最后的文件檢查：

1. SSL證書和公鑰不能存放在DocumentRoot下；

2. SSL 證書和公鑰必須被root所擁有，chmod 400 *.crt；

3. 移去/htdocs和/cgi-bin中的所有示例文件；

4. /htdocs下的所有文件被nobody所擁有。

如果你不怕配置麻煩，最好把Apache放到一個chroot的環(huán)境中運行。：）

　　關于如何生成證書請求包和到CA中心去簽署，請參考其他文章。目前國內也有很多CA中心，如中國電信電子商務安全認證中心（http://www.sinocol.com/），都可以對個人頒發(fā)證書。

 五．Hardening e-commerce Server

　　盡管Apache安裝和配置的都很安全，但是一臺具有薄弱口令或者運行著象wu-ftpd那樣不安全服務的LINUX還是很容易被攻破。一般來講，一臺WEB服務器僅僅需要的其他服務只有SSH—遠程管理所用。不要安裝x-windows，編譯器如gcc等應該在系統(tǒng)穩(wěn)定運行后刪去，這樣可以避免一些script-kiddiez的破壞。

　　同時，一些包過濾規(guī)則（ipfw，ipchains，iptables）應該被應用。這里我們將討論Linux下的ipchains，假定有以下需求：

 1．  服務器有兩塊網卡

2．  外網卡僅僅允許80和443端口數據的incoming

3．  外網卡僅僅允許>1023端口數據的outgoing

4．  內網卡僅僅允許22、80、443端口的incoming

5．  內網卡僅僅允許>1023端口數據的outgoing。一般的連接是數據庫，oracle是1524port，SQL Server是1443，SSH可以加上-P選項來指定大于1023的用戶端口。

6．  內網卡允許ICMP響應

 命令如下（eth0外網卡，eth1內網卡）：

ipchains -A in-eth0 -p tcp --dport 80 -j ACCEPT

ipchains -A in-eth0 -p tcp --dport 443 -j ACCEPT

ipchains -A in-eth0 -p udp --dport 53 -j ACCEPT

ipchains -A in-eth0 -j DENY

ipchains -A out-eth0 -p tcp --dport 1024:65535 -j ACCEPT

ipchains -A out-eth0 -p udp --dport 53 -j ACCEPT

ipchains -A out-eth0 -j DENY

ipchains -A in-eth1 -p tcp --dport 22 -j ACCEPT

ipchains -A in-eth1 -p tcp --dport 80 -j ACCEPT

ipchains -A in-eth1 -p tcp --dport 443 -j ACCEPT

ipchains -A in-eth1 -p udp --dport 53 -j ACCEPT

ipchains -A in-eth1 -p icmp -j ACCEPT

ipchains -A in-eth1 -j DENY

ipchains -A out-eth1 -p tcp --dport 22 -j ACCEPT

ipchains -A out-eth1 -p tcp --dport 1024:65535 -j ACCEPT

ipchains -A out-eth1 -p udp --dport 53 -j ACCEPT

ipchains -A out-eth1 -p icmp -j ACCEPT

ipchains -A out-eth1 -j DENY

剩下的工作就是重新編譯系統(tǒng)內核，禁用不需要的模塊，可以使某些rootkits失效。

最后，檢查WEB SERVER上運行著的程序的安全性，有沒有緩沖區(qū)溢出等安全問題。

六．參考資料

Improving Apache, by GARY BAHADUR & MIKE SHEMA

SSL: Theory and Practice, Zeus Technology

LASG, i.e. Linux Administrators Security Guide