26.8. Bezpečnost

Pokud Apache nepotřebujete, deaktivujte jeho spouštění v editoru úrovní běhu nebo ho oddinstalujte. Pokud chcete bezpečnostní rizika minimalizovat úplně, vypněte i další serverové služby. Platí to zejména pro počítače používané jako firewally. Na těch pokud možno nespouštějte žádné služby.

26.8.1. Přístupová práva

Jako výchozí vlastník adresáře DocumentRoot (/srv/www/htdocs) a adresáře CGI je nastaven uživatel root. Pokud je adresář zapisovatelný pro všechny, může do něj umisťovat soubory jakýkoliv uživatel. Tyto soubory pak budou vykonány Apachem pod uživatelem wwwrun. Apache by neměl mít práva zápisu do adresářů s daty a skripty, které dodává. Proto by neměl být vlastníkem těchto adresářů uživatel wwwrun, ale jiný uživatel (např. root).

Aby mohli do adresáře s dokumenty umístit své soubory také jiní uživatelé, musí mít práva k zápisu. Takové řešení však není bezpečné. Pokud máte možnost, vytvořte raději nový adresář, kam budou mít práva zápisu všichni (např. /srv/www/htdocs/miscellaneous).

26.8.2. Publikování dokumentů z domovských adresářů

Jiný způsob, jak zajistit, aby uživatelé mohli publikovat své stránky, je určení jednoho přesného jména adresáře v domovském adresáři, kam se mají stránky určené k publikaci ukládat. Jméno tohoto podadresáře je obvykle ~/public_html. To je výchozí nastavení v systému SUSE Linux.

Webové stránky pak můžete zobrazit zadáním jména uživatele v URL, pomocí části ~uživatel. K zobrazení obsahu adresáře public_html uživatele tux zadejte do prohlížeče adresu http://localhost/~tux.

26.8.3. Aktualizace

Pokud provozujete webový server, který je veřejně přístupný, nezanedbávejte pravidelnou aktualizaci. Snažte se pravidelně získávat informace o bezpečnostních chybách a problémech. Zdroje, které vám v tom pomohou, najdete v části 26.10.4 – „Bezpečnost“.