Apache服務器的設置文件位於/usr/local/apache/conf/目錄下,傳統上使用三個配置文件httpd.conf,access.conf和srm.conf,來配置Apache服務器的行爲。
httpd.conf提供了最基本的服務器配置,是對守護程序httpd如何運行的技術描述;srm.conf是服務器的資源映射文件,告訴服 務器各種文件的MIME類型,以及如何支持這些文件;access.conf用於配置服務器的訪問權限,控制不同用戶和計算機的訪問限制;這三個配置文件 控制着服務器的各個方面的特性,因此爲了正常運行服務器便需要設置好這三個文件。
除了這三個設置文件之外,Apache還使用mime.types文件用於標識不同文件對應的MIME類型, magic文件設置不同MIME類型文件的一些特殊標識,使得Apache 服務器從文檔後綴不能判斷出文件的MIME 類型時,能通過文件內容中的這些特殊標記來判斷文檔的MIME類型。
bash-2.02$ ls -l /usr/local/apache/conf
total 100
-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf
-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default
-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf
-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default
-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic
-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default
-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types
-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf
-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default
事實上當前版本的Apache將原來httpd.conf、srm.conf與access.conf中的所有配置參數均放在了一個配 置文件httpd.conf中,只是爲了與以前的版本兼容的原因(使用這三個設置文件的方式來源於NCSA-httpd),才使用三個配置文件。而提供的 access.conf和srm.conf文件中沒有具體的設置。
由於在新版本的Apache中,所有的設置都被放在了httpd.conf中,因此只需要調整這個文件中的設置。以下使用缺省提供的 httpd.conf爲例,解釋Apache服務器的各個設置選項。然而不必因爲它提供設置的參數太多而煩惱,基本上這些參數都很明確,也可以不加改動運 行Apache服務器。但如果需要調整Apache服務器的性能,以及增加對某種特性的支持,就需要了解這些設置參數的含義。
關於Apache服務器的性能,在Internet上存在很大的爭議,基本上使用Apache的使用者幾乎都不懷疑它的優秀性能,Apache 也支撐了很多著名的高負載的網站,但是在商業機構的評測中,Apache往往得分不高。很多人指出,在這些評測中,商業Web服務器及其操作系統往往由其 專業公司的工程師進行過性能調整,而Free 的操作系統和Web服務器往往就使用其缺省配置或僅僅作很小的更改。需要指出的是,除了操作系統的性能調整之外,Apache 服務器本身的缺省配置絕不是最優化和最高效的,而是要適應幾乎所有種類操作系統、所有種類硬件下的設置,多平臺的軟件不可能爲特定平臺和特定硬件提供最優 化的缺省配置。因此要使用Apache的時候,性能調整是必不可少的。
在商業評測中忽略了的另一個事實是,評測時往往對不同種類的功能進行比較,例如使用Apache的標準CGI 的性能與ISAPI,NSAPI等服務器端API比較,事實上Apache服務器與此可以比較的功能爲modperl ,FastCGI,與ASP類似的功能爲PHP等等,只不過由於Apache的開放模式,這些功能是由獨立的開發組,作爲獨立的模塊來實現的。但是在評測 中,測試人員沒有加入相應的模塊評測其性能。
HTTP守護進程的運行參數
httpd.conf中首先定義了一些httpd守護進程運行時需要的參數,來決定其運行方式和運行環境。
ServerType standalone
ServerType定義服務器的啓動方式,缺省值爲獨立方式standalone,httpd服務器將由其本身啓動,並駐留在主機中監視連接 請求。在Linux下將在啓動文件 /etc/rc.d/rc.local/init.d/apache中自動啓動Web服務器,這種方式是推薦設置。
啓動Apache服務器的另一種方式是inet方式,使用超級服務器inetd監視連接請求並啓動服務器。當需要使用inetd啓動方式時,便 需要更改爲這個設置,並屏蔽/etc/rc.d/rc.local/init.d/apache文件,以及更改/etc/inetd.conf並重起 inetd,那麼Apache就能從inetd中啓動了。
兩種方式的區別是獨立方式是由服務器自身管理自己的啓動進程,這樣在啓動時能立即啓動服務器的多個副本,每個副本都駐留在內存中,一有連接請求 不需要生成子進程就可以立即進行處理,對於客戶瀏覽器的請求反應更快,性能較高。而 inetd方式要由inetd發現有連接請求後纔去啓動http服務器,由於inetd 要監聽太多的端口,因此反應較慢、效率較低,但節約了沒有連接請求時Web服務器佔用的資源。因此inetd方式只用於偶爾被訪問並且不要求訪問速度的服 務器上。事實上inetd方式不適合http的突發和多連接的特性,因爲一個頁面可能包含多個圖象,而每個圖象都會引起一個連接請求,即使雖然訪問人數造 成教少,但瞬間的連接請求並不少,這就受到inetd性能的限制,甚至會影響由inetd啓動的其他服務器程序。
ServerRoot "/usr/local"
ServerRoot用於指定守護進程httpd的運行目錄,httpd在啓動之後將自動將進程的當前目錄改變爲這個目錄,因此如果設置文件中指定的文件或目錄是相對路徑,那麼真實路徑就位於這個ServerRoot定義的路徑之下。
由於httpd會經常進行併發的文件操作,就需要使用加鎖的方式來保證文件操作不衝突,由於NFS文件系統在文件加鎖方面能力有限,因此這個目錄應該是本地磁盤文件系統,而不應該使用NFS文件系統。
#LockFile /var/run/httpd.lock
LockFile參數指定了httpd守護進程的加鎖文件,一般不需要設置這個參數, Apache服務器將自動在ServerRoot下面的路徑中進行操作。但如果ServerRoot爲NFS文件系統,便需要使用這個參數指定本地文件系統中的路徑。
PidFile /var/run/httpd.pid
PidFile指定的文件將記錄httpd守護進程的進程號,由於httpd能自動複製其自身,因此係統中有多個httpd進程,但只有一個進 程爲最初啓動的進程,它爲其他進程的父進程,對這個進程發送信號將影響所有的httpd進程。PidFILE定義的文件中就記錄httpd父進程的進程 號。
ScoreBoardFile /var/run/httpd.scoreboard
httpd使用ScoreBoardFile來維護進程的內部數據,因此通常不需要改變這個參數,除非管理員想在一臺計算機上運行幾個 Apache服務器,這時每個Apache服務器都需要獨立的設置文件htt pd.conf,並使用不同的ScoreBoardFile。
#ResourceConfig conf/srm.conf
#AccessConfig conf/access.conf
這兩個參數ResourceConfig和AccessConfig,就用於和使用 srm.conf 和 access.conf 設置文件的老版本Apache兼容。如果沒有兼容的需要,可以將對應的設置文件指定爲/dev/null,這將表示不存在其他設置文件,而僅使用 httpd.conf 一個文件來保存所有的設置選項。
Timeout 300
Timeout定義客戶程序和服務器連接的超時間隔,超過這個時間間隔(秒)後服務器將斷開與客戶機的連接。
KeepAlive On
在HTTP 1.0中,一次連接只能作傳輸一次HTTP請求,而KeepAlive參數用於支持HTTP 1.1版本的一次連接、多次傳輸功能,這樣就可以在一次連接中傳遞多個HTTP請求。雖然只有較新的瀏覽器才支持這個功能,但還是打開使用這個選項。
MaxKeepAliveRequests 100
MaxKeepAliveRequests爲一次連接可以進行的HTTP請求的最大請求次數。將其值設爲0將支持在一次連接內進行無限次的傳輸請求。事實上沒有客戶程序在一次連接中請求太多的頁面,通常達不到這個上限就完成連接了。
KeepAliveTimeout 15
KeepAliveTimeout測試一次連接中的多次請求傳輸之間的時間,如果服務器已經完成了一次請求,但一直沒有接收到客戶程序的下一次請求,在間隔超過了這個參數設置的值之後,服務器就斷開連接。
MinSpareServers 5MaxSpareServers 10
在使用子進程處理HTTP請求的Web服務器上,由於要首先生成子進程才能處理客戶的請求,因此反應時間就有一點延遲。但是, Apache服務器使用了一個特殊技術來擺脫這個問題,這就是預先生成多個空餘的子進程駐留在系統中,一旦有請求出現,就立即使用這些空餘的子進程進行處 理,這樣就不存在生成子進程造成的延遲了。在運行中隨着客戶請求的增多,啓動的子進程會隨之增多,但這些服務器副本在處理完一次HTTP請求之後並不立即 退出,而是停留在計算機中等待下次請求。但是空餘的子進程副本不能光增加不減少,太多的空餘子進程沒有處理任務,也佔用服務器的處理能力,因此也要限制空 餘副本的數量,使其保持一個合適的數量,使得既能及時迴應客戶請求,又能減少不必要的進程數量。
因此就可以使用參數MinSpareServers來設置最少的空餘子進程數量, 以及使用參數MaxSpareServers 來限制最多的空閒子進程數量,多餘的服務器進程副本就會退出。根據服務器的實際情況來進行設置,如果服務器性能較高,並且也被頻繁訪問,就應該增大這兩個 參數的設置。對於高負載的專業網站,這兩個值應該大致相同,並且等同於系統支持的最多服務器副本數量,也減少不必要的副本退出。
StartServers 5
StartServers參數就是用來設置httpd啓動時啓動的子進程副本數量,這個參數與上面定義的MinSpareServers和 MaxSpareServers參數相關,都是用於啓動空閒子進程以提高服務器的反應速度的。這個參數應該設置爲前兩個值之間的一個數值,小於 MinSpareServers和大於MaxS pareServers都沒有意義。
MaxClients 150
在另一方面,服務器的能力畢竟是有限的,不可能同時處理無限多的連接請
求,因此參數Maxclient s就用於規定服務器支持的最多併發訪問的客戶數,如果這個值設置得過大,系統在繁忙時不得不在過多的進程之間進行切換來爲太多的客戶進行服務,這樣對每個 客戶的反應就會減慢,並降低了整體的效率。如果這個值設置的較小,那麼系統繁忙時就會拒絕一些客戶的連接請求。當服務器性能較高時,就可以適當增加這個值 的設置。對於專業網站,應該使用提高服務器效率的策略,因此這個參數不能超過硬件本身的限制,如果頻繁出現拒絕訪問現象,就說明需要升級服務器硬件了。對 於非專業網站,不太在意對客戶瀏覽器的反應速度,或者認爲反應速度較慢也比拒絕連接好,就也可以略微超過硬件條件來設置這個參數。
這個參數限制了MinSpareServers和MaxSpareServers的設置,它們不應該大於這個參數的設置。
MaxRequestsPerChild 30
使用子進程的方式提供服務的Web服務,常用的方式是一個子進程爲一次連接服務,這樣造成的問題就是每次連接都需要生成、退出子進程的系統操 作,使得這些額外的處理過程佔據了計算機的大量處理能力。因此最好的方式是一個子進程可以爲多次連接請求服務,這樣就不需要這些生成、退出進程的系統消 耗,Apache就採用了這樣的方式,一次連接結束後,子進程並不退出,而是停留在系統中等待下一次服務請求,這樣就極大的提高了性能。
但由於在處理過程中子進程要不斷的申請和釋放內存,次數多了就會造成一些內存垃圾,就會影響系統的穩定性,並且影響系統資源的有效利用。因此在 一個副本處理過一定次數的請求之後,就可以讓這個子進程副本退出,再從原始的httpd進程中重新複製一個乾淨的副本,這樣就能提高系統的穩定性。這樣, 每個子進程處理服務請求次數由MaxRe questPerChild定義。 缺省的設置值爲30,這個值對於具備高穩定性特點的Linux系統來講是過於保守的設置,可以設置爲1000甚至更高,設置爲0支持每個副本進行無限次的 服務處理。
#Listen 3000
#Listen 12.34.56.78:80
#BindAddress *
Listen參數可以指定服務器除了監視標準的80端口之外,還監視其他端口的HTTP請求。由於FreeBSD系統可以同時擁有多個IP地 址,因此也可以指定服務器只聽取對某個BindAddress< /B>的IP地址的HTTP請求。如果沒有配置這一項,則服務器會迴應對所有IP的請求。
即使使用了BindAddress參數,使得服務器只回應對一個IP地址的請求,但是通過使用擴展的Listen參數,仍然可以讓HTTP守護 進程迴應對其他IP地址的請求。此時Listen參數的用法與上面的第二個例子相同。這種比較複雜的用法主要用於設置虛擬主機。此後可以用 VirtualHost參數定義對不同IP的虛擬主機,然而這種用法是較早的HTTP 1.0標準中設置虛擬主機的方法,每針對一個虛擬主機就需要一個IP地址,實際上用處並不大。在HTTP 1.1中,增加了對單IP地址多域名的虛擬主機的支持,使得虛擬主機的設置具備更大的意義。
LoadModule mime_magic_module libexec/apache/mod_mime_magic.so
LoadModule info_module libexec/apache/mod_info.so
LoadModule speling_module libexec/apache/mod_speling.so
LoadModule proxy_module libexec/apache/libproxy.so
LoadModule rewrite_module libexec/apache/mod_rewrite.so
LoadModule anon_auth_module libexec/apache/mod_auth_anon.so
LoadModule db_auth_module libexec/apache/mod_auth_db.so
LoadModule digest_module libexec/apache/mod_digest.so
LoadModule cern_meta_module libexec/apache/mod_cern_meta.so
LoadModule expires_module libexec/apache/mod_expires.so
LoadModule headers_module libexec/apache/mod_headers.so
LoadModule usertrack_module libexec/apache/mod_usertrack.so
LoadModule unique_id_module libexec/apache/mod_unique_id.so
ClearModuleList
AddModule mod_env.c
AddModule mod_log_config.c
AddModule mod_mime_magic.c
AddModule mod_mime.c
AddModule mod_negotiation.c
AddModule mod_status.c
AddModule mod_info.c
AddModule mod_include.c
AddModule mod_autoindex.c
AddModule mod_dir.c
AddModule mod_cgi.c
AddModule mod_asis.c
AddModule mod_imap.c
AddModule mod_actions.c
AddModule mod_speling.c
AddModule mod_userdir.c
AddModule mod_proxy.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_auth_anon.c
AddModule mod_auth_db.c
AddModule mod_digest.c
AddModule mod_cern_meta.c
AddModule mod_expires.c
AddModule mod_headers.c
AddModule mod_usertrack.c
AddModule mod_unique_id.c
AddModule mod_so.c
AddModule mod_setenvif.c
Apache服務器的一個重要特性就是其模塊化的結構,這不但表現爲其能在編譯時能通過新的模塊加入新的功能,還表現爲其模塊可以動態加載入 http服務程序中,而不必載入不需要的模塊。使用Apache的動態加載模塊只需要設置好Load Module和AddModule參數就可以了,這種特性就是Apache的 DSO(Dynamic Shared Object)特性,然而要想充分使用DSO特性仍然不是一個簡單的事情,不適當的改動這裏的設置就可能造成服務器不能正常啓動。因此如果不是要增加或減 少服務器提供的功能,就不要改動這裏的設置。
上面這些列表就顯示了Linux下的缺省Apache服務器支持的模塊,事實上很多模塊是沒有必要的,不必要模塊不會被載入內存。模塊可以靜態 連接到pache 服務器內部,也可以這樣動態加載,將Apache的特性都編譯成動態可加載模塊是該Port的做法,而不是Apache的缺省做法,這樣就以犧牲很小的性 能的同時,帶來極大的靈活性。
因而動態可加載的能力還是對性能有輕微的影響,因此可以重新編譯Apache,將自己所需要的功能編譯進Apache 服務器內部,可以讓系統顯得更爲乾淨,效率也有輕微的提高。通常僅僅爲了這一個目的就重新編譯Apache是沒有必要的,如果需要增加其他特性而重新編譯 Apache,不妨在增加其他模塊的同時將所有的模塊都靜態連接入Apache 服務器。有的使用者更喜歡動態加載模塊,那麼也不妨全部都使用動態加載模塊。
這些模塊都被放置到/usr/local/apache/libexec/目錄下, 每個模塊對應Apache服務器的一個特性。詳細解釋每個模塊的功能需要相當多的篇幅,其中比較重要的特性將在後面相應的地方中進行解釋,而具體每個模塊 的功能及用法就需要查看Apache的文檔。
#ExtendedStatus On
Apache服務器可以通過特殊的HTTP請求,來報告自身的運行狀態,打開這個ExtendedStatus 參數可以讓服務器報告更全面的運行狀態信息。
主服務器設置
Apache服務器需要各種設置,以定義自己使用各種參數以提供Web服務。對於使用虛擬主機的情況,除了在虛擬主機的定義項中覆蓋的設置之外(有的設置必須重新定義),這裏的設置也是虛擬主機的缺省設置。
Port 80
Port定義了Standalone模式下httpd守護進程使用的端口,標準端口是80。這個選項只對於以獨立方式啓動的服務器纔有效,對於以inetd方式啓動的服務器則在inetd.conf中定義使用哪個端口。
在Unix下使用80端口需要root權限,一些管理員爲了安全的原因,認爲 httpd 服務器不可能沒有安全漏洞,因而更願意使用普通用戶的權限來啓動服務器,這樣就不能使用80端口及其他小於1024的端口,而必須使用大於 1024的端口來啓動httpd,一般情況下8000或8080也是常用的端口。而Apache httpd服務器本身可以在以root權限打開80端口後再改變爲普通用戶身份進行運行,這樣就減少了危險性,因而就不需要考慮這個安全問題。但是如果普 通用戶也想安裝配置自己的WWW服務器,那麼就不得不使用大於1024的端口。
User nobody
Group nogroup
User和Group配置是Apache的安全保證,Apache在打開端口之後,就將其本身設置爲這兩個選項設置的用戶和組權限進行運行,這 樣就降低了服務器的危險性。這個選項也只用於 Standalone模式,inetd模式在inetd.conf中指定運行Apache的用戶。由於服務器必須執行改變身份的setuid()操作,因 此初始進程應該具備root權限,如果是使用非root用戶來啓動Aapche,這個配置就不會發揮作用。
缺省設置爲nobody和nogroup,這個用戶和組在系統中不擁有文件,保證了服務器本身和由它啓動的CGI 進程沒有權限更改文件系統。在某些情況下,例如爲了運行CGI與Unix交互,也需要讓服務器來訪問服務器上的文件,如果仍然使用nobody和 nogroup,那麼系統中將會出現屬於nobody的文件,這對於系統安全是不利的,因爲其他程序也會以nobody和nogroup的權限執行某些操 作,就有可能訪問這些nobody擁有的文件,造成安全問題。一般情況下要爲Web服務設定一個特定的用戶和組,同時在這裏更改用戶和組設置。
ServerAdmin [email protected]
配置文件中應該改變的也許只有ServerAdmin, 這一項用於配置WWW服務器的管理員的email地址,這將在HTTP服務出現錯誤的條件下返回給瀏覽器,以便讓Web使用者和管理員聯繫,報告錯誤。習 慣上使用服務器上的webmaster作爲WWW服務器的管理員,通過郵件服務器的別名機制,將發送到webmaster 的電子郵件發送給真正的Web管理員。
#ServerName new.host.name
缺省情況下,並不需要指定這個ServerName參數,服務器將自動通過名字解析過程來獲得自己的名字,但如果服務器的名字解析有問題(通常 爲反向解析不正確),或者沒有正式的DNS名字,也可以在這裏指定IP地址。當ServerName設置不正確的時候,服務器不能正常啓動。
通常一個Web服務器可以具有多個名字,客戶瀏覽器可以使用所有這些名字或IP地址來訪問這臺服務器,但在沒有定義虛擬主機的情況下,服務器總 是以自己的正式名字迴應瀏覽器。ServerName就定義了Web服務器自己承認的正式名字,例如一臺服務器名字(在DNS中定義了A類型)爲 exmaple.org.cn,同時爲了方便記憶還定義了一個別名(CNAME記錄)爲www.exmaple.org.cn, 那麼Apache自動解析得到的名字就爲example.org.cn,這樣不管客戶瀏覽器使用哪個名字發送請求,服務器總是告訴客戶程序自己爲 example.org.cn。雖然這一般並不會造成什麼問題,但是考慮到某一天服務器可能遷移到其他計算機上,而只想通過更改DNS中的www別名配置 就完成遷移任務,所以不想讓客戶在其書籤中使用 Linux 記錄下這個服務器的地址,就必須使用ServerName來重新指定服務器的正式名字。
DocumentRoot "/www/"
DocumentRoot定義這個服務器對外發布的超文本文檔存放的路徑,客戶程序請求的UR L就被映射爲這個目錄下的網頁文件。這個目錄下的子目錄,以及使用符號連接指出的文件和目錄都能被瀏覽器訪問,只是要在URL上使用同樣的相對目錄名。
注意,符號連接雖然邏輯上位於根文檔目錄之下,但實際上可以位於計算機上的任意目錄中,因此可以使客戶程序能訪問那些根文檔目錄之外的目錄,這 在增加了靈活性的同時但減少了安全性。Apache在目錄的訪問控制中提供了FollowSymLinks選項來打開或關閉支持符號連接的特性。
Options FollowSymLinks
AllowOverride None
Apache服務器可以針對目錄進行文檔的訪問控制,然而訪問控制可以通過兩種方式來實現,一個是在設置文件 httpd.conf(或access.conf)中針對每個目錄進行設置,另一個方法是在每個目錄下設置訪問控制文件,通常訪問控制文件名字爲. htaccess。雖然使用這兩個方式都能用於控制瀏覽器的訪問,然而使用配置文件的方法要求每次改動後重新啓動httpd守護進程,比較不靈活,因此主 要用於配置服務器系統的整體安全控制策略,而使用每個目錄下的.htaccess文件設置具體目錄的訪問控制更爲靈活方便。
Directory語句就是用來定義目錄的訪問限制的,這裏可以看出它的標準語法,爲一個目錄定義訪問限制。上例的這個設置是針對系統的根目錄 進行的,設置了允許符號連接的選項FollowSymLinks ,以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這裏進行的配置,這也意味着不用查看這個目錄下的相應訪問控制文件。
由於Apache對一個目錄的訪問控制設置是能夠被下一級目錄繼承的,因此對根目錄的設置將影響到它的下級目錄。注意由於 AllowOverride None的設置,使得Apache服務器不需要查看根目錄下的訪問控制文件,也不需要查看以下各級目錄下的訪問控制文件,直至httpd.conf(或 access.conf )中爲某個目錄指定了允許Alloworride,即允許查看訪問控制文件。由於Apache對目錄訪問控制是採用的繼承方式,如果從根目錄就允許查看訪 問控制文件,那麼Apache就必須一級一級的查看訪問控制文件,對系統性能會造成影響。而缺省關閉了根目錄的這個特性,就使得Apache從 httpd.conf中具體指定的目錄向下搜尋,減少了搜尋的級數,增加了系統性能。因此對於系統根目錄設置AllowOverride None不但對於系統安全有幫助,也有益於系統性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
這裏定義的是系統對外發布文檔的目錄的訪問設置,設置不同的 AllowOverride選項,以定義配置文件中的目錄設置和用戶目錄下的安全控制文件的關係,而Options選項用於定義該目錄的特性。
配置文件和每個目錄下的訪問控制文件都可以設置訪問限制,設置文件是由管理員設置的,而每個目錄下的訪問控制文件是由目錄的屬主設置的,因此管 理員可以規定目錄的屬主是否能覆蓋系統在設置文件中的設置,這就需要使用 啊AllowOverride參數進行設置,通常可以設置的值爲:
AllowOverride的設置 對每個目錄訪問控制文件作用的影響
All 缺省值,使訪問控制文件可以覆蓋系統配置
None 服務器忽略訪問控制文件的設置
Options 允許訪問控制文件中可以使用Options參數定義目錄的選項
FileInfo 允許訪問控制文件中可以使用AddType等參數設置
AuthConfig 允許訪問控制文件使用AuthName,AuthType等針對每個用戶的認證機制,這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許對訪問目錄的客戶機的IP地址和名字進行限制每個目錄具備一定屬性,可以使用Options來控制這個目錄下的一些訪問特性設置,以下爲常用的特性選 項:
Options設置 服務器特性設置
All 所有的目錄特性都有效,這是缺省狀態
None 所有的目錄特性都無效
FollowSymLinks 允許使用符號連接,這將使瀏覽器有可能訪問文檔根目錄 (DocumentRoot)之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身爲同一用戶所擁有時,才允許訪問,這個設置將增加一些安全性
ExecCGI 允許這個目錄下可以執行CGI程序 Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引,使得在這個目錄下沒有index.html(或其他索引文件)時,能向瀏覽器發送這個目錄下的文件列表
此外,上例中還使用了Order、Allow、Deny等參數,這是Limit語句中用來根據瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序,而Allow、Deny則針對名字或IP進行訪問控制設置,上例使用 allowfrom all,表示允許所有的客戶機訪問這個目錄,而不進行任何限制。
UserDir public_html
當在一臺Linux上運行Apache服務器時,這臺計算機上的所有用戶都可以有自己的網頁路徑,形如 http://example.org.cn/~user,使用波浪符號加上用戶名就可以映射到用戶自己的網頁目錄上。映射目錄爲用戶個人主目錄下的一個子目錄,其名字就用UseDir這個參數進行定義,缺省爲public_html。如果不想爲正式的用戶提供網頁服務,使用DISABLED作UserDir的參數即可。
#
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
#
# Order allow,deny
# Allow from all
#
#
# Order deny,allow
# Deny from all
#
#
這裏可以看到Directory的另一個用法,即可以通過簡單的模式匹配方法,針對分佈在不同目錄下的子目錄定義訪問控制權限。這樣設置就需要Apache服務器對每個路徑進行額外的處理,因此就會降低服務器的性能,所以缺省情況並沒有打開這種訪問限制。
這裏可以看到另外一個語句Limit,Limit語句就是用來針對具體的請求方法來設定訪問控制的,其中可以使用GET、POST等各種服務器支持 的請求方法做Limit的參數,來設定對不同請求方法的訪問限制。一般可以打開對GET、POST、 HEAD三種請求方法,而屏蔽其他的請求方法,以增加安全性。Limit語句中,可以用Order 、Allow、Deny,Allow和Deny中可以使用匹配的方法針對域名和IP進行限制,只是對於域名是從後向前匹配,對於IP地址則從前向後匹配。
DirectoryIndex index.html
很多情況下,URL中並沒有指定文檔的名字,而只是給出了一個目錄名。那麼Apache服務器就自動返回這個目錄下由 DirectoryIndex定義的文件,當然可以指定多個文件名字,系統會這個目錄下順序搜索。當所有由DirectoryIndex指定的文件都不存 在時,Apache服務器可以根據系統設置,生成這個目錄下的所有文件列表,提供用戶選擇。此時該目錄的訪問控制選項中的Indexes選項 (Options Indexes )必須打開,以使得服務器能夠生成目錄列表,否則Apache將拒絕訪問。
AccessFileName .htaccess
AccessFileName定義每個目錄下的訪問控制文件的文件名,缺省爲.htaccess,可以通過更改這個文件,來改變不同目錄的訪問控制限制。
Order allow,deny
Deny from all
除了可以針對目錄進行訪問控制之外,還可以根據文件來設置訪問控制,這就是File語句的任務。使用File 語句,不管文件處於哪個目錄,只要名字匹配, 就必須接受相應的訪問控制。這個語句對於系統安全比較重要,例如上例將屏蔽所有的使用者不能訪問.htaccess文件,這樣就避免.htaccess中 的關鍵安全信息不至於被客戶獲取。
#CacheNegotiatedDocs
缺省情況下如果代理服務器和Apache服務器協商是否緩存其網頁,Apache給予否定的回答,不希望自己的網頁被代理服務器緩存。然而這樣 就不能有效的利用代理服務器的優勢,因此可以設置CacheNegotiatieDocs 選項, 使得代理服務器可以對網頁進行緩存。然而即使不設置這個選項,有的代理服務器(或通過調整設置)也能對網頁進行緩存。
UseCanonicalName On
打開這個UseCanonicalName是Web服務器的標準做法,因爲客戶發送的大部分請求都是對本服務器的引用,這樣服務器就能使用 ServerName和Port選項的設置內容構建完整的URL,並回應客戶,使瀏覽器能得到規範的URL。如果將這個參數設置爲Off,那麼 Apache將使用從客戶請求中獲得服務器的名字和端口值(支持HTTP 1.1的客戶的請求中將會有這些信息),重新構建URL。
TypesConfig /usr/local/apache/etc/mime.types
TypeConfig用於設置保存有不同的MIME類型數據的文件名,在Linux下缺省設置爲/usr/local/apache/etc/mime.types。
DefaultType text/plain
如果Web服務器不能決定一個文檔的缺省類型,這通常表示文檔使用了非標準的後綴,那麼服務器就使用 DefaultType定義的MIME類型將文檔發送給客戶瀏覽器。這裏的設置爲text/plain,這樣設置的問題是,如果服務器不能判斷出文檔的 MIME,那麼大部分情況下這個文檔爲一個二進制文檔,但使用 text/plain格式發送回去,瀏覽器將在內部打開它而不會提示保存。因此建議將這個設置更改爲application/octet-stream, 這樣瀏覽器將提示用戶進行保存。
MIMEMagicFile /usr/local/apache/etc/magic
除了從文件的後綴出發來判斷文件的MIME類型之外,Apache還可以進一步分析文件的一些特徵,來判斷文件的真實MIME類型。這個功能是 由mod_mime_magic 模塊實現的,它需要一個記錄各種MIME類型特徵的文件,以進行分析判斷。上面的設置是一個條件語句,如果載入了這個模塊,就必須指定相應的標誌文件 magic的位置。
通常連接時,服務器僅僅可以得到客戶機的IP地址,如果要想獲得客戶機的主機名,以進行日誌記錄和提供給 CGI程序使用,就需要使用這個HostnameLookups 選項,將其設置爲On打開DNS反查功能。但是這將使服務器對每次客戶請求都進行DNS查詢,增加了系統開銷,使得反應變慢,因此缺省設置爲使用Off關 閉此選項。關閉選項之後,服務器就不會獲得客戶機的主機名,而只能使用IP地址來記錄客戶。
ErrorLog /var/log/httpd-error.log
LogLevel warn
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent} "" combined
LogFormat "%h %l %u %t "%r" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
#CustomLog /var/log/httpd-access.log common
#CustomLog /var/log/httpd-referer.log referer
#CustomLog /var/log/httpd-agent.log agent
CustomLog /var/log/httpd-access.log combined
這裏定義了系統日誌的形式,對於服務器錯誤記錄, 由ErrorLog、 LogLevel 來定義不同的錯誤日誌文件及其記錄內容。
對於系統的訪問日誌,缺省使用CustomLog參數定義日誌的位置,缺省使用 combined 參數指定將所有的訪問日誌放在一個文件中,然而也可以將不同種類的訪問日誌放在不同的日誌記錄文件中,這是通過在 CustomLog中指定不同的記錄類型來完成的。common表示普通的對單頁面請求訪問記錄,referer表示每個頁面的引用記錄,可以看出一個頁 面中包含的請求數,agent表示對客戶機的類型記錄,顯然可以將現有的combined 定義的設置行註釋掉,並使用common、referer和agent作爲CustomLog的參數,來爲不同種類的日誌分別指定日誌記錄文件。
顯然,LogFormat是用於定義不同類型的日誌進行記錄時使用的格式, 這裏使用了以%開頭的宏定義,以記錄不同的內容。
如果這些參數指定的文件使用的是相對路徑,那麼就是相對於ServerRoot的路徑。
ServerSignature On
一些情況下,例如當客戶請求的網頁並不存在時,服務器將產生錯誤文檔,缺省情況下由於打開了 ServerSignature選項,錯誤文檔的最後一行將包含服務器的名字、Apache的版本等信息。有的管理員更傾向於不對外顯示這些信息,就可以 將這個參數設置爲Off,或者設置爲Email,最後一行將替換爲對 ServerAdmin 的Email提示。
Alias /icons/ "/www/icons/"
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
Alias參數用於將URL與服務器文件系統中的真實位置進行直接映射,一般的文檔將在DocumentRoot 中進行查詢,然而使用Alias定義的路徑將直接映射到相應目錄下,而不再到DocumentRoot 下面進行查詢。因此Alias可以用來映射一些公用文件的路徑,例如保存了各種常用圖標的icons路徑。這樣使得除了使用符號連接之外,文檔根目錄 (DocumentRoot)外的目錄也可以通過使用了Alias映射,提供給瀏覽器訪問。
定義好映射的路徑之後,應該需要使用Directory語句設置訪問限制。
ScriptAlias /cgi-bin/ "/www/cgi-bin/"
AllowOverride None
Options None
Order allow,deny
Allow from all
ScriptAlias也是用於URL路徑的映射,但與Alias的不同在於,ScriptAlias 是用於映射CGI程序的路徑,這個路徑下的文件都被定義爲CGI程序,通過執行它們來獲得結果,而非由服務器直接返回其內容。缺省情況下CGI程序使用 cgi-bin目錄作爲虛擬路徑。
# Redirect old-URI new-URL
Redirect參數是用來重寫URL的,當瀏覽器訪問服務器上的一個已經不存在的資源的時候,服務器返回給瀏覽器新的URL,告訴瀏覽器從該 URL中獲取資源。這主要用於原來存在於服務器上的文檔,改變了位置之後,而又希望能使用老URL能訪問到,以保持與以前的URL兼容。
IndexOptions FancyIndexing
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
AddIconByType (TXT,/icons/text.gif) text/*
AddIconByType (IMG,/icons/image2.gif) image/*
AddIconByType (SND,/icons/sound2.gif) audio/*
AddIconByType (VID,/icons/movie.gif) video/*
AddIcon /icons/binary.gif .bin .exe
AddIcon /icons/binhex.gif .hqx
AddIcon /icons/tar.gif .tar
AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv
AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip
AddIcon /icons/a.gif .ps .ai .eps
AddIcon /icons/layout.gif .html .shtml .htm .pdf
AddIcon /icons/text.gif .txt
AddIcon /icons/c.gif .c
AddIcon /icons/p.gif .pl .py
AddIcon /icons/f.gif .for
AddIcon /icons/dvi.gif .dvi
AddIcon /icons/uuencoded.gif .uu
AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl
AddIcon /icons/tex.gif .tex
AddIcon /icons/bomb.gif core
AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^
DefaultIcon /icons/unknown.gif
#AddDescription "GZIP compressed document" .gz
#AddDescription "tar archive" .tar
#AddDescription "GZIP compressed tar archive" .tgz
ReadmeName README
HeaderName HEADER
IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t
當一個HTTP請求的URL爲一個目錄的時候,服務器返回這個目錄中的索引文件。但如果一個目錄中不存在缺省的索引文件,並且該服務器又許可顯 示目錄文件列表的時候,就會顯示出這個目錄中的文件列表,爲了使得這個文件列表能具有可理解性,而不僅僅是一個簡單的列表,就需要前面的這些設置參數。
如果使用了IndexOptions FancyIndexing選項,可以讓服務器產生的目錄列表中針對各種不同類型的文檔引用各種圖標。而哪種文件使用哪種圖標,則使用下面的 AddIconByEncoding、AddIconByType以及AddIcon來定義,分別依據MIME 的編碼、類型以及文件的後綴來判斷使用何種圖標。如果不能確定文檔使用的圖標,就使用 DefaultIcon定義的缺省圖標。
同樣,使用AddDescription可以爲不同類型的文檔加入不同的描述。並且,服務器還在目錄下,查詢使用ReadmeName和 HeaderName定義的文件(自動加上 .html後綴,如果沒有發現,再使用.txt後綴進行搜索),如果發現了這些文件,就在文件列表之前首先顯示這些文件的內容,以使得普通目錄列表具備更 大的可理解性。
IndexIgnore讓服務器在列出文件列表時忽略相應的文件, 這裏使用模式配置的方式定義文件名。
AddEncoding x-compress Z
AddEncoding x-gzip gz
AddEncoding用於告訴一些使用壓縮的MIME類型,這樣可以讓瀏覽器進行解壓縮操作。
AddLanguage en .en
AddLanguage fr .fr
AddLanguage de .de
AddLanguage da .da
AddLanguage el .el
AddLanguage it .it
LanguagePriority en fr de
一個HTML文檔可以同時具備多個語言的版本,如對於file1.html文檔可以具備file1.html.en、 file1.html.fr 等不同的版本,每個語言後綴必須使用 AddLanguage進行定義。這樣服務器可以針對不同國家的客戶,通過與瀏覽器進行協商,發送不同的語言版本。而LanguagePriority 定義不同語言的優先級,以便在瀏覽器沒有特殊要求時,按照順序使用不同的語言版本回應對file1.html 的請求。這個國際化的能力實際的應用並不多。
#AddType application/x-httpd-php .phtml
#AddType application/x-httpd-php-source .phps
AddType參數可以爲特定後綴的文件指定MIME類型,這裏的設置將覆蓋 mime.types中的設置。
#AddHandler cgi-script .cgi
AddHandler是用於指定非靜態的處理類型,用於定義文檔爲一個非靜態的文檔類型,需要進行處理,再向瀏覽器返回處理結果。例如上面註釋 中的設置是將以.cgi結尾的文件設置爲cgi-script類型,那麼服務器將啓動這個CGI程序以進行處理。如果需要在前面AliasScript定 義的路徑之外執行CGI程序,就需要使用這個參數進行設置,此後以.cgi結尾的文件將被當作CGI程序執行。
在配置文件、這個目錄中的.htaccess以及其上級目錄的.htaccess中必須允許執行CGI程序,這需要通過Options ExecCGI參數設定。
#AddType text/html .shtml
#AddHandler server-parsed .shtml
另外一種動態進行處理的類型爲server-parsed,由服務器自身預先分析網頁內的標記,將標記更改爲正確的HTML標識。由於 server-parsed需要對text/html 類型的文檔進行處理,因此首先定義了對應的.shtml爲text/html類型。
然而要支持SSI,還要首先要在配置文件(或.htaccess)中使用Options Includes允許該目錄下的文檔可以爲SSI類型,或使用Options IncludesNOExec讓執行普通的SSI標誌,但不執行其中引用的外部程序。
另一種指定server-parsed類型的方式爲使用XBitBack設置選項,如果將 XBitHack設置爲On,服務器將檢查所有text/html類型的文檔(包括.html後綴的文檔),如果發現文件屬性具備執行位 “x",則服務器就認爲它是服務器分析文檔,需要服務器進行處理。推薦使用AddHandler進行設置,而將XBitBack 設置爲Off,因爲使用XBitBack將對所有的HTML文檔都執行額外的檢查,降低了效率。
#AddHandler send-as-is asis
#AddHandler imap-file map
#AddHandler type-map var
上面被註釋的AddHandler用於支持Apache服務器的asis、map和var處理能力。
# Action media/type /cgi-script/location
# Action handler-name /cgi-script/location
因爲Apache內部提供的處理功能有限,因此可以使用Action爲服務器定義外部程序作爲可處理的動態文檔類型,這些外部程序與標準CGI 程序相同,都是對輸入的數據處理之後,再輸出不同MIME類型的結果。例如要定義一個對特殊後綴wri都先執行wri2txt進行處理操作,再返回結果的 操作,可以使用:
Action windows-writer /bin/wri2txt
AddHandler windows-writer wri
更進一步,可以直接使用Action定義對某個MIME類型預先進行處理操作,這需要例子中第一種格式的Action 參數設置方式。這樣設置方式就不再需要額外的AddHandler用來將處理操作與文件後綴聯繫起來,而是使用Action直接處理MIME類型的文件。 但如果文檔後綴沒有正式的MIME類型,還需要先定義一個MIME類型。
#MetaDir .web
#MetaSuffix .meta
Meta信息是在文檔發送給客戶之前,預先發送給客戶瀏覽器一些數據,因此瀏覽器可以通過HEAD請求來訪問這些Meta信息而不必真正通過 GET來返回全部文檔數據。服務器通常發送給瀏覽器的是一些標準的HTTP頭信息,如果要想增加額外的信息,就需要使用MetaDir來定義Meta數據 存放的目錄, 而MetaS uffix用於指定包含Meta數據的文件後綴。
#ErrorDocument 500 "The server made a boo boo.
#ErrorDocument 404 /missing.html
#ErrorDocument 404 /cgi-bin/missing_handler.pl
#ErrorDocument 402
http://some.other_server.com/subscription_info.html
如果客戶請求的網頁不存在,或者沒有訪問權限等情況發生時,服務器將產生一個錯誤代碼,同時也將回應客戶瀏覽器一個標識錯誤的網頁。
ErrorDocument就用於設置當出現哪個錯誤時應該回應客戶瀏覽器那些內容,ErrorDocument的第一個參數爲錯誤的序號,第二個參數爲迴應的數據,可以爲簡單的文本,本地網頁,本地CGI程序,以及遠程主機上的網頁。
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4.0" force-response-1.0
BrowserMatch "Java/1.0" force-response-1.0
BrowserMatch "JDK/1.0" force-response-1.0
BrowserMatch命令爲特定的客戶程序,設置特殊的參數,以保證對老版本瀏覽器的兼容性,並支持新瀏覽器的新特性。
#
# SetHandler server-status
# Order deny,allow
# Deny from all
# Allow from .your_domain.com
#
#
# SetHandler server-info
# Order deny,allow
# Deny from all
# Allow from .your_domain.com
#
#
# Deny from all
# ErrorDocument 403 http://phf.apache.org/phf_abuse_log.cgi
用於設置訪問控制的設置主要是針對目錄和文件進行設置的,然而也可以針對不同的URL進行訪問控制的設置,這樣就不必擔心ScriptAlias、 Alias是否將路徑設置到了受控制的目錄之外了。針對URL進行控制的語句爲 Location語句,這樣不但能對服務器上的文件、CGI提供保護,此外,它還能保護不能找到對應文件,而是由服務器本身提供的特殊功能URL。http://servername/server-status用於報告當前Apache服務器的狀態,http://servername/server-info用於報告Apache 服務器的統計信息。與此相關的設置還有ExtendedStatus參數,可以讓服務器輸出更詳細的的報告。
#
#ProxyRequests On
#
#
# Order deny,allow
# Deny from all
# Allow from .your_domain.com
#
#ProxyVia On
#CacheRoot "/www/proxy"
#CacheSize 5
#CacheGcInterval 4
#CacheMaxExpire 24
#CacheLastModifiedFactor 0.1
#CacheDefaultExpire 1
#NoCache a_domain.com another_domain.edu joes.garage_sale.com
#
Apache服務器本身就具備代理的功能,然而這要求加載入mod_proxy模塊。這能使用IfModule語句進行判斷,如果存在 mod_proxy模塊,就使用ProxyRequests打開代理支持。此後的Directory用於設置對Proxy功能的訪問權限設置,以及用於設 置緩衝的各個參數設置。
虛擬主機
#NameVirtualHost 12.34.56.78:80
#NameVirtualHost 12.34.56.78
#
# ServerAdmin [email protected]_domain.com
# DocumentRoot /www/docs/host.some_domain.com
# ServerName host.some_domain.com
# ErrorLog logs/host.some_domain.com-error_log
# CustomLog logs/host.some_domain.com-access_log common
#
#
缺省設置文件中的這些內容是用於設置命名基礎的虛擬主機服務器時使用。
其中NameVirtualHost 來指定虛擬主機使用的IP地址,這個IP地址將對應多個 DNS名字,如果Apache使用了Listen 參數控制了多個端口,那麼就可以在這裏加上端口號以進一步進行區分對不同端口的不同連接請求。此後,使用 VirtualHost 語句,使用NameVirtualHost指定的IP地址作參數,對每個名字都定義對應的虛擬主機設置。
虛擬主機是在一臺Web服務器上,可以爲多個單獨域名提供Web服務,並且每個域名都完全獨立,包括具有完全獨立的文檔目錄結構及設置,這樣域名之間完全獨立,不但使用每個域名訪問到的內容完全獨立,並且使用另一個域名無法訪問其他域名提供的網頁內容。
虛擬主機的概念對於ISP來講非常有用,因爲雖然一個組織可以將自己的網頁掛在具備其他域名的服務器上的下級往址上,但使用獨立的域名和根網址 更爲正式,易爲衆人接受。傳統上,必須自己設立一臺服務器才能達到單獨域名的目的,然而這需要維護一個單獨的服務器,很多小單位缺乏足夠的維護能力,更爲 合適的方式是租用別人維護的服務器。ISP也沒有必要爲一個機構提供一個單獨的服務器,完全可以使用虛擬主機能力,使服務器爲多個域名提供Web服務,而 且不同的服務互不干擾,對外就表現爲多個不同的服務器。
有兩種設定虛擬主機的方式,一種是基於HTTP 1.0標準,需要一個具備多IP地址的服務器,再配置DNS 服務器,給每個IP地址以不同的域名,最後才能配置Apache的配置文件,使服務器對不同域名返回不同的Web文檔。由於這需要使用額外的IP地址,對 每個要提供服務的域名都要使用單獨的IP地址,因此這種方式實現起來問題較多。
可以在一個網絡界面上綁定多個IP地址,Linux下需要使用ifconfig的 alias參數來進行這個配置,但此時會影響網絡性能。
HTTP 1.1標準在協議中規定了對瀏覽器和服務器通信時,服務器能夠跟蹤瀏覽器請求的是哪個主機名字。因此可以利用這個新特性,使用更輕鬆的方式設定虛擬主機。這種方式不需要額外的IP地址,但需要新版本的瀏覽器支持。這種方式已經成爲建立虛擬主機的標準方式。
要建立非IP基礎的虛擬主機,多個域名是不可少的配置,因爲每個域名就對應一個要服務的虛擬主機。因此需要更改DNS服務器的配置,爲服務器增加多個C NAME選項,如:
linux IN A 192.168.1.64
vhost1 IN CNAME linux
vhost2 IN CNAME linux
基本的設置選項都是爲了linux主機設定的,如果要爲vhost1和vhost2設定虛擬主機,就要使用VirtualHost語句定義不同的選項,在語句中可以使用配置文件前面中的大部分選項,而可以重新定義幾乎所有的針對服務器的設置。
NameVirtualHost 192.168.1.64
DocumentRoot /www/data
ServerName linux.example.org.cn
DocumentRoot /vhost1
ServerName vhost1.example.org.cn
DocumentRoot /vhost2
ServerName vhost2.example.org.cn
這裏需要注意的是,VirtualHost的參數地址一定要和NameVirtualHost定義的地址相一致,必須保證所有的值嚴格一致,Apache服務器才承認這些定義是爲這個IP地址定義的虛擬主機。
此外,定義過NameVirtualHost之後,那麼對這個IP地址的訪問都被區分不同的虛擬主機進行處理,而對其他IP地址的訪問,例如127.0.0.1,才應用前面定義的缺省選項。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=660176