响应请求而耗费的时间，以秒计
　　　　 %…u: 远程用户（来自auth；如果返回状态（%s）是401则可能是伪造的）
　　　　 %…U: 用户所请求的URL路径
　　　　 %…v: 响应请求的服务器的ServerName
　　　　 %…V: 依照UseCanonicalName设置得到的服务器名字
　　
　　　　 在所有上面列出的变量中，“…”表示一个可选的条件。如果没有指定条件，则变量的值将以“-”取代。分析前面来自默认httpd.conf文件的LogFormat指令示例，可以看出它创建了一种名为“common”的日志格式，其中包括：远程主机，远程登录名字，远程用户，请求时间，请求的第一行代码，请求状态，以及发送的字节数。
　　
　　　　 有时候我们只想在日志中记录某些特定的、已定义的信息，这时就要用到“…”。如果在“%”和变量之间放入了一个或者多个HTTP状态代码，则只有当请求返回的状态代码属于指定的状态代码之一时，变量所代表的内容才会被记录。例如，如果我们想要记录的是网站的所有无效链接，那么可以使用：
　　
　　LogFormat %404{Referer}i BrokenLinks
　　
　　　　 反之，如果我们想要记录那些状态代码不等于指定值的请求，只需加入一个“!”符号即可：

Apache日志：访问日志(一)
想要知道什么人在什么时候浏览了网站的哪些内容吗？查看Apache的访问日志就可以知道。访问日志是Apache的标准日志，本文详细解释了访问日志的内容以及相关选项的配置。
　　
　　一、访问日志的格式
　　
　　　　 Apache内建了记录服务器活动的功能，这就是它的日志功能。这个《Apache日志》系列文章介绍的就是Apache的访问日志、错误日志，以及如何分析日志数据，如何定制Apache日志，如何从日志数据生成统计报表等内容。
　　
　　　　 如果Apache的安装方式是默认安装，服务器一运行就会有两个日志文件生成。这两个文件是access_log（在Windows上是access.log）和error_log（在Windows上是error.log）。采用默认安装方式时，这些文件可以在/usr/local/apache/logs下找到；对于Windows系统，这些日志文件将保存在Apache安装目录的logs子目录。不同的包管理器会把日志文件放到各种不同的位置，所以你可能需要找找其他的地方，或者通过配置文件查看这些日志文件配置到了什么地方。
　　
　　　　 正如其名字所示，访问日志access_log记录了所有对Web服务器的访问活动。下面是访问日志中一个典型的记录：
　　
　　216.35.116.91 – – [19/Aug/2000:14:47:37 -0400] "GET / HTTP/1.0" 200 654
　　
　　　 这行内容由7项构成，上面的例子中有两项空白，但整行内容仍旧分成了7项。
　　
　　　　 第一项信息是远程主机的地址，即它表明访问网站的究竟是谁。在上面的例子中，访问网站的主机是216.35.116.91。随便说一句，这个地址属于一台名为si3001.inktomi.com的机器（要找出这个信息，可以使用nslookup工具查找DNS），inktomi.com是一家制作Web搜索软件的公司。可以看出，仅仅从日志记录的第一项出发，我们就可以得到有关访问者的不少信息。
　　
　　　　 默认情况下，第一项信息只是远程主机的IP地址，但我们可以要求Apache查出所有的主机名字，并在日志文件中用主机名字来替代IP地址。然而，这种做法通常不值得推荐，因为它将极大地影响服务器记录日志的速度，从而也就减低了整个网站的效率。另外，有许多工具能够将日志文件中的IP地址转换成主机名字，因此要求Apache记录主机名字替代IP地址是得不偿失的。
　　
　　　　 然而，如果确实有必要让Apache找出远程主机的名字，那么我们可以使用如下指令：
　　
　　HostNameLookups on
　　
　　　　 如果HostNameLookups设置成double而不是on，日志记录程序将对它找到的主机名字进行反向查找，验证该主机名字确实指向了原来出现的IP地址。默认情况下HostNameLookups设置为off。
　　
　　　　 上例日志记录中的第二项是空白，用一个“-”占位
符替代。实际上绝大多数时候这一项都是如此。这个位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。这个信息由identd返回，或者直接由浏览器返回。很早的时候，那时Netscape 0.9还占据着统治地位，这个位置往往记录着浏览者的email地址。然而，由于有人用它来收集邮件地址和发送垃圾邮件，所以它未能保留多久，很久之前市场上几乎所有的浏览器就取消了这项功能。因此，到了今天，我们在日志记录的第二项看到email地址的机会已经微乎其微了。
　　
　　　　 日志记录的第三项也是空白。这个位置用于记录浏览者进行身份验证时提供的名字。当然，如果网站的某些内容要求用户进行身份验证，那么这项信息是不会空白的。但是，对于大多数网站来说，日志文件的大多数记录中这一项仍旧是空白的。
　　
　　　　 日志记录的第四项是请求的时间。这个信息用方括号包围，而且采用所谓的“公共日志格式”或“标准英文格式”。因此，上例日志记录表示请求的时间是2000年8月19日星期三14:47:37。时间信息最后的“-0400”表示服务器所处时区位于UTC之前的4小时。
　　
　　　　 日志记录的第五项信息或许是整个日志记录中最有用的信息，它告诉我们服务器收到的是一个什么样的请求。该项信息的典型格式是“METHOD RESOURCE PROTOCOL”，即“方法 资源 协议”。
　　
　　　　 在上例中，METHOD是GET，其他经常可能出现的METHOD还有POST和HEAD。此外还有不少可能出现的合法METHOD，但主要就是这三种。
　　
　　　　 RESOURCE是指浏览者向服务器请求的文档，或URL。在这个例子中，浏览者请求的是“/”，即网站的主页或根。大多数情况下，“/”指向DocumentRoot目录的index.html文档，但根据服务器配置的不同它也可能指向其他文件。
　　
　　　　 PROTOCOL通常是HTTP，后面再加上版本号。版本号或者是1.0，或者是1.1，但出现1.0的时候比较多。我们知道，HTTP协议是Web得以工作的基础，HTTP/1.0是HTTP协议的早期版本，而1.1是最近的版本。当前大多数Web客户程序仍使用1.0版本的HTTP协议。
　　
　　　　 日志记录的第六项信息是状态代码。它告诉我们请求是否成功，或者遇到了什么样的错误。大多数时候，这项值是200，它表示服务器已经成功地响应浏览器的请求，一切正常。此处不准备给出状态代码的完整清单以及解释它们的含义，请参考相关资料了解这方面的信息。但一般地说，以2开头的状态代码表示成功，以3开头的状态代码表示由于各种不同的原因用户请求被重定向到了其他位置，以4开头的状态代码表示客户端存在某种错误，以5开头的状态代码表示服务器遇到了某个错误。
　　
　　　　 日志记录的第七项表示发送给客户端的总字节数。它告诉我们传输是否被打断（即，该数值是否和文件的大小相同）。把日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。
　　
　　二、配置访问日志
　　
　　　　 访问日志文件的位置实际上是一个配置选项。如果我们检查httpd.conf配置文件，可以看到该文件中有如下这行内容：
　　
　　CustomLog /usr/local/apache/logs/access_log common
　　　　 注意，对于版本较早的Apache服务器，这行内容可能略有不同。它使用的可能不是CustomLog指令，而是TransferLog指令。如果你的服务器属于这类情况，建议你尽可能地早日升级服务器。
　　
　　　　 CustomLog指令指定了保存日志文件的具体位置以及日志的格式。至于如何定制日志文件的格式以及内容，我们将在这个《Apache日志》系列文章的后面几篇讨论。上面这行指令指定的是common日志格式，自从有了Web服务器开始，common格式就是它的标准格式。由此我们也可以理解，虽然几乎不再有任何客户程序向服务器提供用户的标识信息，但访问日志却还保留着第二项内容。
　　
　　　　 CustomLog指令中的路径是日志文件的路径。注意，由于日志文件是由HTTP用户打开的（用User指令指定），因此必须注意这个路径要有安全保证，防止该文件被随意改写。
　　
　　　　 《Apache日志》系列文章的后面几篇将继续介绍：Apache错误日志，定制日志的格式和内容，如何将日志内容写入指定的程序而不是文件，如何从日志文件获得一些非常有用的统计信息，等等。

Apache日志：访问日志(二)

3. 进程统计
　　
　　UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式accton file，file必须先存在。先使用touch命令来创建pacct文件：touch /var/log/pacct，然后运行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。
　　
　　lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。下面的例子：
　　
　　crond F root ?? 0.00 secs Sun Aug 20 00:16
　　promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
　　promisc_check root ?? 0.01 secs Sun Aug 20 00:16
　　grep root ?? 0.02 secs Sun Aug 20 00:16
　　tail root ?? 0.01 secs Sun Aug 20 00:16
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.01 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.02 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
　　sh root ?? 0.02 secs Sun Aug 20 00:15
　　ping S root ?? 0.00 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.02 secs Sun Aug 20 00:15
　　ping S root ?? 1.34 secs Sun Aug 20 00:15
　　locate root ttyp0 1.34 secs Sun Aug 20 00:15
　　accton S root ttyp0 0.00 secs Sun Aug 20 00:15
　　
　　进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项：
　　
　　avio–每次执行的平均I/O操作次数
　　cp–用户和系统时间总和，以分钟计
　　cpu–和cp一样
　　k–内核使用的平均CPU时间，以1k为单位
　　k*s
ec–CPU存储完整性，以1k-core秒
　　re–实时时间，以分钟计
　　s–系统时间，以分钟计
　　tio–I/O操作的总数
　　u–用户时间，以分钟计
　　
　　例如：
　　
　　842 173.26re 4.30cp 0avio 358k
　　2 10.98re 4.06cp 0avio 299k find
　　9 24.80re 0.05cp 0avio 291k ***other
　　105 30.44re 0.03cp 0avio 302k ping
　　104 30.55re 0.03cp 0avio 394k sh
　　162 0.11re 0.03cp 0avio 413k security.sh*
　　154 0.03re 0.02cp 0avio 273k ls
　　56 31.61re 0.02cp 0avio 823k ping6.pl*
　　2 3.23re 0.02cp 0avio 822k ping6.pl
　　35 0.02re 0.01cp 0avio 257k md5sum
　　97 0.02re 0.01cp 0avio 263k initlog
　　12 0.19re 0.01cp 0avio 399k promisc_check.s
　　15 0.09re 0.00cp 0avio 288k grep
　　11 0.08re 0.00cp 0avio 332k awk
　　
　　用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下：
　　
　　885 173.28re 4.31cp 0avk
　　root 879 173.23re 4.31cp 0avk
　　alias 3 0.05re 0.00cp 0avk
　　qmailp 3 0.01re 0.00cp 0avk
　　
　　4. Syslog设备
　　
　　Syslog已被许多日志函数采纳，它用在许多保护措施中–任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。
　　
　　Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。
　　
　　每个syslog消息被赋予下面的主要设备之一：
　　
　　LOG_AUTH–认证系统：login、su、getty等
　　LOG_AUTHPRIV–同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
　　LOG_CRON–cron守护进程
　　LOG_DAEMON–其他系统守护进程，如routed
　　LOG_FTP–文件传输协议：ftpd、tftpd
　　LOG_KERN–内核产生的消息
　　LOG_LPR–系统打印机缓冲池：lpr、lpd
　　LOG_MAIL–电子邮件系统
　　LOG_NEWS–网络新闻系统
　　LOG_SYSLOG–由syslogd（8）产生的内部消息
　　LOG_USER–随机用户进程产生的消息
　　LOG_UUCP–UUCP子系统
　　LOG_LOCAL0~LOG_LOCAL7–为本地使用保留
　　
　　Syslog为每个事件赋予几个不同的优先级：
　　
　　LOG_EMERG–紧急情况
　　LOG_ALERT–应该被立即改正的问题，如系统数据库破坏
　　LOG_CRIT–重要情况，如硬盘错误
　　LOG_ERR–错误
　　LOG_WARNING–警告信息
　　LOG_NOTICE–不是错误情况，但是可能需要处理
　　LOG_INFO–情报信息
　　LOG_DEBUG–包含情报的信息，通常旨在调试一个程序时使用
　　
　　syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如，如果想把所有邮件消息纪录到一个文件中，如下：
　　
　　#Log all the mail messages in one place
　　mail.* /var/log/maillog
　　
　　其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：
　　
　　# Save mail and news errors of level err and higher in aspecial file.
　　uucp,news.crit /var/log/spooler
　　
　　当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。
　　
　　#Everybody gets emergency messages， plus log them on anther machine
　　*.emerg *
　　*.emerg @linuxaid.com.cn
　　
　　alert消息应该写到root和tiger的个人账号中：
　　
　　#Root and Tiger get alert and higher messages
　　*.alert root,tiger
　　
　　有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：
　　
　　#Log all kernel messages to the console
　　#Logging much else clutters up the screen
　　#kern.* /dev/console
　　
　　用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
　　
　　#Log anything（except mail）of level info or higher
　　#Don't log private authentication messages!
　　*.info:mail.none;authpriv.none /var/log/messages
　　
　　在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。
　　
　　有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！
　　
　　它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!
　　
　　注意不要完全相信日志，因为攻击者很容易修改它的。
　　
　　5. 程序日志
　　
　　许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，想Apache有两个日志：access_log和error_log。
　　

apache和IIS都是默认80端口，但是如果你不得不用asp程序的话，不要想着去用iasp之类的东西，还是在服务器安装IIS吧，安装以后把IIS修改端口，然后通过代理的方式来访问IIS，达到不需要显露端口的目的。

1、修改Apache配置文件，启用Proxy模块；

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so

2、继续修改Apache配置文件，让Apache处理对IIS的访问；（这里假使你用的IIS端口为88）
ProxyPass /iis/ http://127.0.0.1:88/
ProxyPassReverse /iis http://127.0.0.1:88

如果你要使用虚拟主机来实现，可以用下面的代码，（这里是video.com.cn的）

<VirtualHost 211.154.103.23:80>
ServerAdmin blog@video.com.cn
ServerName blog.video.com.cn
ProxyPass / http://211.154.103.23:88/
ProxyPassReverse / http://211.154.103.23:88/
</VirtualHost>

让apache支持asp

1 http://www.stryon.com/下载iasp的win32版：iASP2.1.01.exe，10M左右。
2 确定您的win2000 server 已经安装了jdk，apache。偶装的为：
apache_1.3.27-win32-x86-no_src.exe
jdk140.exe
3 双击iASP2.1.01.exe，开始安装。安提示做即可。偶的安装路径为：c:IASP2101
4 安装完毕后，提示是否现在配置iasp。当然选择:是。
5 配置：
第一步：代理服务(proxy)选择：instant asp native servlet support
第二步：WEB SERVER选择：apache。（可以不管它提示）
第三步：选择apache的配置文件：httpd.conf的位置。偶的为：c:apache＼confhttpd.conf
版本选择1.3.2X（根据您的apache版本选择）。
proxy:如果您有固定ip，添入您的固定ip。如果没有，那就添：127.0.0.1。
port: 这是apache与iasp之间的代理接口。使用默认（9098）即可。
server manager port:远程管理端口，选择默认（9095）即可。
第四步：配置完成。
6 说明： iasp在apache的配置文件httpd.conf最后加入了以下语句：

# iASP Setting
LoadModule iasp_module "C:/IASP2101/bin/apache/win32/1.3.20/iasp.dll"

Alias /iasp "C:/IASP2101"
IaspConfig server "C:/IASP2101/properties/server.properties"
IaspConfig rules "C:/IASP2101/properties/rules.properties"

7 通过更改httpd.conf更改apache的默认首页：

DirectoryIndex index.htm
DirectoryIndex index.php
DirectoryIndex index.asp

更改完毕后，保存，重启apache
8 执行：开始->程序->Instant ASP 2.1.01->Install iASP as NT Service
这样，iasp就被加到了win2000 server的服务中。
执行：开始->程序->Instant ASP 2.1.01->Start Instant ASP
这样，iasp就被立即打开。apache可以支持asp了！

例子：index.asp中写入此句：〈%response.write("我成功了！"%〉 ，保存到apache的网页根目录。

在浏览器中写：http://您的ip:apache端口号/ 回车，看到 “我成功了！” 您的iasp就安装成功了！

执行：开始->程序->Instant ASP 2.1.01->Start admin

您还可以通过http://您的ip:9095登录远程管理来管理iasp。默认用户名密码:admin。

9 嘿嘿。您安装成功了吗？

让apache支持asp.net

Apache是目前广泛使用的一种网络服务器程序，不仅在UNIX/LINUX平台上被大量使用，而且在Windows平台上也有许多站点放

Apache是目前广泛使用的一种 网络服务 器程序，不仅在UNIX/LINUX平台上被大量使用，而且在Windows平台上也有许多站点放弃了IIS而转向Apache。 .NET是微软推出的功能强大的开发 技术 ，其目标就是与Java抗衡。ASP.NET非常适合于中小企业的Web应用，其性能较ASP3.0有了极大的提高。 下面就介绍让Apache支持ASP.NET的办法。 首先，必须要有Windows环境和.NET Framework的支持。此外还建议安装安装.NET开发工具如.NET Framework SDK或者VisualStudio.NET。需要注意的是Windows的版本应为2000、2003和XP。Win9X系列不能安装.NET Framework。 然后需要安装Apache。应该使用Win32平台的Apache，版本2.0以上。推荐使用2.0.51版本。 下载 地址： http://apache.freelamp.com/httpd/binaries/win32/apache_2.0.52-win32-x86-no_ssl.msi 具体的安装过程请参阅其他文章，本文不再赘述。 下面要 下载 并安装Apache环境下的ASP.NET模块。 下载 地址： http://www.apache.org/dist/httpd/mod_aspdotnet/mod_aspdotnet-2.0.0.msi 下载 完成后双击打开，一路Next即可安装完成。 为了便于 管理 ，我们在htdocs目录下新建一个active目录，专门存放.aspx文件。现在需要对httpd.conf文件作一定配置，在文件末尾添加： #asp.net LoadModule aspdotnet_module "modules/mod_aspdotnet.so" AddHandler asp.net asax ascx ashx asmx aspx axd config cs csproj / licx rem resources resx soap vb vbproj vsdisco webinfo <IfModule mod_aspdotnet.cpp> # Mount the ASP.NET example application AspNetMount /active "D:/Program Files/Apache Group/Apache2/htdocs/active" # Map all requests for /active to the application files Alias /active "D:/Program Files/Apache Group/Apache2/htdocs/active" # Allow asp.net scripts to be executed in the active example <Directory "D:/Program Files/Apache Group/Apache2/htdocs/active"> Options FollowSymlinks ExecCGI Order allow,deny Allow from all DirectoryIndex Default.htm Default.aspx </Directory> # For all virtual ASP.NET webs, we need the aspnet_client files # to serve the client-side helper scripts. AliasMatch /aspnet_client/system_web/(/d+)_(/d+)_(/d+)_(/d+)/(.*) / "C:/Windows/Microsoft.NET/Framework/v$1.$2.$3/ASP.NETClientFiles/$4" <Directory / "C:/Windows/Microsoft.NET/Framework/v*/ASP.NETClientFiles"> Options FollowSymlinks Order allow,deny Allow from all </Directory> </IfModule> 其中D:/Program Files/Apache Group/Apache2是Apache的安装目录，应根据实际情况更改。 现在可以在active目录下放上ASP.NET探针。重启Apache之后，即可体验Apache下的ASP.NET了。 由于IIS和Apache下的ASP.NET都是运行在Common Language Runtime(CRL)的基础上，因此Apache环境下的ASP.NET程序的运行速度不会比在IIS下慢。