Форум Сайтостроение Администрирование серверов

Настройка Apache для WordPress (не ошибся ли я где в конфиге)

Z
На сайте с 19.12.2011
Offline
16
Zbt
5665

Здравствуйте.

Прошу знающих людей посмотреть не ошибся ли я где в конфиге апача в плане безопасности.

На VPS (512 RAM/LAMP (debian) + nginx) будет 2 сайта, конфиг такой: 

Timeout 300



KeepAlive On



MaxKeepAliveRequests 100



KeepAliveTimeout 5



<IfModule mpm_prefork_module>

    StartServers          2

    MinSpareServers       3

    MaxSpareServers      5

    MaxClients          17

    MaxRequestsPerChild   5000

</IfModule>



# These need to be set in /etc/apache2/envvars

User ${APACHE_RUN_USER}

Group ${APACHE_RUN_GROUP}



AccessFileName .htaccess



#

# The following lines prevent .htaccess and .htpasswd files from being 

# viewed by Web clients. 

#

<Files ~ "^\.ht">

    Order allow,deny

    Deny from all

    Satisfy all

</Files>



DefaultType text/plain



HostnameLookups Off



ErrorLog ${APACHE_LOG_DIR}/error.log



LogLevel warn



# Include module configuration:

Include mods-enabled/*.load

Include mods-enabled/*.conf



# Include all the user configurations:

Include httpd.conf



# Include ports listing

Include ports.conf



Include conf.d/



NameVirtualHost *:81

<VirtualHost *:81 >

	ServerName SITE1.RU

        <Directory />

                Options FollowSymLinks

                AllowOverride All

        </Directory>

        CustomLog /var/www/httpd-logs/SITE1.access.log "combined"

	DocumentRoot /var/www/SITE1

        ErrorLog /var/www/hvp/httpd-logs/SITE1.error.log

	ServerAdmin 

	ServerAlias www.*****.RU

	AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml

	AddType application/x-httpd-php-source .phps

LogLevel warn



<VirtualHost *:81 >



     	ServerName SITE2.RU

        <Directory />

                Options FollowSymLinks

                AllowOverride All

        </Directory>

        CustomLog /var/www/httpd-logs/SITE2.access.log "combined"

	DocumentRoot /var/www/SITE2

        ErrorLog /var/www/hvp/httpd-logs/SITE2.error.log

	ServerAdmin 

	ServerAlias www.*****.RU

	AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml

	AddType application/x-httpd-php-source .phps

</VirtualHost>

Вопрос заключается в следующем - до того как я добавил

<Directory />

Options FollowSymLinks

AllowOverride All

</Directory>

из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.

Но как я понимаю это строго неправильно и так быть не должно. После добавления указанных выше строк, по такому запросу выводит "forbidden", однако меня смущают 3 вещи:

1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу

2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?

3. Опять же в первом гайде пишут что надо добавить 


    <Directory /var/www/>

                Options Indexes FollowSymLinks MultiViews

                AllowOverride All

                Order allow,deny

                allow from all

        </Directory>

Надо это делать или нет? т.к. сайт то у меня лежит в /var/www/site1/

Заранее спасибо.

M
На сайте с 16.09.2009
Offline
278
myhand
#1
Zbt:
до того как я добавил ... из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.

Потому что до того как вы добавили - вы добавили (извините за каламбур) нечто (типа Options Indexes), разрешившее подобную глупость.

Zbt:
Но как я понимаю это строго неправильно и так быть не должно.

Это и правильно и неправильно. Есть ситуации, когда это надо - есть, когда не надо.

Zbt:
1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу

Совет вам простой и единственный: перестаньте читать всякие "гайды". Есть вопросы по опциям - обратитесь в документацию апача.

Нет желания нормально учиться - используйте примеры конфигов апача, которые вам дают разработчики CMS.

Zbt:
2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?

И да. И нет. "Пустая страница" - скорее всего означает, что скрипт отработал. Если вы знаете, что прямого доступа через веб к этому файлу быть не должно - запретите его стандартными средствами веб-сервера.

Zbt:
3. Опять же в первом гайде пишут что надо добавить

Узнайте, что означают эти директивы - и на основе этого решите.

Удачи.

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
Google поделился советами по Google: 30-40% страниц с Google: это нормально, что
iHead
На сайте с 25.04.2008
Offline
137
iHead
#2

выключите модуль autoindex и наступит вам счастье.

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий