|
Web服務(wù)器軟件安裝順序:Mysql -->Apache(httpd) --> PHP 解壓后進(jìn)入解壓目錄,執(zhí)行: ./configure --prefix=/home/apache --enable-so --with-mysql=/home/mysql --enable-track-vars --enable-mods-shared=all --enable-cache --enable-disk-cache --enable-mem-cache --enable-rewrite --with-mpm=worker 至此,,Apache主程序安裝完畢,!Apache的主程序會(huì)被安裝在/home/apache/ 下 安裝完畢后,Apache并不會(huì)關(guān)機(jī)后自動(dòng)啟動(dòng),,需要手工進(jìn)行一些設(shè)置: ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- 為了優(yōu)化Apache的性能,,我們需要對(duì)worker.c這個(gè)模塊進(jìn)行配置,。不同配置、不同流量的服務(wù)器需要有不同的設(shè)置方式,,以達(dá)到性能最優(yōu)化,! <IfModule worker.c> 為了加快客戶端的頁(yè)面讀取速度,我們需要安裝配置mod_deflate這個(gè)網(wǎng)頁(yè)壓縮模塊,。該模塊已被Apache 2.x內(nèi)置,,不需要重新安裝,可直接在/home/apache/conf/httpd.conf里進(jìn)行配置,。 #啟用mod_deflate這個(gè)網(wǎng)頁(yè)壓縮模塊 mod_security 1.9.x模塊的下載與安裝 建議使用1.9.x,,因?yàn)?.x的配置指令與1.x完全不同,,解壓后進(jìn)入解壓目錄,,執(zhí)行: /home/apache/bin/apxs -cia mod_security.c 編譯完成后,/home/apache/modules下會(huì)生成一個(gè)mod_security.so文件 然后kate /home/apache/conf/httpd.conf 加入以下選項(xiàng)(如果沒有的話) #啟用mod_security這個(gè)安全模塊 保存后重啟apache即可,! 為了防止Web服務(wù)器被DDoS攻擊,,我們需要安裝mod_evasive這個(gè)防DDoS的模塊 下載地址:http://www./projects/mod_evasive/ 解壓后進(jìn)入解壓目錄,,執(zhí)行 編譯完成后,,/home/apache/modules下會(huì)生成一個(gè)mod_evasive20.so文件 然后kate /home/apache/conf/httpd.conf 加入以下選項(xiàng)(如果沒有的話) #啟用mod_evasive for Apache 2.x防DDoS模塊 Apache 服務(wù)器的設(shè)置文件位于/usr/local/etc/apache目錄下,,傳統(tǒng)上使用三個(gè)配置文件httpd.conf, access.conf和srm.conf,來(lái)配置Apache服務(wù)器的行為,。httpd. conf提供了最基本的服務(wù)器配置,,是對(duì)守護(hù)程序httpd如何運(yùn)行的技術(shù)描述,;srm.conf是服務(wù)器的資源映射文件,告訴服務(wù)器各種文件的MIME 類型,,以及如何支持這些文件,;access.conf用于配置服務(wù)器的訪問權(quán)限,控制不同用戶和計(jì)算機(jī)的訪問限制,;這三個(gè)配置文件控制著服務(wù)器的各個(gè)方面的特性,,因此為了正常運(yùn)行服務(wù)器便需要設(shè)置好這三個(gè)文件。除了這三個(gè)設(shè)置文件之外,,Apache還使用mime.types文件用于標(biāo)識(shí)不同文件對(duì)應(yīng)的 MIME類型,, magic文件設(shè)置不同MIME類型文件的一些特殊標(biāo)識(shí),使得Apache服務(wù)器從文檔后綴不能判斷出文件的MIME 類型時(shí),,能通過(guò)文件內(nèi)容中的這些特殊標(biāo)記來(lái)判斷文檔的MIME類型,。
bash-2.02$ ls -l /usr/local/etc/apache 事實(shí)上當(dāng)前版本的Apache將原來(lái)httpd.conf、srm.conf與access.conf中的所有配置參數(shù)均放在了一個(gè)配置文件 httpd.conf中,,只是為了與以前的版本兼容的原因(使用這三個(gè)設(shè)置文件的方式來(lái)源于NCSA-httpd),,才使用三個(gè)配置文件。而提供的 access.conf和srm.conf文件中沒有具體的設(shè)置,。 新版本Apache使用的配置文件為apache.conf,,它就等價(jià)于httpd.conf。 由于在新版本的Apache中,,所有的設(shè)置都被放在了httpd.conf中,,因此只需要調(diào)整這個(gè)文件中的設(shè)置。以下使用缺省提供的 httpd.conf為例,,解釋Apache服務(wù)器的各個(gè)設(shè)置選項(xiàng),。然而不必因?yàn)樗峁┰O(shè)置的參數(shù)太多而煩惱,基本上這些參數(shù)都很明確,,也可以不加改動(dòng)運(yùn)行Apache服務(wù)器,。但如果需要調(diào)整Apache服務(wù)器的性能,以及增加對(duì)某種特性的支持,,就需要了解這些設(shè)置參數(shù)的含義,。 關(guān)于 Apache服務(wù)器的性能,在Internet上存在很大的爭(zhēng)議,,基本上使用過(guò)Apache的使用者幾乎都不懷疑它的優(yōu)秀性能,, Apache也支撐了很多著名的高負(fù)載的網(wǎng)站,但是在商業(yè)機(jī)構(gòu)的評(píng)測(cè)中,,Apache往往得分不高,。很多人指出,在這些評(píng)測(cè)中,,商業(yè)Web服務(wù)器及其操作系統(tǒng)往往由其專業(yè)公司的工程師進(jìn)行過(guò)性能調(diào)整,,而Free 的操作系統(tǒng)和Web服務(wù)器往往就使用其缺省配置或僅僅作很小的更改,。需要指出的是,除了操作系統(tǒng)的性能調(diào)整之外,,Apache 服務(wù)器本身的缺省配置絕不是最優(yōu)化和最高效的,,而是要適應(yīng)幾乎所有種類操作系統(tǒng)、所有種類硬件下的設(shè)置,,多平臺(tái)的軟件不可能為特定平臺(tái)和特定硬件提供最優(yōu)化的缺省配置,。因此要使用Apache的時(shí)候,性能調(diào)整是必不可少的,。 在商業(yè)評(píng)測(cè)中忽略了的另一個(gè)事實(shí)是,,評(píng)測(cè)時(shí)往往對(duì)不同種類的功能進(jìn)行比較,例如使用Apache的標(biāo)準(zhǔn)CGI 的性能與ISAPI,,NSAPI等服務(wù)器端API比較,,事實(shí)上Apache服務(wù)器與此可以比較的功能為modperl ,F(xiàn)astCGI,,與ASP類似的功能為PHP3等等,,只不過(guò)由于Apache的開放模式,這些功能是由獨(dú)立的開發(fā)組,,作為獨(dú)立的模塊來(lái)實(shí)現(xiàn)的,。但是在評(píng)測(cè)中,測(cè)試人員沒有加入相應(yīng)的模塊評(píng)測(cè)其性能,。 * HTTP守護(hù)進(jìn)程的運(yùn)行參數(shù) httpd.conf中首先定義了一些httpd守護(hù)進(jìn)程運(yùn)行時(shí)需要的參數(shù),,來(lái)決定其運(yùn)行方式和運(yùn)行環(huán)境。 ServerType standalone ServerType 定義服務(wù)器的啟動(dòng)方式,,缺省值為獨(dú)立方式standalone,http d服務(wù)器將由其本身啟動(dòng),,并駐留在主機(jī)中監(jiān)視連接請(qǐng)求,。在FreeBSD下將在啟動(dòng)文件/usr/local/etc /rc.d/apache.sh中自動(dòng)啟動(dòng)Web服務(wù)器,這種方式是推薦設(shè)置,。 啟動(dòng)Apache服務(wù)器的另一種方式是inet方式,,使用超級(jí)服務(wù)器inetd監(jiān)視連接請(qǐng)求并啟動(dòng)服務(wù)器。當(dāng)需要使用inetd啟動(dòng)方式時(shí),,便需要更改為這個(gè)設(shè)置,,并屏蔽 /usr/local/etc/rc.d/apache .sh文件,以及更改/etc/inetd.conf并重起inetd,,那么Apache就能從inetd中啟動(dòng)了,。 兩種方式的區(qū)別是獨(dú)立方式是由服務(wù)器自身管理自己的啟動(dòng)進(jìn)程,這樣在啟動(dòng)時(shí)能立即啟動(dòng)服務(wù)器的多個(gè)副本,,每個(gè)副本都駐留在內(nèi)存中,,一有連接請(qǐng)求不需要生成子進(jìn)程就可以立即進(jìn)行處理,,對(duì)于客戶瀏覽器的請(qǐng)求反應(yīng)更快,性能較高,。而 inetd方式要由inetd發(fā)現(xiàn)有連接請(qǐng)求后才去啟動(dòng)http服務(wù)器,,由于inetd要監(jiān)聽太多的端口,因此反應(yīng)較慢,、效率較低,,但節(jié)約了沒有連接請(qǐng)求時(shí)Web服務(wù)器占用的資源。因此inetd方式只用于偶爾被訪問并且不要求訪問速度的服務(wù)器上,。事實(shí)上inetd方式不適合http的突發(fā)和多連接的特性,,因?yàn)橐粋€(gè)頁(yè)面可能包含多個(gè)圖象,而每個(gè)圖象都會(huì)引起一個(gè)連接請(qǐng)求,,即使雖然訪問人數(shù)造成教少,,但瞬間的連接請(qǐng)求并不少,這就受到inetd性能的限制,,甚至?xí)绊懹蒳netd啟動(dòng)的其他服務(wù)器程序,。 ServerRoot "/usr/local" ServerRoot用于指定守護(hù)進(jìn)程httpd的運(yùn)行目錄,httpd在啟動(dòng)之后將自動(dòng)將進(jìn)程的當(dāng)前目錄改變?yōu)檫@個(gè)目錄,,因此如果設(shè)置文件中指定的文件或目錄是相對(duì)路徑,,那么真實(shí)路徑就位于這個(gè)ServerR oot定義的路徑之下。 由于httpd會(huì)經(jīng)常進(jìn)行并發(fā)的文件操作,,就需要使用加鎖的方式來(lái)保證文件操作不沖突,,由于NFS文件系統(tǒng)在文件加鎖方面能力有限,因此這個(gè)目錄應(yīng)該是本地磁盤文件系統(tǒng),,而不應(yīng)該使用NFS文件系統(tǒng),。 #LockFile /var/run/httpd.lock LockFile參數(shù)指定了httpd守護(hù)進(jìn)程的加鎖文件,一般不需要設(shè)置這個(gè)參數(shù),,Apac he服務(wù)器將自動(dòng)在ServerRoot下面的路徑中進(jìn)行操作,。但如果ServerRoot為NFS文件系統(tǒng),便需要使用這個(gè)參數(shù)指定本地文件系統(tǒng)中的路徑,。 PidFile /var/run/httpd.pid PidFile 指定的文件將記錄httpd守護(hù)進(jìn)程的進(jìn)程號(hào),,由于httpd能自動(dòng)復(fù)制其自身,因此系統(tǒng)中有多個(gè)httpd進(jìn)程,,但只有一個(gè)進(jìn)程為最初啟動(dòng)的進(jìn)程,,它為其他進(jìn)程的父進(jìn)程,對(duì)這個(gè)進(jìn)程發(fā)送信號(hào)將影響所有的httpd進(jìn)程,。PidFILE定義的文件中就記錄 httpd父進(jìn)程的進(jìn)程號(hào),。 ScoreBoardFile /var/run/httpd.scoreboard httpd 使用ScoreBoardFile來(lái)維護(hù)進(jìn)程的內(nèi)部數(shù)據(jù),因此通常不需要改變這個(gè)參數(shù),,除非管理員想在一臺(tái)計(jì)算機(jī)上運(yùn)行幾個(gè)Apache服務(wù)器,,這時(shí)每個(gè) Apache服務(wù)器都需要獨(dú)立的設(shè)置文件htt pd.conf,,并使用不同的ScoreBoardFile。 #ResourceConfig conf/srm.conf 這兩個(gè)參數(shù)ResourceConfig和AccessConfig,,就用于和使用srm.conf和access.conf設(shè)置文件的老版本Apache 兼容,。如果沒有兼容的需要,可以將對(duì)應(yīng)的設(shè)置文件指定為/dev/null,,這將表示不存在其他設(shè)置文件,,而僅使用httpd.conf一個(gè)文件來(lái)保存所有的設(shè)置選項(xiàng)。
Timeout 300 Timeout定義客戶程序和服務(wù)器連接的超時(shí)間隔,,超過(guò)這個(gè)時(shí)間間隔(秒)后服務(wù)器將斷開與客戶機(jī)的連接,。 KeepAlive On 在HTTP 1.0中,一次連接只能作傳輸一次HTTP請(qǐng)求,,而KeepAlive參數(shù)用于支持HTTP 1.1版本的一次連接,、多次傳輸功能,這樣就可以在一次連接中傳遞多個(gè)HTTP請(qǐng)求,。雖然只有較新的瀏覽器才支持這個(gè)功能,,但還是打開使用這個(gè)選項(xiàng)。 MaxKeepAliveRequests 100 MaxKeepAliveRequests為一次連接可以進(jìn)行的HTTP請(qǐng)求的最大請(qǐng)求次數(shù),。將其值設(shè)為0將支持在一次連接內(nèi)進(jìn)行無(wú)限次的傳輸請(qǐng)求,。事實(shí)上沒有客戶程序在一次連接中請(qǐng)求太多的頁(yè)面,通常達(dá)不到這個(gè)上限就完成連接了,。 KeepAliveTimeout 15 KeepAliveTimeout測(cè)試一次連接中的多次請(qǐng)求傳輸之間的時(shí)間,,如果服務(wù)器已經(jīng)完成了一次請(qǐng)求,但一直沒有接收到客戶程序的下一次請(qǐng)求,,在間隔超過(guò)了這個(gè)參數(shù)設(shè)置的值之后,,服務(wù)器就斷開連接。 MinSpareServers 5MaxSpareServers 10 在使用子進(jìn)程處理HTTP請(qǐng)求的Web服務(wù)器上,,由于要首先生成子進(jìn)程才能處理客戶的請(qǐng)求,,因此反應(yīng)時(shí)間就有一點(diǎn)延遲。但是,,Apache服務(wù)器使用了一個(gè)特殊技術(shù)來(lái)擺脫這個(gè)問題,這就是預(yù)先生成多個(gè)空余的子進(jìn)程駐留在系統(tǒng)中,,一旦有請(qǐng)求出現(xiàn),,就立即使用這些空余的子進(jìn)程進(jìn)行處理,這樣就不存在生成子進(jìn)程造成的延遲了,。在運(yùn)行中隨著客戶請(qǐng)求的增多,,啟動(dòng)的子進(jìn)程會(huì)隨之增多,但這些服務(wù)器副本在處理完一次HTTP請(qǐng)求之后并不立即退出,,而是停留在計(jì)算機(jī)中等待下次請(qǐng)求,。但是空余的子進(jìn)程副本不能光增加不減少,,太多的空余子進(jìn)程沒有處理任務(wù),也占用服務(wù)器的處理能力,,因此也要限制空余副本的數(shù)量,,使其保持一個(gè)合適的數(shù)量,使得既能及時(shí)回應(yīng)客戶請(qǐng)求,,又能減少不必要的進(jìn)程數(shù)量,。 因此就可以使用參數(shù)MinSpareServers來(lái)設(shè)置最少的空余子進(jìn)程數(shù)量, 以及使用參數(shù)MaxSpareServers 來(lái)限制最多的空閑子進(jìn)程數(shù)量,,多余的服務(wù)器進(jìn)程副本就會(huì)退出,。根據(jù)服務(wù)器的實(shí)際情況來(lái)進(jìn)行設(shè)置,如果服務(wù)器性能較高,,并且也被頻繁訪問,,就應(yīng)該增大這兩個(gè)參數(shù)的設(shè)置。對(duì)于高負(fù)載的專業(yè)網(wǎng)站,,這兩個(gè)值應(yīng)該大致相同,,并且等同于系統(tǒng)支持的最多服務(wù)器副本數(shù)量,也減少不必要的副本退出,。 StartServers 5 StartServers 參數(shù)就是用來(lái)設(shè)置httpd啟動(dòng)時(shí)啟動(dòng)的子進(jìn)程副本數(shù)量,,這個(gè)參數(shù)與上面定義的 MinSpareServers和MaxSpareServers參數(shù)相關(guān),都是用于啟動(dòng)空閑子進(jìn)程以提高服務(wù)器的反應(yīng)速度的,。這個(gè)參數(shù)應(yīng)該設(shè)置為前兩個(gè)值之間的一個(gè)數(shù)值,,小于MinSpareServers和大于MaxS pareServers都沒有意義。 在另一方面,,服務(wù)器的能力畢竟是有限的,,不可能同時(shí)處理無(wú)限多的連接請(qǐng)求,因此參數(shù)Maxclient s就用于規(guī)定服務(wù)器支持的最多并發(fā)訪問的客戶數(shù),,如果這個(gè)值設(shè)置得過(guò)大,,系統(tǒng)在繁忙時(shí)不得不在過(guò)多的進(jìn)程之間進(jìn)行切換來(lái)為太多的客戶進(jìn)行服務(wù),這樣對(duì)每個(gè)客戶的反應(yīng)就會(huì)減慢,,并降低了整體的效率,。如果這個(gè)值設(shè)置的較小,那么系統(tǒng)繁忙時(shí)就會(huì)拒絕一些客戶的連接請(qǐng)求,。當(dāng)服務(wù)器性能較高時(shí),,就可以適當(dāng)增加這個(gè)值的設(shè)置。對(duì)于專業(yè)網(wǎng)站,,應(yīng)該使用提高服務(wù)器效率的策略,,因此這個(gè)參數(shù)不能超過(guò)硬件本身的限制,如果頻繁出現(xiàn)拒絕訪問現(xiàn)象,就說(shuō)明需要升級(jí)服務(wù)器硬件了,。對(duì)于非專業(yè)網(wǎng)站,,不太在意對(duì)客戶瀏覽器的反應(yīng)速度,或者認(rèn)為反應(yīng)速度較慢也比拒絕連接好,,就也可以略微超過(guò)硬件條件來(lái)設(shè)置這個(gè)參數(shù),。 這個(gè)參數(shù)限制了MinSpareServers和MaxSpareServers的設(shè)置,它們不應(yīng)該大于這個(gè)參數(shù)的設(shè)置,。 MaxRequestsPerChild 30 使用子進(jìn)程的方式提供服務(wù)的Web服務(wù),,常用的方式是一個(gè)子進(jìn)程為一次連接服務(wù),這樣造成的問題就是每次連接都需要生成,、退出子進(jìn)程的系統(tǒng)操作,,使得這些額外的處理過(guò)程占據(jù)了計(jì)算機(jī)的大量處理能力。因此最好的方式是一個(gè)子進(jìn)程可以為多次連接請(qǐng)求服務(wù),,這樣就不需要這些生成,、退出進(jìn)程的系統(tǒng)消耗,Apache 就采用了這樣的方式,,一次連接結(jié)束后,,子進(jìn)程并不退出,而是停留在系統(tǒng)中等待下一次服務(wù)請(qǐng)求,,這樣就極大的提高了性能,。 但由于在處理過(guò)程中子進(jìn)程要不斷的申請(qǐng)和釋放內(nèi)存,次數(shù)多了就會(huì)造成一些內(nèi)存垃圾,,就會(huì)影響系統(tǒng)的穩(wěn)定性,,并且影響系統(tǒng)資源的有效利用。因此在一個(gè)副本處理過(guò)一定次數(shù)的請(qǐng)求之后,,就可以讓這個(gè)子進(jìn)程副本退出,,再?gòu)脑嫉膆tt pd進(jìn)程中重新復(fù)制一個(gè)干凈的副本,這樣就能提高系統(tǒng)的穩(wěn)定性,。這樣,,每個(gè)子進(jìn)程處理服務(wù)請(qǐng)求次數(shù)由MaxRe questPerChild定義。缺省的設(shè)置值為30,,這個(gè)值對(duì)于具備高穩(wěn)定性特點(diǎn)的FreeBSD系統(tǒng)來(lái)講是過(guò)于保守的設(shè)置,,可以設(shè)置為1000甚至更高,設(shè)置為0支持每個(gè)副本進(jìn)行無(wú)限次的服務(wù)處理,。 #Listen 3000 Listen 參數(shù)可以指定服務(wù)器除了監(jiān)視標(biāo)準(zhǔn)的80端口之外,,還監(jiān)視其他端口的HTTP請(qǐng)求。由于FreeBSD系統(tǒng)可以同時(shí)擁有多個(gè)IP地址,,因此也可以指定服務(wù)器只聽取對(duì)某個(gè)BindAddress的IP地址的HTTP請(qǐng)求。如果沒有配置這一項(xiàng),則服務(wù)器會(huì)回應(yīng)對(duì)所有IP的請(qǐng)求,。 即使使用了 BindAddress參數(shù),,使得服務(wù)器只回應(yīng)對(duì)一個(gè)IP地址的請(qǐng)求,但是通過(guò)使用擴(kuò)展的Listen參數(shù),,仍然可以讓HTTP守護(hù)進(jìn)程回應(yīng)對(duì)其他IP地址的請(qǐng)求,。此時(shí)Listen參數(shù)的用法與上面的第二個(gè)例子相同。這種比較復(fù)雜的用法主要用于設(shè)置虛擬主機(jī),。此后可以用VirtualHost參數(shù)定義對(duì)不同IP的虛擬主機(jī),,然而這種用法是較早的HTTP 1.0標(biāo)準(zhǔn)中設(shè)置虛擬主機(jī)的方法,每針對(duì)一個(gè)虛擬主機(jī)就需要一個(gè)IP地址,,實(shí)際上用處并不大,。在HTTP 1.1中,增加了對(duì)單IP地址多域名的虛擬主機(jī)的支持,,使得虛擬主機(jī)的設(shè)置具備更大的意義,。 LoadModule mime_magic_module libexec/apache/mod_mime_magic.so
LoadModule info_module libexec/apache/mod_info.so LoadModule speling_module libexec/apache/mod_speling.so LoadModule proxy_module libexec/apache/libproxy.so LoadModule rewrite_module libexec/apache/mod_rewrite.so LoadModule anon_auth_module libexec/apache/mod_auth_anon.so LoadModule db_auth_module libexec/apache/mod_auth_db.so LoadModule digest_module libexec/apache/mod_digest.so LoadModule cern_meta_module libexec/apache/mod_cern_meta.so
LoadModule expires_module libexec/apache/mod_expires.so LoadModule headers_module libexec/apache/mod_headers.so LoadModule usertrack_module libexec/apache/mod_usertrack.so LoadModule unique_id_module libexec/apache/mod_unique_id.so ClearModuleList Apache服務(wù)器的一個(gè)重要特性就是其模塊化的結(jié)構(gòu),這不但表現(xiàn)為其能在編譯時(shí)能通過(guò)新的模塊加入新的功能,,還表現(xiàn)為其模塊可以動(dòng)態(tài)加載入http服務(wù)程序中,,而不必載入不需要的模塊。使用Apache的動(dòng)態(tài)加載模塊只需要設(shè)置好LoadModule和AddModule參數(shù)就可以了,,這種特性就是 Apache的 DSO(Dynamic Shared Object)特性,,然而要想充分使用DSO特性仍然不是一個(gè)簡(jiǎn)單的事情,不適當(dāng)?shù)母膭?dòng)這里的設(shè)置就可能造成服務(wù)器不能正常啟動(dòng),。因此如果不是要增加或減少服務(wù)器提供的功能,,就不要改動(dòng)這里的設(shè)置。 上面這些列表就顯示了FreeBSD下的缺省Apache服務(wù)器支持的模塊,,事實(shí)上很多模塊是沒有必要的,,不必要模塊不會(huì)被載入內(nèi)存。模塊可以靜態(tài)連接到Apache服務(wù)器內(nèi)部,,也可以這樣動(dòng)態(tài)加載,,將Apache的特性都編譯成動(dòng)態(tài)可加載模塊是該P(yáng)ort的做法,而不是Apache的缺省做法,,這樣就以犧牲很小的性能的同時(shí),,帶來(lái)極大的靈活性。 因而動(dòng)態(tài)可加載的能力還是對(duì)性能有輕微的影響,,因此可以重新編譯Apache,,將自己所需要的功能編譯進(jìn)Apache 服務(wù)器內(nèi)部,可以讓系統(tǒng)顯得更為干凈,,效率也有輕微的提高,。通常僅僅為了這一個(gè)目的就重新編譯Apache是沒有必要的,如果需要增加其他特性而重新編譯 Apache,不妨在增加其他模塊的同時(shí)將所有的模塊都靜態(tài)連接入Apache 服務(wù)器,。有的使用者更喜歡動(dòng)態(tài)加載模塊,,那么也不妨全部都使用動(dòng)態(tài)加載模塊。 這些模塊都被Ports Collection放置到/usr/local/libexec/apache目錄下,,每個(gè)模塊對(duì)應(yīng)Apache服務(wù)器的一個(gè)特性,。詳細(xì)解釋每個(gè)模塊的功能需要相當(dāng)多的篇幅,其中比較重要的特性將在后面相應(yīng)的地方中進(jìn)行解釋,,而具體每個(gè)模塊的功能及用法就需要查看Apache的文檔,。 #ExtendedStatus On Apache服務(wù)器可以通過(guò)特殊的HTTP請(qǐng)求,來(lái)報(bào)告自身的運(yùn)行狀態(tài),,打開這個(gè)ExtendedStatus 參數(shù)可以讓服務(wù)器報(bào)告更全面的運(yùn)行狀態(tài)信息,。 * 主服務(wù)器設(shè)置 Apache服務(wù)器需要各種設(shè)置,以定義自己使用各種參數(shù)以提供Web服務(wù),。對(duì)于使用虛擬主機(jī)的情況,,除了在虛擬主機(jī)的定義項(xiàng)中覆蓋的設(shè)置之外(有的設(shè)置必須重新定義),這里的設(shè)置也是虛擬主機(jī)的缺省設(shè)置,。 Port 80 Port定義了Standalone模式下httpd守護(hù)進(jìn)程使用的端口,,標(biāo)準(zhǔn)端口是80。這個(gè)選項(xiàng)只對(duì)于以獨(dú)立方式啟動(dòng)的服務(wù)器才有效,,對(duì)于以inetd方式啟動(dòng)的服務(wù)器則在inetd.conf中定義使用哪個(gè)端口,。 在Unix 下使用80端口需要root權(quán)限,一些管理員為了安全的原因,,認(rèn)為httpd服務(wù)器不可能沒有安全漏洞,,因而更愿意使用普通用戶的權(quán)限來(lái)啟動(dòng)服務(wù)器,這樣就不能使用80端口及其他小于1024的端口,,而必須使用大于 1024的端口來(lái)啟動(dòng)httpd,,一般情況下8000或8080也是常用的端口。而Apache httpd服務(wù)器本身可以在以root權(quán)限打開80端口后再改變?yōu)槠胀ㄓ脩羯矸葸M(jìn)行運(yùn)行,,這樣就減少了危險(xiǎn)性,,因而就不需要考慮這個(gè)安全問題。但是如果普通用戶也想安裝配置自己的WWW服務(wù)器,,那么就不得不使用大于1024的端口,,當(dāng)然普通用戶不能使用 Ports Collection進(jìn)行編譯安裝,而必須手工編譯安裝,。 User nobody Group nogroup User 和Group配置是Apache的安全保證,,Apache在打開端口之后,就將其本身設(shè)置為這兩個(gè)選項(xiàng)設(shè)置的用戶和組權(quán)限進(jìn)行運(yùn)行,,這樣就降低了服務(wù)器的危險(xiǎn)性,。這個(gè)選項(xiàng)也只用于 Standalone模式,,inetd模式在inetd.conf中指定運(yùn)行Apache的用戶。由于服務(wù)器必須執(zhí)行改變身份的setuid()操作,,因此初始進(jìn)程應(yīng)該具備root權(quán)限,,如果是使用非root用戶來(lái)啟動(dòng)Aapche,這個(gè)配置就不會(huì)發(fā)揮作用,。 缺省設(shè)置為nobody和 nogroup,這個(gè)用戶和組在系統(tǒng)中不擁有文件,,保證了服務(wù)器本身和由它啟動(dòng)的CGI 進(jìn)程沒有權(quán)限更改文件系統(tǒng),。在某些情況下,例如為了運(yùn)行CGI與Unix交互,,也需要讓服務(wù)器來(lái)訪問服務(wù)器上的文件,,如果仍然使用nobody和 nogroup,那么系統(tǒng)中將會(huì)出現(xiàn)屬于nobody的文件,,這對(duì)于系統(tǒng)安全是不利的,,因?yàn)槠渌绦蛞矔?huì)以nobody和nogroup的權(quán)限執(zhí)行某些操作,就有可能訪問這些nobody擁有的文件,,造成安全問題,。一般情況下要為Web服務(wù)設(shè)定一個(gè)特定的用戶和組,同時(shí)在這里更改用戶和組設(shè)置,。 ServerAdmin [email protected] 配置文件中應(yīng)該改變的也許只有ServerAdmin,,這一項(xiàng)用于配置WWW服務(wù)器的管理員的email地址,這將在HTTP服務(wù)出現(xiàn)錯(cuò)誤的條件下返回給瀏覽器,,以便讓W(xué)eb使用者和管理員聯(lián)系,,報(bào)告錯(cuò)誤。習(xí)慣上使用服務(wù)器上的webmaster作為WWW服務(wù)器的管理員,,通過(guò)郵件服務(wù)器的別名機(jī)制,,將發(fā)送到webmaster 的電子郵件發(fā)送給真正的Web管理員。 #ServerName new.host.name 缺省情況下,,并不需要指定這個(gè)ServerName參數(shù),,服務(wù)器將自動(dòng)通過(guò)名字解析過(guò)程來(lái)獲得自己的名字,但如果服務(wù)器的名字解析有問題(通常為反向解析不正確),,或者沒有正式的DNS名字,,也可以在這里指定I P地址。當(dāng)ServerName設(shè)置不正確的時(shí)候,,服務(wù)器不能正常啟動(dòng),。
通常一個(gè) Web服務(wù)器可以具有多個(gè)名字,客戶瀏覽器可以使用所有這些名字或IP地址來(lái)訪問這臺(tái)服務(wù)器,,但在沒有定義虛擬主機(jī)的情況下,,服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器,。ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字,例如一臺(tái)服務(wù)器名字(在DNS中定義了A類型)為 freebsd.,,同時(shí)為了方便記憶還定義了一個(gè)別名(CNAME記錄)為www.,,那么 Apache自動(dòng)解析得到的名字就為freebsd.,這樣不管客戶瀏覽器使用哪個(gè)名字發(fā)送請(qǐng)求,,服務(wù)器總是告訴客戶程序自己為freebsd.,。雖然這一般并不會(huì)造成什么問題,但是考慮到某一天服務(wù)器可能遷移到其他計(jì)算機(jī)上,,而只想通過(guò)更改 DNS中的www別名配置就完成遷移任務(wù),,所以不想讓客戶在其書簽中使用 freebsd記錄下這個(gè)服務(wù)器的地址,就必須使用ServerName來(lái)重新指定服務(wù)器的正式名字,。 DocumentRoot "/usr/local/www/data" DocumentRoot定義這個(gè)服務(wù)器對(duì)外發(fā)布的超文本文檔存放的路徑,,客戶程序請(qǐng)求的UR L就被映射為這個(gè)目錄下的網(wǎng)頁(yè)文件。這個(gè)目錄下的子目錄,,以及使用符號(hào)連接指出的文件和目錄都能被瀏覽器訪問,,只是要在URL上使用同樣的相對(duì)目錄名。 注意,,符號(hào)連接雖然邏輯上位于根文檔目錄之下,,但實(shí)際上可以位于計(jì)算機(jī)上的任意目錄中,因此可以使客戶程序能訪問那些根文檔目錄之外的目錄,,這在增加了靈活性的同時(shí)但減少了安全性,。Apache在目錄的訪問控制中提供了Fol lowSymLinks選項(xiàng)來(lái)打開或關(guān)閉支持符號(hào)連接的特性。 Options FollowSymLinks Apache 服務(wù)器可以針對(duì)目錄進(jìn)行文檔的訪問控制,,然而訪問控制可以通過(guò)兩種方式來(lái)實(shí)現(xiàn),,一個(gè)是在設(shè)置文件 httpd.conf(或access.conf)中針對(duì)每個(gè)目錄進(jìn)行設(shè)置,另一個(gè)方法是在每個(gè)目錄下設(shè)置訪問控制文件,,通常訪問控制文件名字為. htaccess,。雖然使用這兩個(gè)方式都能用于控制瀏覽器的訪問,然而使用配置文件的方法要求每次改動(dòng)后重新啟動(dòng)httpd守護(hù)進(jìn)程,,比較不靈活,,因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略,而使用每個(gè)目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便,。 Directory 語(yǔ)句就是用來(lái)定義目錄的訪問限制的,,這里可以看出它的標(biāo)準(zhǔn)語(yǔ)法,為一個(gè)目錄定義訪問限制,。上例的這個(gè)設(shè)置是針對(duì)系統(tǒng)的根目錄進(jìn)行的,,設(shè)置了允許符號(hào)連接的選項(xiàng)FollowSymLinks ,以及使用AllowOverride None表示不允許這個(gè)目錄下的訪問控制文件來(lái)改變這里進(jìn)行的配置,,這也意味著不用查看這個(gè)目錄下的相應(yīng)訪問控制文件,。 由于Apache 對(duì)一個(gè)目錄的訪問控制設(shè)置是能夠被下一級(jí)目錄繼承的,,因此對(duì)根目錄的設(shè)置將影響到它的下級(jí)目錄。注意由于AllowOverride None的設(shè)置,,使得Apache服務(wù)器不需要查看根目錄下的訪問控制文件,,也不需要查看以下各級(jí)目錄下的訪問控制文件,直至httpd.conf(或 access.conf )中為某個(gè)目錄指定了允許Alloworride,,即允許查看訪問控制文件,。由于Apache對(duì)目錄訪問控制是采用的繼承方式,如果從根目錄就允許查看訪問控制文件,,那么Apache就必須一級(jí)一級(jí)的查看訪問控制文件,,對(duì)系統(tǒng)性能會(huì)造成影響。而缺省關(guān)閉了根目錄的這個(gè)特性,,就使得Apache從 httpd.conf中具體指定的目錄向下搜尋,減少了搜尋的級(jí)數(shù),,增加了系統(tǒng)性能,。因此對(duì)于系統(tǒng)根目錄設(shè)置AllowOverride None不但對(duì)于系統(tǒng)安全有幫助,也有益于系統(tǒng)性能,。 Options Indexes FollowSymLinks 這里定義的是系統(tǒng)對(duì)外發(fā)布文檔的目錄的訪問設(shè)置,,設(shè)置不同的AllowOverride選項(xiàng),以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系,,而Options選項(xiàng)用于定義該目錄的特性,。 配置文件和每個(gè)目錄下的訪問控制文件都可以設(shè)置訪問限制,設(shè)置文件是由管理員設(shè)置的,,而每個(gè)目錄下的訪問控制文件是由目錄的屬主設(shè)置的,,因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置,這就需要使用 AllowOverride參數(shù)進(jìn)行設(shè)置,,通??梢栽O(shè)置的值為: 每個(gè)目錄具備一定屬性,可以使用Options來(lái)控制這個(gè)目錄下的一些訪問特性設(shè)置,,以下為常用的特性選項(xiàng): 此外,,上例中還使用了Order,、Allow、Deny等參數(shù),,這是Limit語(yǔ)句中用來(lái)根據(jù)瀏覽器的域名和 IP地址來(lái)控制訪問的一種方式,。其中Order定義處理Allow和Deny的順序,而Allow,、Deny則針對(duì)名字或IP進(jìn)行訪問控制設(shè)置,,上例使用 allow from all,表示允許所有的客戶機(jī)訪問這個(gè)目錄,,而不進(jìn)行任何限制,。 UserDir public_html 當(dāng)在一臺(tái)FreeBSD上運(yùn)行Apache服務(wù)器時(shí),這臺(tái)計(jì)算機(jī)上的所有用戶都可以有自己的網(wǎng)頁(yè)路徑,,形如 http://freebsd./~user |
|
|
來(lái)自: Dead n Gone > 《CentOS》
