艾锑知识 |Windows下Apache应用环境塔建安全设置

 伟大的CEO就是伟大的教练

 

3月2日早晨,这个世界上最伟大的CEO,前通用电器的掌舵人杰克韦尔奇因病逝世。在他执掌通用电器的19年中，公司一路迅跑，并因此连续三年在美国<<财富杂志>>全美最受推崇公司评选中名列前茅。

通用电器在他的执掌时市场资本增长30多倍，达到了4500亿美元，排名从世界第10提升到第1名。已有12个事业部，在其各自的市场上数一数二。如果单独排名，通用电器有9个事业部能入选财富500强，从一家制造业巨头转变为以服务业和电子商务为导向的企业巨人，使百年历史的通用电器成为真正的业界领袖级企业。

 

本人喜欢杰克韦尔奇，并不是因为他创造了这样一家伟大的企业，贡献了这样一个让人难以启迪的高度，而是因为他的管理哲学以及管理理念，他认为在你没有成为领导者之前,最大的成功就是自己的成长，而成为领导者之后，最大的成功就是帮助他人成长,培养更多的优秀人才才是领导者重之之重的工作。

 

 

在一次电视访谈中,主持人问杰克,除了你的这些管理理念,还有什么对于一个CEO来说是非常重要的,杰克韦尔奇说伟大的CEO就是伟大的教练，作为一名CEO,不只是去管理你的企业,更需要帮助你的管理者成为领导者,让他们的潜能发挥出来,这才是一名CEO该做的事.

杰克为什么会这么推崇一位CEO要成为一名教练,我想也是源于他和管理学大师德鲁克先生的一段故事.

 

当年，杰克·韦尔奇出任通用电气总裁伊始，他去求见德鲁克，咨询有关企业成长的课题。德鲁克送给他一个简单的问题：假设你是投资人，通用电气这家公司有哪些事业，你会想要买？这个大乎哉的问题对韦尔奇产生了决定性的影响。经过反复思考，韦尔奇作出了著名的策略决定：通用电气旗下的每个事业，都要成为市场领导者，“不是第一，就是第二，否则退出市场”。

 

透过这个故事我们发现,管理学的大师德鲁克先生并没有给杰克什么解决方案,而只是仅仅提出了一个问题,让杰克从更高维度上来思考通用这家公司,到底作为CEO你想要的是什么,他就立刻知道自己接下来如何干了.

作为企业CEO的你又是如何做的呢?

 

艾锑知识 |Windows下Apache应用环境塔建安全设置

 

环境配置情况：
apache安装目录：d:\\www-s\\apache
php目录：d:\\www-s\\php5
mysql目录：d:\\www-s\\mysql
网站根目录：d:\\www\\htdocs

专门为运行Apache运行所使用的用户：apache-u（可不隶属于任何用户组）

PS：这里只说Windows下Apache应用环境相关的目录权限设置，至于其他基本的服务器目录权限设置就不提啦！

Windows下Apache应用环境塔建目录安全设置操作步骤：

配置目录权限

Apache所在的根目录（也就是D盘），只需要读取的权限，并且这个读取权限不需要继承到子目录与文件（可以在权限设置高级里选择——应用到：只有该文件夹——权限：列出文件夹/读取数据， 读取属性，读取扩展属性，读取权限——确定）。

Apache安装目录的上级目录（d:\\www-s），需要“读取”的权限（和根目录D盘的权限雷同）。

Apache安装目录，需要“列出文件夹目录”和“读取”的权限（可以为了方便使用继承）。

Apache安装目录下的子目录权限设置

“bin”和“modules”目录需要“读取和运行”、“列出文件夹和目录”、“读取”的权限。

“logs”目录需要“列出文件夹和目录”、“读取”、“写入”的权限（若Apache安装目录的权限使用啦继承，可只添加“写入”权限即可）。

到这里Apache的权限已经设置完毕，接下来设置PHP的权限

PHP目录（PHP5）可简单的设置为“读取和运行”、“列出文件夹和目录”、“读取”的权限。

Mysql目录下的bin文件夹和文件（mysql）需要为添加apache用户的“遍历文件夹和运行文件”、“列出文件夹和读取数据”的权限（可以在权限高级设置里找到）。

到这里Apache+Mysql+Php已经基本可以使用，接着配置网站根目录权限

网站根目录（www\\htdocs）的上级目录www需要读取（“列出文件夹和读取数据”、“读取属性”、“读取扩展属性”、“读取权限”）的权限（和Apache的上级目录权限雷同，不需要继承到子目录和文件中去）。

网站根目录（htdocs）可简单的设置“读取”权限就可以啦（然后可以根据需要对缓存文件夹设置可写权限）。

到这里Apache+PHP+Mysql的环境受限制权限设置基本完成。

 

 

为Apache服务启用受限制用户
进入服务管理器（Services.msc，或者“我的电脑——属性——管理——服务”），找到Apache的服务项（Apache2.2），设置属性，登录用户选择受限用户（Apache-u）输入受限用户的密码，应用，确定。

这里“确定”之后一般会有提示（已授予账户.\\apache-u“以服务方式登录”的权利）。这个提示相当于在组策略（开始->管理工具->本地安全策略，或者使用gpedit.msc打开）中的“用户权利分配”中选择“作为服务登陆”，添加apache-u用户。

可在任务管理器中查看httpd.exe进程的用户名为apache-u，使用PHP+Mysql的程序都可正常运行。
到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。

补充3：
可以在目录（具有可写权限的）下建个 .htaccess 内容写上：

RewriteEngine On
Order Allow,Deny
Deny from all
<files ~ “.(css|js)$”>
Allow from all
</files>

css和js为允许的文件扩展类型！

补充2：
1.Apache的权限设置错误提示
apache目录，php目录，网站目录中的一个权限设置不够都不能正常启动Apache服务，一般提示为：

Windows 不能再 本地计算机 启动 Apache2.2。有关更多信息，查阅系统事件日志。如果这是非 Microsoft服务，请与服务厂商联系，并参与特定服务错误代码 1。

查看系统事件日志中的提示为：

Apache2.2 服务因 1 (0×1) 服务性错误而停止。

若是php的权限配置错误会在应用程序事件日志中有记录。

2.另外Mysql的目录权限配置错误，不会对正常启动Apache服务造成影响，但不能网站程序使用Mysql服务（PHPINFO中显示并没有加载Mysql模块）。

补充1：
这个东东在本地机子上用来做测试基本是不用理会这些权限的，因为默认是使用系统用户来启动这个Apache服务的！不过若是暴露在外网就很危险啦！

安全是全方面的架构考虑，这里说的仅仅是冰山一角，不能以点盖面！

发现有遗漏的地方欢迎指正。