httpd.conf文件配置詳解
Apache的基本設置主要交由httpd.conf來設定管理,我們要修改Apache的相關設定,主要還是通過修改httpd.cong來實現。下面讓我們來看看httpd.conf的內容,它主要分成3大部分:
Section 1:Global Environment
Section 2:'Main' server configuration
Section 3:Virtual Hosts
【第一部分】
·ServerType standalone
這表示Apache是以standalone啓動,也可以是inetd。所謂standalone是指啓動一次來接聽所有的連線;而inetd是接到http的連線要求才啓動,隨着連線的結束而結束,這樣負擔是不是很但呢?所以一般都是以standalone啓動。
·ServerRoot "/usr/local/httpd"
此爲apache的目錄
·#LocdFile /use/local/httpd/logs/httpd.lock
保留預設值,不更動
·PidFile /usr/local/httpd/logs/httpd.pid
此文件記錄着apache的父處理程序id
·ScoreBoardFile /usr/local/httpd/logs/httpd.scoreboard
此文件存儲處理程序的信息
·#ResourceConfig conf/srm.conf
·#AccessConfig conf/access.conf
由於我們統籌由httpd.conf來管理,所以這兩個文件預設是註解起來的,可以保留預設值不更動
·Timeout 300
設盯超時的時間。如果用戶端超過300秒還沒連上server,或server超過300秒還沒傳送信息給用戶端,即斷線。
·KeepAlive On
允許用戶端的連線有多個請求,設爲Off表示不允許
·MaxKeepAliveRequests 100
每次連線最大的請求樹木,數字愈大,效能愈好。0表示不限制
·MinSpareServer 5
·MaxSpareServers 10
MinSpareServer 5表示最少會有5個閒置的處理程序,如果實際的數目少於此數目,則會增加處理程序。MaxSpareServers 10表示最大的閒置處理程序數目,如果你的網站需求量很大,可以將此數目設大一些,大不要隨便將此數目設得太大。
·StartServers 5
啓動時Server的數目
MaxClients 150
限制同時間最大的連線數目,當然不能設得太小,一旦達到此數目,就無法再增加用戶端
·MaxRequestPerChild 0
限制子處理程序結果前的要求數目,0表示不限制
·#Listen 3000
·#Listen 12.34.56.78:80
使用其它的連接端口或IP
·BindAddress *
可以接聽*(所有IP地址)、指定的IP地址或是完整的域名
·#LoadModule foo_module libexec/mod_foo.so
使用DSO模塊
·#ExtendedStatus On
可檢閱apache的狀態信息,預設是Off(註解起來)
【第二部分】
如果之前的ServerType是inetd,請直接跳到ServerAdmin。
·Port 80
Standalone服務器接聽的連接端口,當然也可以是其他小於1023的端口號
·User nobody
·Group nobody
執行httpd的用戶和羣組
·ServerAdmin 管理員的電子郵件地址
這是管理員的電子郵件地址,如果apache有問題的話,會寄信通知管理員,當然你也可以建立一個專門負責web的帳號來收信
·ServerName 你的主機名稱
此爲主機名稱,如果沒有域名,也可以用IP
·DocumentRoot "usr/local/httpd/htdocs"
此目錄爲apache放置網頁的地方,裏面的index.html即爲連到此主機的預設首頁
·
Options FollowSymLinks
AllowOverride none
此目錄設定用戶放置網頁的目錄(public_html)的執行動作。詳細的目錄存取方法會在後面說明
·
Options Indexes FolloeSymLinks
AllowOverride None
Order allow,deny
Allow from all
此目錄設定apache的網頁目錄(htdocs)的執行動作
·UserDir public_html
用戶可在自己的目錄下建立public_html目錄來放置網頁,輸入http://主機地址/~用戶名稱即可連接到...勞撤胖玫牡胤?/a>
·DirectoryIndex index.html
這裏設定預設主頁的名稱
·AccessFileName .htaccess
這個是控制存取的文件名稱,一般採用預設的.htaccess名稱,後面會說明htaccess的使用方法
·
Order allow,deny
Deny from all
這用來防止其他人看到.ht開頭的文件內容,不僅是保護.htaccess的內容,還保護.htpasswd的內容。當然也可以直接寫成。如果你有更改AccessFilename,例如將.htaccess改成.accessht,請記得也要在此做相關的更改,如此才能防止其他人看到哦
·#CacheNegotiatedDocs
註解起來是告訴Proxy不要將互動產生的文件存入cache,如果拿掉#,則會存在cache中
·UseCanonicalName On
使用標準的名稱,預設是On。假設有一個web server的全名是www.sample.com,一般稱爲www;如果us...羑ttp://www/abc
·TypeConfig /usr/local/httpd/conf/mime.types
指定存放MIME文件類型的文件。你可以自行編輯mime.types文件。
·DefaultType text/plain
當server不認得此文件類型時的預設格式,此設定是當成一般文字
·
MIMEMagicFile /usr/local/httpd/conf/magic
mod_mime_magic模塊可使server由文件內容決定其MIME類型。如果有載入mod_mime_magic模塊,纔會處理MIMEMagicFile這一段。如果是…,則表示如果沒有載入該模塊,纔會處理這一段
·HostLookups Off
如果爲On,則每次都會向name server解析該IP,記錄此連線的名稱(例如www.apache.org)自換岷牟簧偈奔洌...爲Off,僅記錄IP
·ErrorLog /usr/local/httpd/logs/error_log
指定發生錯誤的記錄文件(error_log)位置。如果在沒有指定發生錯誤的記錄文件,則會沿用此文件
·LogLevel warn
記錄分成很多等級,在此是warn。各等級如下: 等級 說明
debug debug信息
info 普通信息
notice 重要信息
warn 警告信息
error 發生錯誤
crit 緊急情況
alert 馬上要處理的情況
amerg 系統快要死了
·LogFormat "%h %l %u %t/"%r/"%>s %b/"{Referer}i/"/"${UserAgent}i/""combined
LogFormat "%h %l %u %t"%r/"%>s %b"commom
LogFormat "%{Referer}i->%U"referer
LogFormat "%{User-agent}i"agent
自定四種記錄格式:combined、common、referer、agent
·CustomLog /usr/local/httpd/logs/access_log common
存取的記錄文件(access_log)使用自定的common格式
·#CustomLog /usr/local/httpd/logs/referer_log referer
#CustomLog /usr/local/httpd/logs/agent_log agent
#CustomLog /usr/local/httpd/logs/agent_log combined
這三個記錄文件也是使用自定義格式(分別是referer、agent、combined),不過註解起來表示未使用這三個文件
·ServerSignature On
設爲On時,在server所產生的網頁(像是錯誤發生時)上,會有apache的版本、主機、連接端口的一行信息;如果設爲Email,則會有mailto:給管理員的超鏈接
·Alias /icons/ "/usr/local/httpd/icons/"
使用較短的別名,其格式爲:Alias 別名 原名。
·ScriptAlias /cgi-bin/ "/usr/local/httpd/cgi-bin/"
和Alias一樣,只是這是設定server script的目錄
·IndexOptions FancyIndexing
顯示好看的文件清單(配合下面各文件所對應的圖形)
·AddIconByEncoding(CMP,/icons/compressed.gif)x-conpress x-gzip
·AddIcon /icons/blank.gif^^BLANKICON^^DefaultIcon/icons/unknow.gif
這些是在顯示文件清單(之前所說的FancyIndex)時,各種文件類型的對應圖形。例如.ps .si .eps這三種文件的表示圖形都是a.gif
·#AddDescription "GZIP conpressed document" .gz
#AddDescription "tar archive" .tar
#AddDescription "GZIP compressed tar archive" .tgz
這些是在顯示文件清單時,在文件後面附上說明,其格式爲:
AddDescription "說明" 文件名
例如:AddDescription "It is private txt" my.txt
·ReadmeName README
顯示文件清單時,在最下面顯示README的文件內容
設置CGI腳本/將httpd.conf做爲唯一的配置文件/用戶授權和訪問控制等
關於Apache的配置及使用,在LinuxAid中已經有不少文章做了詳細的闡述,本文討論了在使用Apache時,有關配置文件的使用及對文件的訪問控制等內容,算是對Apache的使用所做的一些補充吧!
如果您對Apache有一定的瞭解,特別是對幾個配置文件有一定的瞭解,這將會有助於您對本文內容的理解;如果恰巧您不是很瞭解這幾個配置文件的使用,那麼就藉着這個機會來一起熟悉一下吧。
一、關於CGI執行腳本的配置
這裏有兩種設置CGI腳本的方法。第一、CGI的腳本文件以.cgi爲擴展名;第二、設置腳本可執行目錄。但是這兩種方法都需要將要執行的文件設置爲711,纔可以被執行。
第一種方法,我們需要在access.conf文件種將你要發行的目錄設置爲Option ExecCGI All,在srm.conf資源配置文件中,加上下列一句:
AddHandle cgi-script .cgi
這樣在所有的目錄種只要你的文件是.cgi爲擴展名的,且文件訪問權限爲711的,無論給文件在你發行目錄的任何一個地方都可以做爲CGI被Apache服務器調用。這種方法一般沒有第二種方法安全。
第二種方法,是將一個目錄作爲一個可執行目錄,將所有的cgi文件都放在其中,這裏就不一定非得是以.cgi爲擴展名得文件可以執行,而是只要有711屬性的文件就可以被執行,而且其它的非可執行文件都被禁止訪問。我們的默認配置文件種就有一個很好的例子:
access.conf:
<Directory /home/httpd/cgi-bin/>
Allow Override None
Options ExecCGI
</Directory>
srm.conf
ScriptAlias /cgi-bin/ /home/httpd/cgi-bin/
這樣只要在/home/httpd/cgi-bin/目錄中的可執行文件都可以被Web服務器調用,而其它的非可執行文件將被拒絕訪問。
二、配置用戶的發行目錄
這裏有兩種設置方法:
第一種是系統的默認方法,即用戶目錄下的public_html目錄爲用戶的發行目錄,且默認的主頁文件爲index.html,且該目錄不支持CGI。
第二種是在其它目錄種專門爲用戶設置發佈目錄,如我想在/home/html目錄做爲用戶的web目錄,那管理員就應該在該目錄下爲每一個用戶設置一個子目錄,如:/home/html/user01、/home/html/user02等。那麼,你的srm.conf文件中的UserDir後面就不能再是public_html了,應該改爲:UserDir /home/html/*/,注意這裏的“*”代表anyone,當你再瀏覽器中請求一個如http://www.domain/~user01時,Apache...ndex.html文件。
這種設置不需要到access.conf中設置該目錄的訪問屬性,還有,當我們設置虛擬主機時也不用設置目錄的訪問屬性,但是如果你想讓某個目錄具有CGI權限,都要到Access.conf文件中去配置目錄的訪問權限,如:你想讓你的所有用戶在他們的發佈目錄中具有CGI訪問權,則需要在你的access.conf中這樣設置:
<Directory /home/html/*/cgi-bin/>
Allow Override None
Options ExecCGI
</Dirctory>
注意這裏設置用戶目錄中的cgi-bin子目錄爲cgi執行目錄,這是一種安全的設置,而且也是一種UNIX的習慣。
三、如何將Apache服務器設置爲inetd的子服務
當你安裝了Apache後,默認設置爲standalone方式運行,如果你想將它設置爲inetd的子服務,首先在每次激活Linux時不激活httpd,然後編輯/etc/inetd.conf,在其中加入下列語句:http stream tcp nowait root /usr/sbin/httpd httpd
然後重新激活inetd服務器。這樣你用ps -aux命令查看進程運行情況時,你不會發現httpd的進程的存在,但是一旦有客戶請求一個頁面時,inetd就激活一個httpd進程爲該請求服務,之後就自動釋放,這種運行方式有助於節省系統資源,但是如果你的web服務很重要,一般不建議設置爲這種方式運行。
四、將httpd.conf做爲唯一的配置文件
在Apache中給用戶提供了三個配置文件: srm.conf、 access.conf 和 httpd.conf files。實際上這三個文件是平等的,所有的配置都可以放在一個單獨的httpd.conf文件中,事實上在Apache 1.3.2中就已經這樣做了,在httpd.conf中應包括以下兩條指令來防止Apache對srm.conf和access.conf兩個配置文件的訪問:
AccessConfig /dev/null
ResourceConfig /dev/null
在apache1.3.2中只要註釋掉以下這兩行即可:
AccessConfig conf/access.conf
ResourceConfig conf/srm.conf
五、用戶授權和訪問控制
你也許在訪問某些網站時會遇到過這樣的情況,當你點擊某個連接時,你的瀏覽器會彈出一個身份驗證的對話框,要求輸入賬號及密碼,如果沒有,就無法繼續瀏覽了。有人會以爲這是用CGI做出來的,其實不然,這是WWW服務器的用戶授權和訪問控制機制在發揮作用。
你是否還記得在設置Apache服務環境的過程中,有<Directory>……..<./Directory>這個指令,可以對不同的目錄提供不同的保護。但是這樣的設定,需要重新啓動服務器纔會生效,靈活性較差,通過AccessFile指令指定訪問控制文件的方式則比較靈活,在Apache服務器中設置用戶的訪問控制權限步驟如下:
1、首先對httpd.conf文件進行設置如下:
<Directory /home/httpd/html>
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Options Includes FollowSymLinks Indexes
AllowOverride All //*注意AllowOverride 一定要設置爲All,這樣後面的.htaccess文件纔會起作用
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
# <Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
# Order deny,allow
# Deny from all
# </Limit>
</Directory>
#指定配置存取控制權限的文件名稱
AccessFileName .htaccess
2、創建.htaccess文件內容
要控制某目錄的訪問權限必須建立一訪問控制文件,文件名前面指定的“.htaccess”,其內容格式如下:
AuthUserFile 用戶帳號密碼文件名
AuthGroupFile 羣組帳號密碼文件名
AuthName 畫面提示文字
AuthType 驗證方式
<Limit GET>
密碼驗證方式
</Limit>
用戶驗證方式AuthType目前提供了Basic和Digest兩種。
密碼檢驗設定方法與httpd.conf中的相關設定相同。
具體例子如下:
AuthUserFile /etc/secure.user
AuthName 安全認證中心
AuthType Basic
<Limit GET>
require valid-user
</Limit>
3、建立用戶密碼文件
如果你是第一次創建用戶密碼,命令格式如下:
htpasswd -c 密碼文件名 用戶名稱
在上面的例子中,我們將用戶密碼文件放到了/etc/secure.user文件中,所以這裏應按照如下進行操作:
htpasswd -c /etc/secure.user sword
程序會提示你輸入兩次用戶的口令,然後用戶密碼文件就已經創建sword這個用戶也添加完畢了。
如果要向密碼文件中添加新的用戶,按照如下命令格式進行操作:
htpasswd 密碼文件 用戶名稱
這樣,重新啓動httpd後,進行該WEB目錄時就會有一個對話框彈出,要求輸入用戶名及用戶口令了。
4、如何減少訪問控制對Apache性能的影響
頻繁的使用訪問控制會對Apache的性能產生較大的影響,那麼,如何才能減少這種影響呢?最簡單也是最有效的方法之一就是減少.htaccess文件的數目,這樣可以避免Apache對每一個請求都要按照.htaccess文件的內容進行授權檢查。它不僅在當前的目錄中查找.htaccess文件,它還會在當前目錄的父目錄中查找。
/
/usr
/usr/local
/usr/local/etc
/usr/local/etc/httpd
/usr/local/etc/httpd/htdocs
/usr/local/etc/httpd/htdocs/docs
通常在根目錄下沒有htaccess文件,但Apache仍然會進行例行檢查以確定該文件確實不存在。這是影響很影響服務器工作效率的事情。下面的方法可以消除這個討厭的過程:將AllowOverride選設置爲None,這樣Apache就會檢查.htaccess文件了。將/根目錄的AllowOverride選項設爲None,只將需要進行訪問控制的目錄下的AllowOverride選項設置爲all,如下面的例子中將/根目錄的AllowOverride 選項關閉了,只打開了/usr/local/etc/httpd/htdocs目錄下的AllowOerride選項,這樣,系統就只在/usr/local/etc/httpd/htdocs中檢查.htaccess文件,達到的提高服務效率的目的。
<Directory />
AllowOverride None
</Directory>
<Directory /usr/local/etc/httpd/htdocs>
AllowOverride All
</Directory>
如果除了根目錄以外,還有其它存放WWW文件的目錄,你也可以採取同樣的方法進行設置。比如:如果你使用UserDir來允許用戶訪問自己的目錄,AllowOverride的設置如下:
<Directory /home/*/public_html>
AllowOverride FileInfo Indexes IncludesNOEXEC
</Directory>
5、防止用戶訪問指定的文件
系統中有一些文件是不適宜提供給WWW用戶的,如:.htaccess、htpasswd、*.pl等,可以用<Files>達到這個目的:
<Files .htaccess>
order allow,deny
deny from all
</Files>
用戶訪問控制三個.htaccess文件、.htpasswd和.htgroup(用於用戶授權),爲了安全起見,應該防止用戶瀏覽其中內容,可以在httpd.conf中加入以下內容阻止用戶對其進行訪問:
<Files ~”/.ht”>
Order deny, allow
Deny from all
</Files>
這樣這三個文件就不會被用戶訪問了。
6、限制某些用戶訪問特定文件
<Directory>可以對目錄進行約束,要限制某些用戶對某個特定文件的訪問可以使用<Location>,比如:不允許非domain.com域內的用戶對/prices/internal.html進行訪問,可以用如下的設置:
<Location /prices/internal.html>
order deny,allow
deny from all
allow from .domain.com
</Location>
如果你要授於相應權限的機器沒有公開的域名,請在你的/etc/hosts文件中,將其IP地址映射到某個指定的名稱,然後在Location中對其進行設置,否則該選項是不起作用的。
7、只接受來自特定鏈接的訪問
例如,只讓所有來自 http://www.sina.com.cn/* 的鏈接的用戶進入此目錄,由其它鏈接來的訪客都不得進入; " * "表示此網站底下所有的鏈接。其中的 http://www.sina.com.cn/* 也可以是:http://202.106.184.200/* 或是指定文件 http://www.sina.com.cn/news.html
.htaccess文件的內容如下:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName ExampleAllowFromSpecificURL
AuthType Basic
<Limit GET>
order deny,allow
deny from all
referer allow from http://www.sina.com.cn/*
</Limit>
六、如何通過Apache訪問掛接到mnt中的目錄內容
在Linux下,要瀏覽光盤的內容,必須要先將光盤掛接到/mnt/cdrom上,在Linux下訪問dos或其它分區也一樣,都要將其先掛接到/mnt下。下面提供的方法,可以通過Apache顯示上掛的目錄內容:
1、 先將需要掛接的內容掛接到mnt下,如:
mount –t iso9660 /dev/cdrom /mnt/cdrom
2、修改/usr/local/etc/httpd/conf中的srm.conf文件(在Apache1.3.2中修改httpd.conf)
加入別名支持:
# Alias fakename realname
# alias for netware server //
Alias /netware/ /mnt/MYDOM_NW/vol1/home/htmldocs/
Alias /winNT/ /mnt/MYDOM_NT/
Alias /unix/ /mnt/MYDOM_UNIX
其實這一步還有個最簡單的方法就是直接在WWW文件目錄下建立鏈接目錄,比如:
ln –s /mnt/MYDOM_NT/ winNT
也能達到同樣的效果。
3、最後,用Directory 分別指定用戶對上面這幾個目錄的訪問權限:
<Direcory “/mnt/MYDOM_NT”>
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
注意, Options中的Indexes一定要註明,否則被打開的目錄中若沒有Index.html文件,用戶無法瀏覽整個目錄的結構,服務器會返回錯誤指示。
這些工作都完成後,別忘了重新啓動Apache。在客戶端通過 http://www.yourdomain/CDROM/訪問光盤內容,其餘系統以此類推