开源 Apache 服务器安全防护技术精要及实战

（2）ServerSignature：该选项控制由系统生成的页面（错误信息等）。默认情况下为 off，即 ServerSignature off，该情况下不输出任何页面信息。另一情况为 on，即 ServerSignature on，该情况下输出一行关于版本号等相关信息。安全情况下应该将其状态设为 off。

图 1 和图 2 为安全设定这两个选项前后正常情况下和错误情况下的输出页面（通过 Rhel5 中的 Mozilla Firefox 浏览器访问 Rhel5 中的 Apache 服务器）的详细对比。可以清楚看到，安全设定选项后，可以充分地向客户端用户隐藏 Linux 操作系统信息和 Apache 服务器版本信息。

图 1. 错误情况下未设定安全选项前示意

图 2. 操作情况下使用安全设定后的对比

设置虚拟目录和目录权限

要从主目录以外的其他目录中进行发布，就必须创建虚拟目录。虚拟目录是一个位于 Apache 的主目录外的目录，它不包含在 Apache 的主目录中，但在访问 Web 站点的用户看来，它与位于主目录中的子目录是一样的。每个虚拟目录都有一个别名，用户 Web 浏览器中可以通过此别名来访问虚拟目录，如 http:// 服务器 IP 地址 / 别名 / 文件名，就可以访问虚拟目录下面的任何文件了。

使用 Alias 选项可以创建虚拟目录。在主配置文件中，Apache 默认已经创建了两个虚拟目录。这两条语句分别建立了“/icons/”和“/manual”两个虚拟目录，它们对应的物理路径分别是“/var/www/icons/”和“/var/www/manual”。在主配置文件中，用户可以看到如下配置语句：