Hardening Apache Web Server

ThaiCERT: Thai Computer Emergency Response Team
ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

ชื่อเรื่อง : Hardening Apache Web Server
เรียบเรียงโดย : มนัชยา ชมธวัช
เผยแพร่เมื่อ : 11 พฤศจิกายน 2545

Hypertext Transfer Protocol เป็นโพรโตคอลเบื้องต้นที่ทำงานบน TCP เพื่อใช้ในการจัดรูปแบบ การรับ-ส่งและการเชื่อมโยงเอกสาร ซึ่งประกอบด้วยสื่อหลายชนิดแตกต่างกัน ได้แก่ ข้อความ รูปภาพ เสียง ภาพเคลื่อนไหวและวีดีโอ ถือเป็นพื้นฐานของระบบการให้บริการ World Wide Web (WWW) การทำงานของ HTTP มีลักษณะคล้ายคลึงกับการทำงานของโพรโตคอลชนิดไคลเอ็นต์/เซิร์ฟเวอร์อื่นๆ ที่มีใช้งานบนอินเทอร์เน็ต เช่น SMTP และ FTP

World Wide Web เป็นระบบการแลกเปลี่ยนข้อมูลบนอินเทอร์เน็ตที่มีผู้ใช้งานอย่างแพร่หลายในปัจจุบัน องค์ประกอบหลักของการทำงานคือ "เว็บ" ซึ่งถูกสร้างขึ้นด้วยโปรแกรมที่เรียกว่า "เว็บเซิร์ฟเวอร์" ทำหน้าที่จัดเตรียมข้อมูลไว้บนเครือข่าย และมีอีกโปรแกรมคือ "เว็บบราวเซอร์" ทำหน้าที่ในการเข้าถึงข้อมูลที่เก็บไว้ในเครื่องเว็บเซิร์ฟเวอร์และแสดงผลที่หน้าจอของผู้ใช้
เว็บเซิร์ฟเวอร์เป็นระบบที่ถูกกำหนดค่าให้ตอบสนองการร้องขอ HTTP วิธีการที่จะทำให้เครื่องทั่วไปเครื่องหนึ่งทำงานเป็นเว็บเซิร์ฟเวอร์ได้นั้น ผู้ดูแลระบบจะต้องติดตั้งเดมอนขึ้นมารอรับการติดต่อที่ TCP พอร์ต 80 (มาตรฐานของ HTTP 1.1 ตาม RFC 2616) เพื่อตอบสนองการร้องขอ และส่งเอกสารไปให้ผู้ใช้ตามที่ผู้ใช้ต้องการ

จากการสำรวจการใช้งานเครื่องเว็บเซิร์ฟเวอร์กว่า 18 ล้านเครื่องทั่วโลกโดย NetCraft.com พบว่ากว่า 62% ของเครื่องที่ถูกสำรวจใช้งานโปรแกรม Apache โดยอีก 20% และ 6% ใช้งานโปรแกรม IIS ของไมโครซอฟท์และ Netscape ตามลำดับ นอกจากนั้น จำนวนผู้ใช้งาน Apache ยังคงเพิ่มขึ้นเรื่อยๆ อย่างรวดเร็ว ดังรูปที่ 1

รูปที่ 1 แสดงสถิติการนำโปรแกรมต่างๆ มาใช้งานเป็นเว็บเซิร์ฟเวอร์

ในส่วนของระบบปฏิบัติการ Red Hat Linux นั้น ภายในแผ่นที่ใช้ในการติดตั้งระบบได้รวมเอาแพ็คเกจชนิด RPM ของโปรแกรม Apache ไว้ด้วย เช่น ภายใน Red Hat 7 จะมีแพ็คเกจ Apache 1.3.12 เพื่อให้ผู้ดูแลระบบสามารถติดตั้งโปรแกรม Apache ได้ในขณะเดียวกับที่ติดตั้งระบบปฏิบัติการ อย่างไรก็ตาม หากผู้ดูแลระบบคนใดต้องการติดตั้งโปรแกรม Apache เวอร์ชันล่าสุดก็สามารถดาวน์โหลดตัวโปรแกรมมาติดตั้งได้จาก http://httpd.apache.org ซึ่งภายในเว็บไซต์นี้จะประกอบด้วยซอฟต์แวร์ Apache เวอร์ชันใหม่ที่มีความเสถียร เวอร์ชันก่อนหน้านั้น และเวอร์ชันที่อยู่ในระหว่างการพัฒนา นอกจากนั้น หากผู้ดูแลระบบต้องการข้อมูลเพิ่มเติมเกี่ยวกับ Apache ยังสามารถค้นหาได้จาก http://httpd.apache.org/docs

การติดตั้งโปรแกรม Apache

ก่อนการติดตั้งโปรแกรม Apache นั้น สิ่งหนึ่งที่ควรจะต้องพิจารณาคือ ความปลอดภัยของเครื่องที่จะใช้ติดตั้งโปรแกรม ทั้งในส่วนของระบบปฏิบัติการและเครือข่ายที่ใช้งาน ซึ่งผู้ดูแลระบบสามารถศึกษาวิธีการได้จากบทอื่นๆ ภายในเอกสารฉบับนี้ สิ่งที่ควรคำนึงถึงก็คือ ระบบปฏิบัติการที่ใช้ในเครื่องที่จะติดตั้งโปรแกรม Apache ควรได้รับการตั้งค่าให้เปิดให้บริการเฉพาะในส่วนที่จำเป็นต่อการทำงานอย่างมีประสิทธิภาพและปลอดภัยเท่านั้น โดยทั่วไปแล้ว หากผู้ดูแลระบบต้องการให้เครื่องให้บริการเครื่องหนึ่งทำงานเป็นเว็บเซิร์ฟเวอร์ ผู้ดูแลระบบไม่ควรเปิดให้บริการอื่นๆ เช่น ftp, mail หรือ DNS ทำงานบนเครื่องเดียวกัน รวมไปถึงแอพลิเคชันและโปรแกรมอื่นๆ ด้วย นอกจากนั้น ผู้ดูแลระบบควรจะอนุญาตให้เฉพาะผู้ใช้ที่มีหน้าที่เกี่ยวข้องเท่านั้นจึงจะได้รับสิทธิ์ในการเข้าใช้งานเครื่อง และจะต้องให้คำแนะนำเกี่ยวกับการตั้งรหัสผ่านที่ดีและวิธีการใช้งานเครื่องอย่างปลอดภัย ส่วนด้านเครือข่ายนั้น ผู้ดูแลระบบจะต้องพิจารณาถึงวิธีการป้องกันการโจมตีแบบ Denial of Service (DoS) และการโจมตีรูปแบบอื่นๆ ที่จะส่งผลให้เครื่องไม่สามารถให้บริการได้ตลอดเวลาหรือได้รับความเสี่ยงจากการบุกรุก

วิธีการติดตั้งโปรแกรม Apache ลงในเครื่องภายหลังจากที่ได้ติดตั้งระบบปฏิบัติการแล้วสามารถทำได้ 2 วิธี (ในที่นี้จะไม่กล่าวถึงวิธีการติดตั้งโปรแกรม Apache ในขณะที่ติดตั้งระบบปฏิบัติการ) คือการติดตั้งโดยใช้แพ็คเกจชนิด RPM และการติดตั้งโดยการคอมไพล์จากไฟล์ต้นฉบับ ข้อดีของการติดตั้งโปรแกรม Apache โดยการคอมไพล์จากไฟล์ต้นฉบับแทนที่จะใช้แพ็คเกจที่ได้รับการคอมไพล์มาแล้วคือ ทำให้ผู้ดูแลระบบได้ตัดสินใจด้วยตนเองว่าต้องการใช้งานโมดูลและลักษณะพิเศษใดบ้างที่เครื่องเว็บเซิร์ฟเวอร์ของตน และในบางครั้ง แพ็คเกจชนิด RPM ที่นำมาติดตั้งในเครื่องอาจไม่สามารถใช้งานได้ เนื่องจากไลบรารี่ที่ใช้งานไม่ตรงกัน
เนื้อหาในส่วนนี้จึงขอกล่าวถึงเฉพาะการติดตั้งโปรแกรม Apache โดยการคอมไพล์จากไฟล์ต้นฉบับ (สำหรับผู้ดูแลระบบที่ต้องการติดตั้งแพ็คเกจชนิด RPM สามารถศึกษาวิธีการและออปชันที่เกี่ยวข้องเพิ่มเติมได้จากคำสั่ง # rpm -q apache -l | more)

การปรับแต่งค่าในการติดตั้งโปรแกรม Apache

หลังจากที่ผู้ดูแลระบบได้ดาวน์โหลดตัวโปรแกรม Apache มาไว้ที่ไดเรกทอรีที่ต้องการและทำการแตกไฟล์ออกมาแล้ว ผู้ดูแลระบบควรจะปรับแต่งค่าการทำงานของโปรแกรม Apache เสียก่อน ซึ่งสามารถทำได้ 2 วิธีคือ การปรับแต่งค่าด้วยตนเองโดยการแก้ไขไฟล์ชื่อ Makefile และการปรับแต่งค่าด้วยวิธี APACI (เป็นรูปแบบการแก้ไขค่าโดยให้ผู้ใช้เลือกรายการสิ่งที่ต้องการ) ในที่นี้ จะขอแนะนำวิธีของ APACI เนื่องจากเป็นวิธีที่ง่ายและรวดเร็ว และหากผู้ดูแลระบบต้องการข้อมูลเพิ่มเติมจากนอกเหนือจากเอกสารฉบับนี้สามารถศึกษาได้จากไฟล์ README และไฟล์ INSTALL

ตัวอย่าง	หากผู้ดูแลระบบดาวน์โหลดไฟล์ต้นฉบับโปรแกรม Apache เวอร์ชัน 1.3.26 มาไว้ที่ไดเรกทอรี /usr/local/src ภายในไดเรกทอรีดังกล่าวจะปรากฏไฟล์ apache_1.3.26.tar.gz หรือ apache_1.3.26.tar.Z ตามชนิดที่ผู้ดูแลระบบเลือกดาวน์โหลด
	หลังจากที่ผู้ดูแลระบบแตกไฟล์ดังกล่าวแล้ว จะปรากฏไดเรกทอรี apache_1.3.26 ในไดเรกทอรี /usr/local/src
	หากผู้ดูแลระบบต้องการรายละเอียดเพิ่มเติมสามารถหาข้อมูลได้จากไฟล์ README และไฟล์ INSTALL ในไดเรกทอรี /usr/local/src/apache_1.3.26

วิธีการปรับแต่งค่า แบบ APACI นั้นสามารถทำได้โดยการเรียกใช้งานสคริปต์ชื่อ configure ภายในไดเรกทอรีของ Apache โดยการสั่ง # ./configure
หากผู้ดูแลระบบต้องการทราบออปชันต่างๆ ทั้งหมดที่ใช้งานกับสคริปต์ configure สามารถทำได้โดยสั่ง # ./configure --help

ตารางที่ 1 แสดงออปชันที่ใช้งานกับสคริปต์ configure เพื่อปรับแต่งการทำงานของโปรแกรม Apache ที่นิยมใช้งาน

I. ออปชันที่ใช้ในการกำหนดไดเรกทอรีที่จะติดตั้งโปรแกรม
--prefix=DIR	กำหนดไดเรกทอรีที่จะใช้ติดตั้งโปรแกรม Apache (DIR) เช่น --prefix=/usr/local/apache
--layout	กำหนดให้แสดงรายการไดเรกทอรีทั้งหมดที่ใช้ในการติดตั้งโปรแกรม และไดเรกทอรีต่างๆ ของโปรแกรม Apache
--compat	กำหนดให้ติดตั้งโปรแกรมและไดเรกทอรีต่างๆ เหมือนกับที่ได้เคยติดตั้งไว้ (ใช้สำหรับการอัพเกรดโปรแกรม)
II. ออปชันที่ใช้ในการเพิ่มหรือยกเลิกการใช้งาน rule และ module
--enable-rule=NAME	เพิ่ม rule ที่ต้องการใช้งานกับโปรแกรม Apache เช่น SOCK4
--disable-rule=NAME	ยกเลิกการใช้ rule ที่ไม่ต้องการนำมาใช้กับโปรแกรม Apache
--enable-module=NAME	เพิ่ม module ที่ต้องการใช้งานกับโปรแกรม Apache เช่น usertrack
--enable-module=NAME	ยกเลิกการใช้ module ที่ไม่ต้องการนำมาใช้กับโปรแกรม Apache
--add-module=FILE	เพิ่ม module ชนิด 3rd party ที่ยังไม่มีใช้งานในโปรแกรม Apache ให้ทำงานร่วมกับโปรแกรม Apache (เป็นการ copy & activate)
--activate-module=FILE	เพิ่ม module ชนิด 3rd party ที่มีใช้งานในโปรแกรม Apache ให้ทำงานร่วมกับโปรแกรม Apache เช่น PHP
III. ออปชัน suEXEC คำอธิบาย suEXEC เป็นออปชันที่ทำให้ผู้ใช้งานเว็บบราวเซอร์สามารถเรียกใช้งานโปรแกรมประเภท CGI และ SSI ได้โดยใช้สิทธิ์ของผู้ใช้คนอื่นนอกเหนือจากผู้เรียกใช้งานเว็บเซิร์ฟเวอร์ได้ โดยปกติแล้วการเรียกใช้งานโปรแกรม CGI และ SSI จะต้องใช้สิทธิ์ของผู้ใช้เรียกใช้งานเว็บเซิร์ฟเวอร์ ซึ่งก็คือผู้ดูแลระบบนั่นเอง
--enable-suexec	กำหนดให้ออปชัน suexec ทำงาน
--suexec-caller=NAME	กำหนดชื่อผู้ใช้ที่จะอนุญาตให้เรียกใช้งานโปรแกรม CGI และ SSI ผ่านทางโปรแกรม Apache โดยไม่ต้องได้รับสิทธิ์ของผู้เรียกใช้งานเว็บเซิร์ฟเวอร์ โดยทั่วไปแล้วจะกำหนดให้เป็นผู้ใช้คนเดียวกับที่เข้าใช้งานผ่านทางเว็บบราวเซอร์

ตัวอย่าง

หากผู้ดูแลระบบต้องการติดตั้งโปรแกรม Apache ไว้ที่ไดเรกทอรี /usr/local/apache และต้องการใช้งานออปชัน suEXEC โดยกำหนดให้ผู้เข้าใช้งานเว็บเซิร์ฟเวอร์และใช้งานโปรแกรม CGI หรือ SSI ผ่านทางเว็บบราวเซอร์คือผู้ใช้ชื่อ nobody
ผู้ดูแลระบบจะต้องสั่งให้สคริปต์ configure ทำงานโดยกำหนดออปชันดังนี้
/usr/local/src/apache_1.3.26 # ./configure --prefix=/usr/local/apache --enable-suexec --suexec-caller=nobody

เมื่อผู้ดูแลระบบได้เลือกปรับแต่งค่าการทำงานของโปรแกรม Apache ให้เป็นไปตามที่ต้องการแล้ว ลำดับต่อไปก็คือการคอมไพล์และติดตั้งโปรแกรม Apache ซึ่งมีวิธีการเช่นเดียวกับการคอมไพล์และติดตั้งโปรแกรมอื่นๆ จึงไม่นำมาอธิบายในที่นี้

เริ่มต้นใช้งานโปรแกรม Apache

หลังจากที่ผู้ดูแลระบบติดตั้งโปรแกรม Apache แล้ว ผู้ดูแลระบบสามารถเรียกใช้งานโปรแกรม Apache ได้ทันทีซึ่งจะทำให้การทำงานของโปรแกรมเป็นค่าดีฟอลต์ วิธีการสั่งให้โปรแกรม Apache เริ่มต้นทำงานสามารถทำได้โดยการใช้โปรแกรมที่ถูกติดตั้งมาพร้อมกับการติดตั้งโปรแกรม Apache ชื่อ apachectl ที่อยู่ในไดเรกทอรี /path_to_apache/bin เช่น /usr/local/apache/bin/apachectl โปรแกรม apachectl นี้เป็นสคริปต์ที่ถูกสร้างขึ้นมาเพื่อควบคุมการทำงานของโปรแกรม Apache ผู้ดูแลระบบสามารถใช้สคริปต์ apahcectl เพื่อสั่งให้โปรแกรม Apache เริ่มทำงาน จบการทำงาน หรือเริ่มต้นทำงานใหม่อีกครั้งได้อย่างสะดวกและรวดเร็วกว่า การสั่งให้โพรเซสของ Apache เริ่มทำงานเอง หรือการสั่งปิดโพรเซสของ Apache แต่ละโพรเซสด้วยตนเอง

อย่างไรก็ตาม เพื่อให้การทำงานของโปรแกรม Apache มีความปลอดภัยสูงขึ้น ผู้ดูแลระบบควรปรับแต่งค่าการทำงานของโปรแกรม Apache และไฟล์ที่เกี่ยวข้องให้รัดกุมและเหมาะสมกับระบบของตนมากขึ้น ดังต่อไปนี้

ปรับแต่งค่าในไฟล์กำหนดการทำงานของโปรแกรม Apache
แก้ไข ทบทวนถึงผู้มีสิทธิ์เข้าใช้งานเว็บเซิร์ฟเวอร์ และนำเอาวิธีการในการตรวจสอบตัวตนผู้ใช้มาใช้งาน
แก้ไขชื่อเจ้าของและสิทธิ์การเข้าใช้งานไฟล์ที่เกี่ยวข้องกับโปรแกรม Apache
พิจารณาถึงข้อควรระวังอื่นๆ ในการใช้งานโปรแกรม Apache

ไฟล์กำหนดการทำงานของโปรแกรม Apache

โดยทั่วไปแล้ว ไฟล์กำหนดการทำงานของโปรแกรม Apache ประกอบด้วยไฟล์ต่างๆ ในไดเรกทอรี /path_to_apache/conf เช่น /usr/local/apache/conf ทั้งหมด 5 ไฟล์ คือ

httpd.conf
access.conf
srm.conf
magic
mime.types

แต่การใช้งานจริงนั้น โปรแกรม Apache อนุญาตให้ผู้ดูแลระบบปรับแต่งค่าเฉพาะสามไฟล์แรก ส่วนไฟล์ที่เหลืออีกสองไฟล์คือ magic เป็นไฟล์ที่ใช้งานกับโมดูลพิเศษชื่อ mod_mime_magic และ mime.types เป็นไฟล์ที่ใช้ควบคุมชนิดของ MIME ที่ใช้ส่งให้ผู้ขอใช้งาน ทั้งสองไฟล์นี้จะถูกปล่อยไว้ตามที่โปรแกรมสร้างไว้ตอนติดตั้ง หากผู้ดูแลระบบคนใดต้องการสร้างหรือใช้งาน MIME ชนิดอื่นๆ สามารถทำได้โดยอาศัย directive ชื่อ AddType แทนการแก้ไขไฟล์เหล่านี้

ภายในไฟล์ httpd.conf, access.conf และ srm.conf มีโครงสร้างการกำหนดค่าในลักษณะเดียวกัน คือจะมีออปชันต่างๆ ที่อนุญาตให้ผู้ดูแลระบบแก้ไข เรียกว่า directive ซึ่งแต่ละ directive จะทำหน้าที่ในการกำหนดค่าการทำงานและการแสดงผลต่างๆ ของเว็บเซิร์ฟเวอร์นั้นๆ เช่น กำหนดชื่อเซิร์ฟเวอร์ กำหนดจำนวนผู้เข้าใช้งาน เป็นต้น ผู้ดูแลระบบสามารถปรับแต่งแก้ไขค่าในไฟล์ทั้งสามไฟล์นี้เพื่อให้เว็บเซิร์ฟเวอร์ทำงานตามที่ต้องการ อย่างไรก็ตาม ขอแนะนำให้ผู้ดูแลระบบรวม directive ทั้งหมดที่ใช้ในการกำหนดการทำงานไว้ในไฟล์ httpd.conf เพียงไฟล์เดียวเพื่อความสะดวกในการจัดการแก้ไข และปล่อยให้อีกสองไฟล์ที่เหลือเป็นไฟล์ว่าง

Directive ที่ควรได้รับการพิจารณากำหนดค่าให้เหมาะสม เพื่อเพิ่มความปลอดภัยให้กับโปรแกรม Apache และเครื่องเว็บเซิร์ฟเวอร์ประกอบด้วย

ServerType standalone [standalone | inetd]
ServerType ใช้กำหนดชนิดของเว็บเซิร์ฟเวอร์ที่จะให้บริการว่าจะให้ทำงานด้วยตนเอง หรือทำงานผ่านเดมอนชื่อ inetd (หรือ xinetd)
ข้อดีของการทำงานแบบ standalone คือ หลังจากสั่งให้เว็บเซิร์ฟเวอร์เริ่มทำงาน จะเกิดการสร้างโพรเซสขึ้นมาล่วงหน้ารอรับการขอใช้งาน ทำให้การให้บริการทำได้เร็วและนิยมใช้งานทั่วไป ส่วนที่เหลือของเอกสารฉบับนี้จึงเป็นการอธิบายการทำงานของเครื่องเว็บเซิร์ฟเวอร์แบบ standalone ซึ่งแตกต่างจากแบบ inetd อยู่เล็กน้อย
ส่วนข้อดีของการทำงานแบบ inetd คือ เป็นการประหยัดทรัพยากร เนื่องจากโพรเซสที่รองรับการขอใช้งานจะเกิดขึ้นเมื่อมีการร้องขอการใช้งานเกิดขึ้นจริง เหมาะสำหรับเครื่องที่มีทรัพยากรจำกัดเท่านั้น และไม่นิยมใช้ในกรณีทั่วไป
User nobody [username | #user_id]
เป็นการกำหนดชื่อหรือรหัสผู้ใช้ที่จะกำหนดให้เป็นเจ้าของโพรเซสที่ถูกสร้างขึ้นเพื่อรอรับการขอเข้าใช้งานจากผู้ใช้ภายนอก ดังนั้นผู้ใช้จากภายนอกที่ขอเข้าใช้งานจะได้รับสิทธิ์เป็นผู้ใช้ตามที่กำหนดนี้ด้วย
Group nobody [groupname | #group_ip]
เป็นการกำหนดกลุ่มหรือรหัสของกลุ่มผู้ใช้ที่จะกำหนดให้เป็นเจ้าของโพรเซสที่ถูกสร้างขึ้นเพื่อรอรับการขอเข้าใช้งานจากผู้ใช้ภายนอก ดังนั้นผู้ใช้จากภายนอกที่ขอเข้าใช้งานจะได้รับสิทธิ์ให้อยู่ในกลุ่มตามที่กำหนดนี้ด้วย
การกำหนดชื่อผู้ใช้และกลุ่มของผู้ใช้เกี่ยวข้องกับการสร้างโพรเซสเพื่อรอรับการขอเข้าใช้งาน เนื่องจากโพรเซสของ Apache หรือ http จะถูกสั่งให้เริ่มทำงานโดยผู้ดูแลระบบ (root) หลังจากนั้น โพรเซสดังกล่าวจะสั่งให้สร้างโพรเซสเพิ่มขึ้นอีกตามจำนวนที่กำหนด โพรเซสที่ถูกสร้างขึ้นในภายหลังนี้เองจะมีเจ้าของโพรเซสตามที่กำหนดใน directive ด้านบนและอนุญาตให้ผู้ใช้จากภายนอกเข้ามาใช้งาน ดังนั้น ผู้ที่เข้ามาใช้งานจึงได้สิทธิ์ตามนั้น แสดงได้ตามรูปที่ 2

รูปที่ 2 แสดงการทำงานของโพรเซส Apache (http)

ข้อแนะนำสำหรับการกำหนดชื่อและกลุ่มผู้ใช้สำหรับ directive ทั้งสองข้อด้านบนคือ ผู้ดูแลระบบสามารถกำหนดค่าเป็นผู้ใช้คนใด หรือกลุ่มผู้ใช้กลุ่มใดก็ได้ แต่จะต้องเป็นผู้ใช้และกลุ่มผู้ใช้ที่มีสิทธิ์การใช้งานเครื่องต่ำ และไม่ควรเป็นผู้ใช้หรือกลุ่มผู้ใช้ที่ได้รับสิทธิ์ในการใช้งานไฟล์อื่นๆ นอกเหนือจากไฟล์ที่ต้องการแสดงผลผ่านเว็บ รวมไปถึงจะต้องไม่ได้รับอนุญาตให้แก้ไขเปลี่ยนแปลงไฟล์ใดๆ ในระบบ เนื่องจากผู้ดูแลระบบไม่สามารถตรวจสอบหรือพิสูจน์ตัวตนได้ว่าจะมีการขอเข้าใช้งานเครื่องเว็บเซิร์ฟเวอร์จากที่ใดบ้าง จึงควรให้สิทธิ์การใช้งานแก่ผู้ที่เข้าใช้งานดังกล่าวให้น้อยที่สุดเท่าที่จะเป็นไปได้ และไม่ควรเป็นผู้ใช้และกลุ่มผู้ใช้ที่ถูกสร้างขึ้นเพื่อใช้งานอื่นๆ อีก

CustomLog /usr/local/apache/logs/access_log common [/path_to_apache's_logs_file common | combined]
เป็นการกำหนดไฟล์ที่ใช้เก็บบันทึกล็อกทั้งหมดที่เกิดจากการร้องขอการใช้งานเว็บเซิร์ฟเวอร์จากเครื่องปลายทางแล้วประสบความสำเร็จ โดยค่า common เป็นการระบุรูปแบบการเก็บข้อมูลล็อก
ErrorLog /usr/local/apache/logs/error_log [/path_to_apache's_log_file]
เป็นการกำหนดไฟล์ที่ใช้เก็บบันทึกล็อกทั้งหมดของเหตุการณ์ผิดพลาดที่เกิดจากการร้องขอการใช้งานเว็บเซิร์ฟเวอร์ หรือจากการให้บริการของเว็บเซิร์ฟเวอร์เอง
สิ่งสำคัญที่จะต้องพิจารณาในการเก็บบันทึกล็อกไม่ว่าผู้ดูแลระบบจะเลือกเก็บไฟล์ล็อกทั้งสองไฟล์ข้างต้นไว้ในไดเรกทอรีใดก็ตาม คือ ไฟล์และไดเรกทอรีที่เก็บบันทึกล็อกเหล่านั้นจะต้องถูกเขียนได้โดยโพรเซสเริ่มต้นของโปรแกรม Apache ซึ่งเป็นผู้สร้างการให้บริการเว็บเซิร์ฟเวอร์เท่านั้น ทั้งนี้ เพื่อให้ไฟล์ล็อกที่เก็บได้รับความปลอดภัยจากการเขียนทับโดยผู้ใช้ที่ไม่ได้รับอนุญาต ที่อาจบุกรุกเข้ามาในเครื่องได้สำเร็จ นอกจากนั้น การเก็บรักษาล็อกเหล่านี้ควรเป็นตามนโยบายขององค์กร และมีวิธีการดำเนินการอื่นๆ คล้ายคลึงกับการจัดการกับบันทึกล็อกของระบบ
ServerSignature Off [On | Off | EMail]
โปรแกรม Apache อนุญาตให้ผู้ดูแลระบบใส่ข้อความที่ส่วนท้ายของหน้าจอแสดงผลที่โปรแกรม Apache สร้างขึ้นได้ โดยข้อมูลที่แสดงในส่วนท้ายของหน้าจอนี้ประกอบด้วยชื่อและเวอร์ชันของโปรแกรม Apache ที่ใช้ ชื่อเครื่องที่ใช้เป็นเว็บเซิร์ฟเวอร์และพอร์ตที่เปิดให้ใช้งาน ข้อความดังกล่าวนี้จะถูกแสดงหากผู้ดูแลระบบกำหนดค่าให้ของ directive ดังกล่าวนี้เป็น On ดังรูปที่ 3 ไม่แสดงหากค่าที่กำหนดเป็น Off ดังรูปที่ 4 และแสดงเฉพาะค่าอี-เมล์แอดเดรสของผู้ดูแลระบบหากกำหนดค่าเป็น EMail โดยนำค่าอี-เมล์แอดเดรสมาจาก directive ชื่อ ServerAdmin อย่างไรก็ตาม การปล่อยให้เว็บเซิร์ฟเวอร์แสดงข้อมูลเหล่านี้ออกไป อาจทำให้ผู้ไม่ประสงค์ดีนำข้อมูลที่ได้รับไปใช้ในการหาช่องโหว่เพื่อโจมตีระบบ ผู้ดูแลจึงควรปรับค่าให้เป็น Off

รูปที่ 3 แสดงผลลัพธ์จากการกำหนดค่า ServerSignature On

รูปที่ 4 แสดงผลลัพธ์จากการกำหนดค่า ServerSignature Off

ServerTokens ProductOnly [ProductOnly | Minimal | OS | Full (or not specified)]
โปรแกรม Apache ใช้ directive ชื่อ ServerTokens ทำหน้าที่ในการกำหนดว่าจะอนุญาตให้ส่งข้อมูลที่เกี่ยวข้องกับการให้บริการเว็บเซิร์ฟเวอร์รวมไปกับการส่งข้อความ header ของเซิร์ฟเวอร์เมื่อได้รับการร้องขอหรือไม่ (ผู้ใช้สามารถขอข้อมูล header ของเครื่องเป็นเว็บเซิร์ฟเวอร์ได้โดยการ telnet ไปยังพอร์ต 80 ของเครื่องเว็บเซิร์เวอร์ แล้วพิมพ์ HEAD / HTTP/1.0) หากกำหนดค่าเป็น Full หรือไม่มีการเรียกใช้ directive นี้ ผู้ใช้ที่ขอข้อมูล header จะได้รับข้อมูลทั้งหมด ดังรูปที่ 5 แต่หากกำหนดเป็น Minimal ค่าที่ได้รับจะไม่ระบุชนิดของระบบปฏิบัติการที่ใช้ การที่ผู้ไม่ประสงค์ดีได้รับข้อมูลเหล่านี้ไป ก็สามารถนำไปใช้โจมตีระบบได้เช่นกัน จึงที่แนะนำให้กำหนดค่าเป็น ProductOnly คือให้แสดงเฉพาะชื่อโปรแกรม Apache เท่านั้น ไม่ระบุเวอร์ชันและระบบปฏิบัติการใดๆ เลย ดังรูปที่ 6

รูปที่ 5 แสดงผลลัพธ์จากการกำหนดค่า ServerTokens Full

รูปที่ 6 แสดงผลลัพธ์จากการกำหนดค่า ServerTokens ProductOnly

FancyIndexing Off [On | Off]
FancyIndexing ใช้สำหรับกำหนดการแสดงผลหากผู้ใช้เข้าดูข้อมูลไดเรกทอรีใดไดเรกทอรีหนึ่ง โดยไม่ได้กำหนดว่าจะเปิดไฟล์ใดในไดเรกทอรีนั้น ตามปกติแล้ว หากภายในไดเรกทอรีนั้นมีไฟล์ชื่อเดียวกับที่กำหนดไว้ใน directive ชื่อ DirectoryIndex เช่น ไฟล์ index.html เว็บเซิร์ฟเวอร์จะส่งไฟล์ดังกล่าวไปยังผู้ใช้ ซึ่งในที่นี้ก็คือไฟล์ index.html นั่นเอง อย่างไรก็ตาม บางครั้งไดเรกทอรีที่ผู้ใช้เรียกดูอาจไม่มีไฟล์ที่กำหนดไว้ ในกรณีดังกล่าวนี้ ถ้าผู้ดูแลระบบได้กำหนดค่า FancyIndexing ไว้เป็น Off ค่าที่ส่งไปยังผู้ใช้จะเป็นข้อความว่าผู้ใช้ไม่ได้รับสิทธื์ในการขอดูไดเรกทอรีนั้น แต่ถ้ากำหนดค่าไว้เป็น On ผู้ใช้จะได้รับรายการของไฟล์และไดเรกทอรีทั้งหมดที่อยู่ในไดเรกทอรีที่ขอเข้าดู ดังรูปที่ 7 การกำหนดค่า FancyIndexing เป็น On มีผลเหมือนกับการกำหนดค่า IndexOptions เป็น FancyIndexing

รูปที่ 7 แสดงผลลัพธ์จากการกำหนดค่า FancyIndexing On

DocumentRoot "/usr/local/apache/htdocs" ["/path_to_apache's_public_document"]
ใช้ในการกำหนดค่าให้กับเว็บเซิร์ฟเวอร์ว่าจะใช้ไดเรกทอรีใดเป็นไดเรกทอรีเริ่มต้น (root) ของไฟล์เอกสารทั้งหมดที่จะแสดงผ่านเว็บ ตามปกติจะถูกกำหนดเป็นไดเรกทอรี htdocs ที่อยู่ในไดเรกทอรีที่เลือกติดตั้งโปรแกรม Apache ผู้ดูแลระบบจะต้องกำหนดค่าให้ตรงตามการใช้งาน คือเฉพาะไดเรกทอรีที่เก็บเอกสารที่ต้องการเผยแพร่เท่านั้น เพื่อให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์อื่นๆ ในเครื่องได้ ถึงแม้ว่าผู้ดูแลระบบจะสามารถแก้ไขโดยการตั้งค่าสิทธิ์การใช้งานไฟล์ได้ก็ตาม แต่การกำหนดค่านอกเหนือจากการใช้งาน เช่น กำหนดไว้ที่ไดเรกทอรี / (ไดเรกทอรี root ของระบบ) อาจเกิดความเสี่ยงทำให้ผู้เข้าใช้งานสามารถดูไฟล์ทั้งหมดในเครื่องได้
<Directory />

Options None [All | ExecCGI | FollowSymLinks | Includes | IncludesNOEXEC | Indexes | MultiViews | SymLinksIfOwnerMatch]
AllowOverride None [All | None | AuthConfig | FileInfo | Indexes | Limit | Options]

</Directory>
การกำหนดค่าการเข้าใช้งานแต่ละไดเรกทอรี ทำได้โดยอาศัย directive ดังตัวอย่างด้านบนซึ่งเป็นการกำหนดค่าให้กับไดเรกทอรี / (ไดเรกทอรี root ของระบบ) ซึ่งภายในจะประกอบด้วย directive ย่อยๆ ที่กำหนดการใช้งานที่สำคัญได้แก่

Options ใช้ควบคุมรูปแบบการเปิดให้ใช้งานไดเรกทอรีนั้นๆ ผ่านเว็บเซิร์ฟเวอร์ ซึ่งสามารถตั้งค่าได้หลากหลายตามที่ต้องการ ข้อแนะนำคือผู้ดูแลระบบจะต้องพิจารณาก่อนว่าไดเรกทอรีดังกล่าวจะต้องเปิดให้ใช้รูปแบบการทำงานพิเศษใดๆ หรือไม่ เช่น ต้องการให้ใช้ CGI หรือไม่ เป็นต้น แล้วเลือกกำหนดค่าให้เหมาะสม ไม่ควรเปิดให้ใช้งานเกินความจำเป็น ดังตัวอย่างด้านบน เนื่องจากไดเรกทอรี / เป็นไดเรกทอรีที่ไม่ต้องการให้ใช้งาน จึงไม่ต้องการให้นำเอารูปแบบพิเศษใดๆ มาใช้ ผู้ดูแลระบบควรกำหนดค่าเป็น None
AllowOverride เป็นการกำหนดให้ใช้การตรวจสอบตัวตนผู้ที่ต้องการเข้าใช้งานโดยการเปรียบเทียบจากไฟล์ .htaccess แทนการใช้ค่าที่กำหนดในไฟล์ configuration ปกติ (รายละเอียดเกี่ยวกับวิธีการตรวจสอบตัวตนผู้ใช้งานของโปรแกรม Apache ได้แสดงไว้ด้านล่าง) หากไม่จำเป็นต้องใช้งานให้กำหนดค่าเป็น None ดังตัวอย่างด้านบน ซึ่งจะช่วยให้เซิร์ฟเวอร์ทำงานได้เร็วขึ้น เพราะจะช่วยลดเวลาในการตรวจสอบค่าจากไฟล์ดังกล่าวทุกๆ ครั้งที่เกิดการร้องขอเข้าใช้งาน

<Directory "/usr/local/apache/htdocs" ["/path_to_apache's_public_document"] >

Options MultiViews [All | ExecCGI | FollowSymLinks | Includes | IncludesNOEXEC | Indexes | MultiViews | SymLinksIfOwnerMatch]
AllowOverride Limit [All | None | AuthConfig | FileInfo | Indexes | Limit | Options]
Order allow, deny
Allow from All

</Directory>
สำหรับการกำหนดค่าการเข้าใช้งานให้กับไดเรกทอรีที่ถูกกำหนดให้เป็น DocumentRoot ของเว็บเซิร์ฟเวอร์ ซึ่งในที่นี้คือ /usr/local/apache/htdocs ผู้ดูแลระบบควรกำหนดค่า directive ย่อยๆ ที่กำหนดการทำงานภายในดังนี้
- กำหนดค่า Options เป็น MultiViews ซึ่งการรับ-ส่งข้อมูลจะทำงานตามภาษาของเอกสารฉบับนั้น เป็นการจำกัดขอบเขตการใช้งานเว็บเซิร์ฟเวอร์
- AllowOverride ถูกกำหนดค่าเป็น Limit คือให้ใช้วิธีการตรวจสอบตัวตนผู้ที่ต้องการเข้าใช้งานโดยการตรวจสอบจาก directive สามอันคือ Order, Allow และ Deny (รายละเอียดเกี่ยวกับวิธีการตรวจสอบตัวตนผู้ใช้งานของโปรแกรม Apache ได้แสดงไว้ด้านล่าง)
- Order ใช้กำหนดลำดับความสำคัญของการอนุญาตหรือไม่อนุญาตให้เครื่องคอมพิวเตอร์ของผู้ใช้เข้าใช้งานไดเรกทอรีที่กำหนดของเครื่องเว็บเซิร์ฟเวอร์ หากเครื่องคอมพิวเตอร์ของผู้ใช้ดังกล่าวมีค่าตรงกับทั้งรายการเครื่องที่อนุญาตและไม่อนุญาตให้เข้าใช้งาน
- Allow from เป็นการกำหนดว่าจะให้เครื่องคอมพิวเตอร์เครื่องใดเข้าใช้งานไดเรกทอรีที่กำหนดบ้าง หากต้องการให้ทุกเครื่องเข้าได้ให้กำหนดค่าเป็น All ดังตัวอย่าง

วิธีการตรวจสอบตัวตนผู้ขอเข้าใช้งานเว็บเซิร์ฟเวอร์

โปรแกรม Apache ได้เพิ่มส่วนของการตรวจสอบตัวตนผู้ที่ขอเข้าใช้งานเว็บเซิร์ฟเวอร์ หรือไดเรกทอรีใดๆ ในเครื่องเว็บเซิร์ฟเวอร์ให้ผู้ดูแลระบบเลือกใช้งานได้ 2 วิธี เพื่อให้ผู้ดูแลระบบสามารถกำหนดได้ว่า จะให้ผู้ใช้คนใดหรือผู้ใช้งานจากที่ใดเข้าใช้งานไดเรกทอรีใดในเครื่องได้บ้าง มีรายละเอียดดังต่อไปนี้

Host-based authentication เป็นวิธีการตรวจสอบตัวตนผู้ขอเข้าใช้งานโดยพิจารณาจากเครื่องที่ขอเข้าใช้งานว่าอยู่ในรายการที่อนุญาตหรือรายการที่ไม่อนุญาตให้เข้าใช้งาน หากเครื่องดังกล่าวอยู่ในรายการที่อนุญาตให้เข้าใช้งาน ผู้ขอเข้าใช้ก็จะสามารถใช้งานได้ตามปกติ หรือหากเครื่องดังกล่าว อยู่ในรายการที่ไม่อนุญาตให้เข้าใช้งาน ผู้ขอเข้าใช้ก็จะได้รับข้อความว่าตนเองไม่ได้รับสิทธิ์ในการเข้าใช้งานไดเรกทอรีดังกล่าว
ตัวอย่างการใช้งาน

<Directory "/usr/local/apache/htdocs/staff">

Order deny, allow
Deny from All
Allow from .nectec.or.th

</Directive>

การกำหนดค่าด้วยวิธี Host-based Authentication ทำได้โดยการใช้ directive สามอันคือ Order, Deny และ Allow กำหนดไว้ภายในไดเรกทอรีที่ต้องการให้มีการตรวจสอบตัวตนผู้ใช้เพื่อจำกัดการเข้าใช้งาน เช่น ถ้ามีไดเรกทอรีชื่อ staff อยู่ภายในไดเรกทอรี /usr/local/apache/htdocs ซึ่งต้องการให้เฉพาะเครื่องที่อยู่ในโดเมน nectec.or.th เข้าใช้งานได้เท่านั้น ผู้ดูแลระบบจะต้องกำหนดค่าไว้ใน directive ของไดเรกทอรี /usr/local/apache/htdocs/staff ดังตัวอย่างด้านบน

Order เป็นการกำหนดว่าจะพิจารณาจากรายการใดก่อน ในที่นี้กำหนดค่าเป็น deny, allow หมายถึง จะตรวจสอบค่าจาก directive ชื่อ Deny from ซึ่งเป็นรายการของเครื่องที่ไม่อนุญาตให้เข้าใช้งาน ก่อนที่จะตรวจสอบค่าจาก directive ชื่อ Allow from ซึ่งเป็นรายการของเครื่องที่ได้รับอนุญาตให้เข้าใช้งาน โดยที่หากมีรายชื่อเครื่องใดอยู่ในทั้งสองรายการ จะพิจารณาให้ใช้งานตามรายการที่ตรวจสอบทีหลัง (คือให้ความสำคัญกับรายการที่ตรวจสอบทีหลังมากกว่า)
Deny from เป็นการกำหนดรายการของเครื่องที่ไม่อนุญาตให้เข้าใช้งาน สามารถกำหนดได้โดยใช้ IP address วงเน็ตเวิร์ค ชื่อเครื่อง ชื่อโดเมนหรือกำหนดเป็น All ก็ได้ การกำหนดเป็น All หมายถึงไม่อนุญาตให้เครื่องใดๆ เข้าใช้งานเลย
Allow from เป็นการกำหนดรายการของเครื่องที่ได้รับอนุญาตให้เข้าใช้งาน สามารถกำหนดได้โดยใช้ IP address วงเน็ตเวิร์ค ชื่อเครื่อง ชื่อโดเมนหรือกำหนดเป็น All ก็ได้ ในที่นี้กำหนดเป็น .nectec.or.th หมายถึงให้เครื่องทุกเครื่องในโดเมน nectec.or.th เข้าใช้งานได้

HTTP-specified basic authentication เป็นวิธีการตรวจสอบตัวตนผู้ใช้โดยกำหนดให้ผู้ใช้ใส่ค่า username หรือชื่อกลุ่มและใส่รหัสผ่านก่อนที่จะเข้าใช้งานไดเรกทอรีที่ต้องการ นั่นคือ ก่อนที่ผู้ใช้จะเข้าใช้งานไดเรกทอรีนั้นๆ ได้จะปรากฎหน้าต่างให้ผู้ใช้ใส่ค่า username และรหัสผ่านก่อน ดังรูปที่ 8 ถ้าถูกต้องจึงจะให้เข้าใช้งาน การทำงานดังกล่าวนี้อาศัยเครื่องมือของโปรแกรม Apache ที่ชื่อ htpasswd

รูปที่ 8 แสดงหน้าต่างที่กำหนดให้ผู้ขอใช้งานใส่ค่า username และรหัสผ่าน เป็นผลมาจากใช้งาน HTTP-specified basic Authentication

ตัวอย่างการใช้งาน
หากผู้ดูแลระบบต้องการจำกัดการใช้งานไดเรกทอรี /usr/local/apache/htdocs/staff โดยกำหนดให้ผู้ต้องการใช้งานทุกคนต้องใส่ค่า userrname และรหัสผ่าน เพื่อตรวจสอบว่าผู้ใช้คนดังกล่าวได้รับสิทธิ์ในการเข้าใช้งาน ดังรูปที่ 7 ด้านบน ผู้ดูแลระบบจะต้องดำเนินการดังนี้

สร้างไฟล์เก็บ username และรหัสผ่าน เพื่อใช้เปรียบเทียบในการตรวจสอบตัวตนผู้ใช้โดยเรียกใช้งานคำสั่ง htpasswd คือ
# htpasswd -c /usr/local/apache/secrets/.htpasswd staff
โปรแกรมจะกำหนดให้ใส่รหัสผ่านสำหรับ username ชื่อ staff และให้ยืนยันรหัสผ่าน

คำสั่ง htpasswd นั้น เป็นคำสั่งที่ได้รับการติดตั้งพร้อมกันกับการติดตั้งโปรแกรม Apache อยู่ในไดเรกทอรี /path_to_apache/bin

ออปชัน -c เป็นการสั่งให้สร้างไฟล์ .htpasswd หากต้องการเพิ่ม username อื่นในไฟล์นี้ก็ไม่จำเป็นต้องใช้ออปชันนี้อีก

/usr/local/apache/secrets/.htpasswd เป็นชื่อไฟล์ที่จะเก็บชื่อผู้ใช้และรหัสผ่าน โดยรหัสผ่านที่กำหนดจะถูกเข้ารหัสไว้อย่างง่าย ดังนั้นไฟล์ที่เก็บค่าจึงควรเก็บในไดเรกทอรีที่ไม่สามารถเข้าถึงได้จากภายนอก และการตั้งชื่อไฟล์เป็น .htpasswd ก็เพื่อซ่อนไฟล์ด้วยเหตุผลของความปลอดภัยเช่นเดียวกัน

staff คือชื่อ username ที่ต้องการใช้งาน

สร้างไฟล์ชื่อ .htaccess ในไดเรกทอรีที่ต้องการจำกัดการเข้าถึง ภายในไฟล์ประกอบด้วย directive ดังต่อไปนี้

AuthName "Staffs Only"
AuthType Basic
AuthUserFile /usr/local/apache/secrets/.htpasswd
Require user staff

รายละเอียดของ directive ที่ใช้งานอธิบายได้ดังนี้

AuthName เป็นชื่อที่ของการตรวจสอบตัวตนผู้ใช้ที่ปรากฏบนหน้าต่างที่กำหนดให้ผู้ใช้ใส่ username และรหัสผ่าน ในที่นี้คือ "Staffs Only" ดังรูปที่ 8 ด้านบน

AuthType คือวิธีการในการตรวจสอบ สำหรับโปรแกรม Apache ที่ใช้งานในปัจจุบันมีวิธีเพียงวิธีเดียวคือ Basic เท่านั้น

AuthUserFile ใช้กำหนดไฟล์ที่เก็บ username และรหัสผ่านที่ใช้ในการตรวจสอบตัวตนผู้ใช้ ในที่นี้คือไฟล์ /usr/local/apache/secrets/.htpasswd ตามที่ได้สร้างไว้ในขั้นตอนที่ผ่านมา

Require เป็นการชี้เฉพาะว่าจะให้ username หรือกลุ่มใดบ้างที่จะได้รับสิทธิ์ในการเข้าใช้งานไดเรกทอรีนั้น ในที่นี้คือให้เฉพาะ username ที่ชื่อ staff เท่านั้น ซึ่งเป็นวิธีการอย่างง่าย"

ซึ่งการที่จะกำหนดให้โปรแกรม Apache อ่านไฟล์ .htaccess ที่สร้างขึ้นนี้จำเป็นจะต้องแก้ไขค่า directive ชื่อ AllowOverride ที่อยู่ภายในไดเรกทอรีที่ต้องการให้เป็น All ด้วย

แก้ไขสิทธิ์การใช้งานไฟล์ให้เฉพาะผู้ดูแลระบบและโปรแกรม Apache เท่านั้นที่อ่านไฟล์ได้

ทดสอบ

เจ้าของและสิทธิ์การเข้าใช้งานไฟล์ที่เกี่ยวข้องกับโปรแกรม Apache

การสร้างความปลอดภัยให้กับโปรแกรม Apache นั้น นอกจากการทำให้เครื่องไม่ถูกบุกรุกหรือโจมตีจากภายนอกแล้ว อีกสิ่งหนึ่งที่จำเป็นมากก็คือ ผู้ดูแลระบบต้องจัดการให้ผู้เข้าใช้งานเข้าถึง อ่าน แก้ไขและใช้งานข้อมูลได้เฉพาะส่วนที่ผู้ดูแลต้องการเท่านั้น ผู้ใช้จะต้องไม่สามารถเข้าถึงไฟล์อื่นๆ ที่สำคัญต่อการทำงานของเครื่อง ได้แก่ ไฟล์ configuration ต่างๆ ไฟล์รหัสผ่าน เป็นต้น วิธีการหนึ่งที่จะจำกัดการเข้าถึงเหล่านี้ได้นอกเหนือจากการใช้การตรวจสอบตัวตนผู้ใช้ตามที่ได้อธิบายไว้ในหัวข้อที่ผ่านมาก็คือ การกำหนดเจ้าของและสิทธิ์การเข้าใช้งานไฟล์ที่เกี่ยวข้องกับโปรแกรม Apache ทั้งหมด รายละเอียดในส่วนนี้จะเป็นการให้คำแนะนำเกี่ยวกับการกำหนดค่าที่เหมาะสม เพื่อให้ผู้ดูแลระบบนำไปประยุกต์ใช้งานกับระบบของตนเอง

ภายในไดเรกทอรี Apache ประกอบด้วยไดเรกทอรีย่อยที่สำคัญทั้งหมด ไดเรกทอรี คือ

/ คือไดเรกทอรีที่ติดตั้งโปรแกรม Apache เช่น /usr/local/apache ทั้งหมด
bin (/path_to_apache/bin) คือไดเรกทอรีเก็บไฟล์คำสั่งที่เกี่ยวข้องกับโปรแกรม apache เช่น apachectl, apxs, htpasswd, httpd และ suexec เป็นต้น
cgi-bin (/path_to_apache/cgi-bin) คือไดเรกทอรีที่เก็บสคริปต์ CGI ต่างๆ ที่ต้องการใช้งานผ่านเว็บเซิร์ฟเวอร์
conf (/path_to_apache/conf) คือไดเรกทอรีที่เก็บไฟล์ configuration ซึ่งกำหนดค่าการทำงานของโปรแกรม Apache
htdocs (/path_to_apache/htdocs) คือไดเรกทอรีที่เก็บไฟล์เอกสารทั้งหมดที่ต้องการใช้งานผ่านเว็บเซิร์ฟเวอร์
logs (/path_to_apache/logs) คือไดเรกทอรีที่เก็บไฟล์บันทึกล็อกที่เกิดจากการใช้งานโปรแกรม Apache

ผู้ดูแลระบบควรปรับแก้ชื่อเจ้าของไฟล์และไดเรกทอรีที่เกี่ยวข้อง รวมถึงสิทธิ์การเข้าใช้งานโปรแกรม Apache ดังนี้

/usr/local/

drwxr-xr-x

root

4096

Jul

15:35

apache/

/usr/local/apache/

drwx------	2	root	root	4096	Jul	9	10:50	bin/
drwx--x--x	2	root	root	4096	Jul	9	10:50	cgi-bin/
drwx------	2	root	root	4096	Jul	9	10:50	conf/
drwxr-xr-x	4	webmaster	webmaster	4096	Jul	10	15:38	htdocs/
drwx------	2	root	root	4096	Jul	10	16:47	logs/

ข้อควรระวังอื่นๆ ในการใช้งานโปรแกรม Apache

นอกเหนือจากคำแนะนำข้างต้นแล้ว ยังมีรายละเอียดปลีกย่อยที่ผู้ดูแลระบบควรจะพิจารณาในการติดตั้งและใช้งานโปรแกรม Apache ดังต่อไปนี้

ตัวโปรแกรม Apache ที่จะนำมาติดตั้งในเครื่องจะต้องนำมาจาก หรือดาวน์โหลดจากแหล่งที่เชื่อถือได้ว่าปราศจาก Trojan และ Backdoor ต่างๆ ที่อาจแอบแฝงมากับโปรแกรม ผู้ดูแลระบบจะต้องตรวจสอบความถูกต้องของไฟล์ทุกครั้งก่อนที่จะติดตั้ง โดยเปรียบเทียบจากไฟล์ที่ได้มาจากเว็บไซต์อย่างเป็นทางการของโปรแกรม Apache คือ http://httpd.apache.org
กำหนดนโยบายการใช้งาน สิทธิ์ของผู้ดูแลระบบ และข้อจำกัดของการนำเอาเอกสารหรือสคริปต์ใดๆ ขึ้นใช้งานที่เว็บเซิร์ฟเวอร์
จำกัดสิทธิ์ของผู้ใช้ที่จะเข้าใช้งานผ่านเว็บบราวเซอร์ โดยกำหนดให้ได้รับสิทธิ์ต่ำสุดในการใช้งานเครื่อง และไม่นำชื่อผู้ใช้ดังกล่าวนี้ไปใช้งานกับโปรแกรมอื่นๆ
ยกเลิกการใช้งานค่าดีฟอลต์ ผู้ดูแลระบบควรจะยกเลิกการให้บริการที่ไม่จำเป็นทั้งหมด และเปิดให้ใช้เฉพาะบริการที่จำเป็นเท่านั้น
ลดความเสี่ยงจากการใช้งานสคริปต์ CGI ที่เกี่ยวข้อง ได้แก่ การจำกัดสิทธิ์การใช้งาน CGI โดยการใช้ suexec จำกัดประเภทของไฟล์ที่จะใช้งานเป็นสคริปต์ และตรวจสอบการทำงานของสคริปต์ทุกครั้งก่อนที่จะเปิดให้ใช้สคริปต์ใดๆ บนเครื่องเว็บเซิร์ฟเวอร์
นำ SSL (Secure Sockets Layer) มาใช้เพื่อเพิ่มความปลอดภัย หากต้องการดำเนินธุรกรรมใดๆ ผ่านเว็บเซิร์ฟเวอร์
ทำการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ เนื่องจากเครื่องที่เปิดให้บริการเป็นเว็บเซิร์ฟเวอร์เป็นเครื่องที่มีผู้เข้าใช้งานที่หลากหลาย มีความเสี่ยงที่จะถูกโจมตีได้ง่าย
ติดตาม และตรวจสอบช่องโหว่ของโปรแกรม Apache อยู่ตลอดเวลา โดยเฉพาะอย่างยิ่ง สำหรับผู้ใช้ที่ติดตั้งโปรแกรม Apache โดยการคอมไพล์โปรแกรมจากไฟล์ต้นฉบับเอง เนื่องจากการใช้งานสคริปต์ up2date ของระบบปฏิบัติการ Red Hat Linux จะทำการอัพเดตให้เฉพาะโปรแกรมที่เลือกติดตั้งพร้อมกันการติดตั้งระบบปฏิบัติการ และโปรแกรมที่ติดตั้งโดยอาศัยแพ็คเกจชนิด RPM เท่านั้น ไม่ครอบคลุมถึงการอัพเดตโปรแกรม Apache ที่ผู้ดูแลระบบติดตั้งด้วยตนเอง