# Apache服务器网络环境配置

# 整个Apache目录结构的最上层
ServerRoot "D:/Apache"

# 客户端提出请求连接后等待服务器响应的秒数
Timeout 300

# 是否允许用户持续连接
KeepAlive off

# 允许建立的请求数目上限
MaxKeepAliveRequests 100

# 客户端与服务器连接后客户端提出两个请求间的允许秒数
KeepAliveTimeout 15

# 每个服务器程序中，使用的子进程固定数量
ThreadsPerChild 250

# 限制每个子进程在结束前能接受的客户端请求上限
MaxRequestsPerChild 0

# 监听客户端请求的IP地址和连接端口号码
Listen *:80


# Apache主服务器设置

ServerAdmin fhqgmwyve@126.com

ServerName Localhost

DocumentRoot "D:/Www"

#定义CGI目录
#ScriptAlias /cgi-bin "D:/Apache/cgi-bin/"

#设置虚拟目录[音乐]
Alias /music "E:/music/"

#设置虚拟目录[软件]
Alias /soft "F:/"

#设置虚拟目录[教程]
Alias /tech "H:/"

#ErrorLog logs/error.log

#CustomLog logs/xicp_access.log common

#ErrorDocument 500 "The server made a boo boo."

ErrorDocument 404 /error.html

DirectoryIndex index.html index.php

#禁止在无默认主页时显示文件列表，去掉-则为允许
Options -Indexes FollowSymLinks

# 服务器无法识别文件类型时默认的文件格式
DefaultType text/plain

# TypesConfig是MIME对应格式配置文件的位置

    TypesConfig conf/mime.types


# MIMEMagicFile是模块到何处读取所需的定义

    MIMEMagicFile conf/magic


#禁止一般用户浏览.htpasswd文件内容

    Order allow,deny
    Deny from all


# 设置记录到日志文件中的信息数量
LogLevel warn

#设置访问日志格式
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common

# 是否在自动产生的错误信息页里加上Apache的版本号、虚拟主机名
ServerSignature off

# Alias是为复杂的路径设置别名

# ScriptAlias是指定包含服务器Script的目录，保存在此目录中的文件都被视为可运行的程序
    ScriptAlias /cgi-bin/ "D:/Apache/cgi-bin/"


# 重新向导机制，为错误页面寻找新的地址
#Redirect /eryin http://eryin.com

# 当此网站没有默认主页时文件以列表的形式显示
IndexOptions FancyIndexing VersionSort FoldersFirst NameWidth=30 ScanHTMLTitles

# 是否进行内存转储（在操作系统支持的情况下）
#EnableMMAP off

# 控制是否使用sendfile kernel支持发送文件
#EnableSendfile off

# 服务器默认语言，zh-cn是中文
DefaultLanguage nl


#设置虚拟机访问权限

#测试用户验证页面
#Alias /admin "D:/Www/"
#
#Options Indexes MultiViews
#AllowOverride AuthConfig
#Order Deny,Allow
#Allow from all
#Options All
#AllowOverride All
#

#主站和其他虚拟主机访问权限
#
#    Options -Indexes FollowSymLinks
#    AllowOverride None
#    Order deny,allow
#    allow from all
#    Satisfy all
#

LoadModule actions_module modules/mod_actions.so
LoadModule alias_module modules/mod_alias.so
LoadModule asis_module modules/mod_asis.so
LoadModule auth_basic_module modules/mod_auth_basic.so
#LoadModule auth_digest_module modules/mod_auth_digest.so
#LoadModule authn_anon_module modules/mod_authn_anon.so
#LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule authn_default_module modules/mod_authn_default.so
LoadModule authn_file_module modules/mod_authn_file.so
#LoadModule authz_dbm_module modules/mod_authz_dbm.so
LoadModule authz_default_module modules/mod_authz_default.so
LoadModule authz_groupfile_module modules/mod_authz_groupfile.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule autoindex_module modules/mod_autoindex.so
#LoadModule cern_meta_module modules/mod_cern_meta.so
LoadModule cgi_module modules/mod_cgi.so
#LoadModule dav_module modules/mod_dav.so
#LoadModule dav_fs_module modules/mod_dav_fs.so
#LoadModule deflate_module modules/mod_deflate.so
LoadModule dir_module modules/mod_dir.so
LoadModule env_module modules/mod_env.so
#LoadModule expires_module modules/mod_expires.so
#LoadModule file_cache_module modules/mod_file_cache.so
#LoadModule headers_module modules/mod_headers.so
LoadModule imagemap_module modules/mod_imagemap.so
LoadModule include_module modules/mod_include.so
#LoadModule info_module modules/mod_info.so
LoadModule isapi_module modules/mod_isapi.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule mime_module modules/mod_mime.so
#LoadModule mime_magic_module modules/mod_mime_magic.so
#LoadModule proxy_module modules/mod_proxy.so
#LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
#LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
#LoadModule proxy_connect_module modules/mod_proxy_connect.so
#LoadModule proxy_http_module modules/mod_proxy_http.so
#LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule negotiation_module modules/mod_negotiation.so
#LoadModule rewrite_module modules/mod_rewrite.so
LoadModule setenvif_module modules/mod_setenvif.so
#LoadModule speling_module modules/mod_speling.so
#LoadModule status_module modules/mod_status.so
#LoadModule unique_id_module modules/mod_unique_id.so
LoadModule userdir_module modules/mod_userdir.so
#LoadModule usertrack_module modules/mod_usertrack.so
#LoadModule vhost_alias_module modules/mod_vhost_alias.so
#LoadModule ssl_module modules/mod_ssl.so
LoadModule php5_module D:/Apache/php/php5apache2_2.dll
PHPiniDir D:/Apache/php


#设置文件列表图标虚拟目录
Alias /icons "D:/Apache/icons"

#设置文件列表图标
AddIcon /icons/binary.gif .exe
AddIcon /icons/movie.gif .Wmv .Rm .Rmvb .Avi .Swf .Flv .wmv .rm .rmvb .avi .swf .flv
AddIcon /icons/sound1.gif .Mp3 .Wma .Wav .mp3 .wma .wav
AddIcon /icons/tar.gif .tar
AddIcon /icons/image2.gif .gif .jpg .png .bmp
AddIcon /icons/php.gif .php .php3
AddIcon /icons/cmd.gif .bat .cmd .reg
AddIcon /icons/compressed.gif .z .gz .zip .rar
AddIcon /icons/html.gif .html .shtml .htm
AddIcon /icons/text.gif .txt
AddIcon /icons/pdf.gif .pdf
AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^
DefaultIcon /icons/unknown.gif


#定义.php和.html文件都可以执行php程序
AddType application/x-httpd-php .php
AddType application/x-httpd-php .html

NameVirtualHost *:80

#主站

    ServerAdmin fhqgmwyve@126.com
    ServerName eryin.vicp.net
    ServerAlias html.mven.cn
    DocumentRoot /Www/eryin.vicp.net
    ErrorLog logs/vicp_net_error.log
    CustomLog logs/vicp_net_access.log common

#URL重写当输入WWW后进入以下网址
#Redirect /www http://www.eryin.com

/etc/yum.repos.d/CentOS-Base.repo

[base]
name=CentOS-5 - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever5&arch=$basearch&
repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
baseurl=http://mirror.be10.com/centos/$releasever/os/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

#released updates
[update]
name=CentOS-5 - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=4&arch=$basearch&repo=updates
baseurl=http://mirror.be10.com/centos/$releasever/updates/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

#packages used/produced in the build but not released
[addons]
name=CentOS-5 - Addons
#mirrorlist=http://mirrorlist.centos.org/?release=4&arch=$basearch&repo=addons
baseurl=http://mirror.be10.com/centos/$releasever/addons/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

#additional packages that may be useful
[extras]
name=CentOS-5 - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=4&arch=$basearch&repo=extras

baseurl=http://mirror.be10.com/centos/$releasever/extras/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-5 - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=4&arch=$basearch&repo=centosplus
baseurl=http://mirror.be10.com/centos/$releasever/centosplus/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

#contrib - packages by Centos Users
[contrib]
name=CentOS-5 - Contrib
#mirrorlist=http://mirrorlist.centos.org/?release=4&arch=$basearch&repo=contrib
baseurl=http://mirror.be10.com/centos/$releasever/contrib/$basearch/
        http://ftp.hostrino.com/pub/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-centos5

    iptables是一款状态防火墙几乎集成到所有Linux发行版中了，这就意味着你可以使用它基于ip地址的规则来控制远程机器访问你的服务器，以及连接请求的类型。(旧的无状态的防火墙让你只能根据数据包的内容来做出判断，因此你被端口号限制，不能跟踪会话的存在，如FTP数据流)，Debian用户可以通过apt-get install iptables conntrack来获取它。

    当你从终端登陆到机器上时请完成你的初始化测试，用一个错误的规则将你自己锁在外面，然后你亲自恢复，当所有数据包被允许通过，因此这如果不被接受，观察iptables-save和iptables-restore命令，这里有一个加上注释的例子脚本，它非常基础，但是基本上它可以告诉你iptables是如何工作的：

#!/bin/bash
# example iptables script
# flush the old rules
iptables -F
# set the default policy of the chain to accept
iptables -P INPUT ACCEPT
# create a new table for logging and discarding
# unwanted packets
iptables -N LOGDROP
# use rate limiting on the logging, and
# add a prefix of ’filter:
iptables -A LOGDROP -m limit -j LOG --log-prefix "filter: "
# drop unwanted TCP connections with a
# TCP ReSeT packet
iptables -A LOGDROP -p tcp -j REJECT --reject-with tcp-reset
# drop other packets by sending an ICMP
# port unreachable in response
iptables -A LOGDROP -j REJECT --reject-with icmp-port-unreachable
# now drop the packet
iptables -A LOGDROP -j DROP
#allow anything on the local interface
iptables -A INPUT -i lo -j RETURN
# allow packets that are related to
# an on-going conversation
iptables -A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j
RETURN
iptables -A INPUT -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j
RETURN
# allow SSH traffic
iptables -A INPUT -p tcp -m tcp --dport 22 -j RETURN
# allow HTTP and HTTPS traffic
iptables -A INPUT -p tcp -m tcp --dport 443 -j RETURN
iptables -A INPUT -p tcp -m tcp --dport 80 -j RETURN
# accept the following ICMP types -
# echo, echo reply, source quench,
ttl exceeded,
# destination unreachable - and drop the rest
iptables -A INPUT -p icmp -m icmp --icmp-type 0 -j RETURN
iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j RETURN
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j RETURN
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j RETURN
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j RETURN
# if we haven’t accepted it, drop and log it.
iptables -A INPUT -j LOGDROP

    如果你正在疑惑日志在哪里，象什么样子，这里有一个例子，来自系统日志/var/log/messages，一个来自192.168.50.40的UDP数据包，源端口30766，目标服务器是192.168.0.8，目标端口是1026，这个数据包被丢掉了，它可能是windows机器上了信使服务发出的垃圾信息：

Nov 22 06:24:00 localhost kernel: filter: IN=eth0
OUT=MAC=00:0a:e6:4e:6d:49:00:14:6c:67:cc:9a:08:00
SRC=192.168.50.40 DST=192.168.0.8 LEN=402
TOS=0x00 PREC=0x00 TTL=47 ID=3345 PROTO=UDP
SPT=30766 DPT=1026 LEN=382

    日志输出看起来有点恐怖，但是你能容易地拣出你想要的信息，首先，你看到的是日期和主机名，IN和OUT描述了数据包是来自哪个端口和通过哪个端口出去的，MAC给出了源和目标MAC地址，SRC和DST是源和目标ip地址，PROTO是UDP，TCP，ICMP等等，SPT和DPT是源和目标端口号，例如：大部分到服务的连接如ssh都有一个临时的源端口，如35214，和一个目标端口22，那么象前面说道的windows机器的信使服务数据包，你可以安全地忽略它。

    当你安装号防火墙后，务必再从另外一台机器上运行一次nmap，来检查是否只打开了正确的端口。

总结

    安全是不断提高、评估你的保护尺度的一个循环过程，上面的工具允许你保护你的服务器，确保它按需要进行工作，分析意外事件的网络通讯，记住，意外总是让人不愉快的！正如Larry Niven说的：“你不理解的任何事情都是危险的除非你理解了它”。

    当你正在使用这些工具时，尝试思考安全的3个步骤：预防，检查和响应。如果可能你最好预防事情的发生，发生入侵后清除的代价是昂贵的，并且你可能丢失掉有用的数据，无论如何，你将理解一些入侵的知识，因此尽你所能做好预防工作。

TCP 3次握手

    UDP是一个无连接的协议，相反，TCP在传输失败时会重新再发送一次数据，它的设置比UDP更复杂，以3次握手开始，初始化一个连接，客户端发送一个SYN(开始同步)数据包，服务器然后用一个SYN+ACK数据包进行响应(如果端口是打开的情况下)，然后客户端响应一个ACK(告知收到)数据包，连接就这样建立了，这些数据包携带数据序列号，它允许协议检查和重新发送丢失的数据包，如果端口是关闭的或被防火墙过滤了，响应可能是RST或没有响应，更多信息可以查看nmap文档。

      snort是一款最重要的开源网络入侵检测系统，基本上意味着它留意坏的通讯并给你提供警告，它始终保存你读取原始tcpdump内容的输出，Debian用户可以通过apt-get install snort来获取它，默认情况下，它将网络接口设置为混杂模式，也就是说，所有在线路上的数据包都被检查。

      如果你正在尝试保护一个网络，通常你的snort传感器应该放在主路由器的SPAN端口上，这样它就能查看到所有经过那个路由器的网络通讯内容。（SPAN端口提供了所有经过路由器的通讯的一个总和）如果你正在尝试保护一个单独的主机，只需要在主机上简单地按照它即可。

      Snort依靠一个规则数据库来检查数据包，/etc/snort/rules/bad-traffic.rules中有一个例子标记出了一个tcp端口号为0的无效通讯：  

alert tcp $EXTERNAL_NET any <> $HOME_NET 0
(msg:"BAD-TRAFFIC tcp port 0 traffic"; flow:stateless;
  classtype:misc-activity; sid:524; rev:8;)

      snort将它的警告信息记录到一个文件中，典型地是/var/log/snort/alert，看起来象是这样，表明一个策略规则已经生效，因为来自Google Desktop用户代理的web通讯被观察到了：

[**] [1:2002801:3] BLEEDING-EDGE WEB
Google Desktop User-Agent Detected
[**]
[Classification: Potential Corporate Privacy
Violation] [Priority: 1]
11/02-11:27:58.855143 10.0.0.82:3449 ->
66.35.250.209:80
TCP TTL:128 TOS:0x0 ID:35935 IpLen:20
DgmLen:399 DF
***AP*** Seq: 0x847921EE  Ack: 0x1A7D5C20
Win: 0xFFFF  TcpLen: 20
[Xref => http://news.com.com/2100-1032_3-6038197.html]
Snort也能被配置为记录匹配tcpdump格式的数据包，如下：
# log_tcpdump: log packets in binary tcpdump format
# -------------------------------------------------
# The only argument is the output file name.
#
output log_tcpdump: tcpdump.log

      当上面的选项生效后，snort将记录与tcpdump文件匹配的数据包并将其保存到警告文件中，这样就允许你更容易地判断哪个警告是需要担心的哪个警告是错误的警告，你可以象下面这样来阅读它们：

# tcpdump -r /var/log/snort/tcpdump.log.1161106015
reading from file /var/log/snort/
↪tcpdump.log.1161106015, link-type
EN10MB (Ethernet)
06:37:50.839942 IP 10.0.0.82.1410 >
10.10.218.95.www: P
2352360050:2352360119(69) ack 1723804156 win 65535
06:53:07.792492 IP 10.0.0.82.1421 >
10.10.218.95.www: P
2124589760:2124589829(69) ack 2684875377 win 65535
...

      如果你象查看数据包的内容，使用-X参数，tcpdump –X –r /var/log/snort/tcpdump.log.1161106015，snort也有一些功能来中断基于规则匹配（灵活的响应）的连接，也有许多第三方的规则，可以在http://www.bleedingthreats.net/找到

      Tcpdump可能是检查网络通讯原始数据构成最著名的应用程序了，Debian用户可以通过apt-get install tcpdump来获取，Tcpdump文件就是著名的pcap文件，因为pcap是实现包捕获的库。

      在这个例子中，我们dump来自源端口53或目标端口53的所有通讯，意味着，所有的DNS通讯，我使用的-n参数，如果你想更详细一点，你可以使用src port 53或者dst port 53，除此之外，tcpdump尝试ip地址到域名的解析，以便于打印出比较友好的名字，那些DNS请求也将在我们的捕获中显示出来：

# tcpdump -n ’port 53’
tcpdump: verbose output suppressed,
use -v or -vv for full protocol
decode
listening on eth0, link-type EN10MB (Ethernet),
capture size 96 bytes
11:19:58.302298 IP 192.168.0.8.1037 >
192.168.128.1.53:  36224+ A?
www.slashdot.org. (34)
11:19:58.360227 IP 192.168.128.1.53 >
192.168.0.8.1037:  36224 1/5/5 A
66.35.250.151 (239)
...

在其他事情中，snort能存储tcpdump格式的捕获数据，你需要用-r <文件名>和-w <文件名>参数来读取和写入存储的文件。