FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

前言

apache使用比较广泛的web服务器，以前也看过一些关于apche的漏洞，但是比较 零散，本文就来重新总结一下apache可能存在的漏洞以及配置。

Apache简介

Apache 是世界使用排名第一的 Web 服务器软件。

它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的 Web 服务器端软件之一。

它快速、可靠并且可通过简单的 API 扩充，将 Perl/Python 等解释器编译到服务器中。

安装

通过yum方式安装：yum install httpd httpd-tools

查看服务是否开启：service httpd status

默认配置

/etc/httpd/conf/httpd.conf Apache默认配置文件

/var/www/html/ Apache的默认根目录

配置文件详解

# 服务器类型：独立模式（默认）
#作用‌：定义Apache运行模式。现代系统通常使用standalone，由httpd进程直接处理请求
ServerType standalone

# 服务器根目录（配置文件和日志存放位置）
ServerRoot "/etc/httpd"

# 存储主进程ID的文件
PidFile "run/httpd.pid"

# 服务器超时时间（秒）
Timeout 60

# 启用Keep-Alive（复用TCP连接）
KeepAlive On

# 每连接最大请求数
MaxKeepAliveRequests 100

# Keep-Alive超时时间（秒）
KeepAliveTimeout 15

# 监听端口（默认80）
Listen 80

# 加载核心模块（如重写、SSL）
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule ssl_module modules/mod_ssl.so

# 运行Apache的用户和组
User apache
Group apache

# 错误日志路径和级别
ErrorLog "logs/error_log"
LogLevel warn

# 访问日志路径和格式
CustomLog "logs/access_log" combined

# 默认文档根目录
<Directory />
    Options FollowSymLinks
    AllowOverride None
    Require all denied    #拒绝所有访问
    #require all granted    #允许所有访问 
</Directory>


#用于处理http的mime类型
<IfModule mime_module>                          
    TypesConfig /etc/mime.types
    AddType application/x-compress .Z
    AddType application/x-gzip .gz .tgz
    AddType text/html .shtml
    AddOutputFilter INCLUDES .shtml
</IfModule>




# 主站点文档根目录
#<Directory>：针对特定目录设置权限。
#Options：控制目录行为（如Indexes显示目录列表，FollowSymLinks允许符号链接）。
#AllowOverride：允许.htaccess覆盖配置（All表示允许所有指令）。
#Require：基于IP或主机名限制访问（如all granted允许所有请求）。
<Directory "/var/www/html">
    Options Inde

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）