上山打老虎 发表于 2021-8-12 13:50:13

linux Apache服务器系统安全设置与优化

Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf,access.conf和srm.conf,来配置Apache服务器的行为。httpd.conf提供了最基本的服务器配置,是对守护程序httpd如何运行的技术描述;srm.conf是服务器的资源映射文件,告诉服务器各种文件的MIME类型,以及如何支持这些文件;access.conf用于配置服务器的访问权限,控制不同用户和计算机的访问限制;这三个配置文件控制着服务器的各个方面的特性,因此为了正常运行服务器便需要设置好这三个文件。
除了这三个设置文件之外,Apache还使用mime.types文件用于标识不同文件对应的MIME类型,magic文件设置不同MIME类型文件的一些特殊标识,使得Apache服务器从文档后缀不能判断出文件的MIME类型时,能通过文件内容中的这些特殊标记来判断文档的MIME类型。$pwd/usr/local/apache/conf$lsaccess.confhttpd.conf.OLDmagic.defaultsrm.confaccess.conf.defaulthttpd.conf.SAVEmime.typessrm.conf.defaulthttpd.confmagicmime.types.default
新版本的Apache将原来httpd.conf、srm.conf与access.conf中的所有配置参数均放在了一个配置文件httpd.conf中,只是为了与以前的版本兼容的原因(使用这三个设置文件的方式来源于NCSA-httpd),才使用三个配置文件。而提供的access.conf和srm.conf文件中没有具体的设置。
由于在新版本的Apache中,所有的设置都被放在了httpd.conf中,因此只需要调整这个文件中的设置。本文基于redhat7.2下的httpd.conf为例,解释Apache服务器的各个设置选项,当然,其配置方法可扩展到几乎所有unix系统。
虽然Apache提供设置的参数很多,基本上这些参数都很明确,也可以不加改动运行Apache服务器。但如果需要调整Apache服务器的性能,以及增加对某种特性的支持,就需要了解这些设置参数的含义。
需要指出的是,除了操作系统的性能调整之外,Apache服务器本身的缺省配置绝不是最优化和最高效的,而是要适应几乎所有种类操作系统、所有种类硬件下的设置,多平台的软件不可能为特定平台和特定硬件提供最优化的缺省配置。因此要使用Apache的时候,性能调整是必不可少的。
httpd.conf基本配置与性能优化的关系
httpd.conf中首先定义了一些httpd守护进程运行时需要的参数,来决定其运行方式和运行环境。下面就httpd.conf中的配置参数的定义及其各种配置、优化方法进行逐项说明:
(优化没有捷径,必须首先清楚各配置的含义)
ServerTypestandalone
ServerType定义服务器的启动方式,缺省值为独立方式standalone,httpd服务器将由其本身启动,并驻留在主机中监视连接请求。在Linux下将在启动文件/etc/rc.d/rc.local/init.d/apache中自动启动Web服务器,这种方式是推荐设置。
启动Apache服务器的另一种方式是inet方式,使用超级服务器inetd监视连接请求并启动服务器。当需要使用inetd启动方式时,便需要更改为这个设置,并屏蔽/etc/rc.d/rc.local/init.d/apache文件,以及更改/etc/inetd.conf并重起inetd,那么Apache就能从inetd中启动了。
两种方式的区别是独立方式是由服务器自身管理自己的启动进程,这样在启动时能立即启动服务器的多个副本,每个副本都驻留在内存中,一有连接请求不需要生成子进程就可以立即进行处理,对于客户浏览器的请求反应更快,性能较高。而inetd方式要由inetd发现有连接请求后才去启动http服务器,由于inetd要监听太多的端口,因此反应较慢、效率较低,但节约了没有连接请求时Web服务器占用的资源。因此inetd方式只用于偶尔被访问并且不要求访问速度的服务器上。事实上inetd方式不适合http的突发和多连接的特性,因为一个页面可能包含多个图象,而每个图象都会引起一个连接请求,即使虽然访问人数造成教少,但瞬间的连接请求并不少,这就受到inetd性能的限制,甚至会影响由inetd启动的其他服务器程序。
ServerRoot"/usr/local"
ServerRoot用于指定守护进程httpd的运行目录,httpd在启动之后将自动将进程的当前目录改变为这个目录,因此如果设置文件中指定的文件或目录是相对路径,那么真实路径就位于这个ServerRoot定义的路径之下。
由于httpd会经常进行并发的文件操作,就需要使用加锁的方式来保证文件操作不冲突,由于NFS文件系统在文件加锁方面能力有限,因此这个目录应该是本地磁盘文件系统,而不应该使用NFS文件系统。
#LockFile/var/lock/httpd.lock
LockFile参数指定了httpd守护进程的加锁文件,一般不需要设置这个参数,Apache服务器将自动在ServerRoot下面的路径中进行操作。但如果ServerRoot为NFS文件系统,便需要使用这个参数指定本地文件系统中的路径,以提高读写速度。
PidFile/var/run/httpd.pid
PidFile指定的文件将记录httpd守护进程的进程号,由于httpd能自动复制其自身,因此系统中有多个httpd进程,但只有一个进程为最初启动的进程,它为其他进程的父进程,对这个进程发送信号将影响所有的httpd进程。PidFILE定义的文件中就记录httpd父进程的进程号。
ScoreBoardFile/var/run/httpd.scoreboard
httpd使用ScoreBoardFile来维护进程的内部数据,因此通常不需要改变这个参数,除非管理员想在一台计算机上运行几个Apache服务器,这时每个Apache服务器都需要独立的设置文件httpd.conf,并使用不同的ScoreBoardFile。
#ResourceConfigconf/srm.conf#AccessConfigconf/access.conf
这两个参数ResourceConfig和AccessConfig,就用于和使用srm.conf和access.conf设置文件的老版本Apache兼容。如果没有兼容的需要,可以将对应的设置文件指定为/dev/null,这将表示不存在其他设置文件,而仅使用httpd.conf一个文件来保存所有的设置选项。
Timeout300
Timeout定义客户程序和服务器连接的超时间隔,超过这个时间间隔(秒)后服务器将断开与客户机的连接。如果服务器的负载较重,可适当把此数字调小。
KeepAliveOn
在HTTP1.0中,一次连接只能作传输一次HTTP请求,而KeepAlive参数用于支持HTTP的一次连接、多次传输功能,这样就可以在一次连接中传递多个HTTP请求。
MaxKeepAliveRequests100
MaxKeepAliveRequests为一次连接可以进行的HTTP请求的最大请求次数。将其值设为0将支持在一次连接内进行无限次的传输请求。事实上没有客户程序在一次连接中请求太多的页面,通常达不到这个上限就完成连接了。可以适当将此数字调小,以获取最大速度。
KeepAliveTimeout15
KeepAliveTimeout测试一次连接中的多次请求传输之间的时间,如果服务器已经完成了一次请求,但一直没有接收到客户程序的下一次请求,在间隔超过了这个参数设置的值之后,服务器就断开连接。可以适当调小这个数值,以尽快释放空闲的连接。但也不可太小,不然多数客户都要重新连接,将耗费CPU时间。
MinSpareServers5MaxSpareServers10
在使用子进程处理HTTP请求的Web服务器上,由于要首先生成子进程才能处理客户的请求,因此反应时间就有一点延迟。但是,Apache服务器使用了一个特殊技术来摆脱这个问题,这就是预先生成多个空余的子进程驻留在系统中,一旦有请求出现,就立即使用这些空余的子进程进行处理,这样就不存在生成子进程造成的延迟了。在运行中随着客户请求的增多,启动的子进程会随之增多,但这些服务器副本在处理完一次HTTP请求之后并不立即退出,而是停留在计算机中等待下次请求。但是空余的子进程副本不能光增加不减少,太多的空余子进程没有处理任务,也占用服务器的处理能力,因此也要限制空余副本的数量,使其保持一个合适的数量,使得既能及时回应客户请求,又能减少不必要的进程数量。
因此就可以使用参数MinSpareServers来设置最少的空余子进程数量,以及使用参数MaxSpareServers来限制最多的空闲子进程数量,多余的服务器进程副本就会退出。根据服务器的实际情况来进行设置,如果服务器性能较高,并且也被频繁访问,就应该增大这两个参数的设置。对于高负载的专业网站,这两个值应该大致相同,并且等同于系统支持的最多服务器副本数量,也减少不必要的副本退出。
比如,当系统高负载时,可以这样检测:
$ps-ef|grepapache|wc55....$
这表明,高负载时有55个运行子进程,如果此服务器为WEB专用服务器,就应该考虑将这两个数值分别设为50、60,或者40、70,具体以速度测试结果为准。
StartServers5
StartServers参数就是用来设置httpd启动时启动的子进程副本数量,这个参数与上面定义的MinSpareServers和MaxSpareServers参数相关,都是用于启动空闲子进程以提高服务器的反应速度的。这个参数应该设置为前两个值之间的一个数值,小于MinSpareServers和大于MaxSpareServers都没有意义。
MaxClients150
在另一方面,服务器的能力毕竟是有限的,不可能同时处理无限多的连接请求,因此参数Maxclients就用于规定服务器支持的最多并发访问的客户数,如果这个值设置得过大,系统在繁忙时不得不在过多的进程之间进行切换来为太多的客户进行服务,这样对每个客户的反应就会减慢,并降低了整体的效率。如果这个值设置的较小,那么系统繁忙时就会拒绝一些客户的连接请求。当服务器性能较高时,就可以适当增加这个值的设置。对于专业网站,应该使用提高服务器效率的策略,因此这个参数不能超过硬件本身的限制,如果频繁出现拒绝访问现象,就说明需要升级服务器硬件了。当不太在意对客户浏览器的反应速度,或者认为反应速度较慢也比拒绝连接好,就也可以略微超过硬件条件来设置这个参数。
但具体这个数值以多少为宜呢?当对性能要求较高时,可以用下面的方法确定如何配置此参数。
首先,估计你的最大可能并发的连接数,或者在高负载时用ps-ef|grepapache|wc命令测得最大进程数,通常MaxClients应该是这个数值的两倍左右。如果当前网站在高负载时的访问速度可以接受,但有拒绝服务现象,则应把此参数调大,如果无拒绝服务现象,但访问速度缓慢,则应减低此数值。
这个参数同时限制了MinSpareServers和MaxSpareServers的设置,它们不应该大于这个参数的设置。
对于重负载的机器来说,仅仅这么做还是不够的。
Apache允许为请求开的最大进程数是256,MaxClients的限制是256.如果用户多了,用户就只能看到Waitingforreply....然后等到下一个可用进程的出现。这个最大数,是Apache的程序决定的--它的NT版可以有1024,但Unix版只有256,你可以在include/httpd.h中
看到:#ifndefHARD_SERVER_LIMIT#ifdefWIN32#defineHARD_SERVER_LIMIT1024#else#defineHARD_SERVER_LIMIT256#endif#endif
你可以把它调到1024,然后再编译你的系统。记得在httpd.conf里也要更改相应配置。
MaxRequestsPerChild30
使用子进程的方式提供服务的Web服务,常用的方式是一个子进程为一次连接服务,这样造成的问题就是每次连接都需要生成、退出子进程的系统操作,使得这些额外的处理过程占据了计算机的大量处理能力。因此最好的方式是一个子进程可以为多次连接请求服务,这样就不需要这些生成、退出进程的系统消耗,Apache就采用了这样的方式,一次连接结束后,子进程并不退出,而是停留在系统中等待下一次服务请求,这样就极大的提高了性能。
但由于在处理过程中子进程要不断的申请和释放内存,次数多了就会造成一些内存垃圾,就会影响系统的稳定性,并且影响系统资源的有效利用。因此在一个副本处理过一定次数的请求之后,就可以让这个子进程副本退出,再从原始的httpd进程中重新复制一个干净的副本,这样就能提高系统的稳定性。这样,每个子进程处理服务请求次数由MaxRequestPerChild定义。缺省的设置值为30,这个值对于具备高稳定性特点的Linux系统来讲是过于保守的设置,可以设置为1000甚至更高,设置为0支持每个副本进行无限次的服务处理。
#Listen3000#Listen12.34.56.78:80#BindAddress*
Listen参数可以指定服务器除了监视标准的80端口之外,还监视其他端口的HTTP请求。由于系统可以同时拥有多个IP地址,因此也可以指定服务器只听取对某个BindAddress;的IP地址的HTTP请求。如果没有配置这一项,则服务器会回应对所有IP的请求。
即使使用了BindAddress参数,使得服务器只回应对一个IP地址的请求,但是通过使用扩展的Listen参数,仍然可以让HTTP守护进程回应对其他IP地址的请求。此时Listen参数的用法与上面的第二个例子相同。这种比较复杂的用法主要用于设置虚拟主机。此后可以用VirtualHost参数定义对不同IP的虚拟主机,然而这种用法是较早的HTTP1.0标准中设置虚拟主机的方法,每针对一个虚拟主机就需要一个IP地址,实际上用处并不大。在HTTP1.1中,增加了对单IP地址多域名的虚拟主机的支持,使得虚拟主机的设置具备更大的意义。
模块变量
LoadModulemime_magic_modulelibexec/apache/mod_mime_magic.so
LoadModuleinfo_modulelibexec/apache/mod_info.so
LoadModulespeling_modulelibexec/apache/mod_speling.so
LoadModuleproxy_modulelibexec/apache/libproxy.so
LoadModulerewrite_modulelibexec/apache/mod_rewrite.so
LoadModuleanon_auth_modulelibexec/apache/mod_auth_anon.so
LoadModuledb_auth_modulelibexec/apache/mod_auth_db.so
LoadModuledigest_modulelibexec/apache/mod_digest.so
LoadModulecern_meta_modulelibexec/apache/mod_cern_meta.so
LoadModuleexpires_modulelibexec/apache/mod_expires.so
LoadModuleheaders_modulelibexec/apache/mod_headers.so
LoadModuleusertrack_modulelibexec/apache/mod_usertrack.so
LoadModuleunique_id_modulelibexec/apache/mod_unique_id.so
ClearModuleList
AddModulemod_env.c
AddModulemod_log_config.c
AddModulemod_mime_magic.c
AddModulemod_mime.c
AddModulemod_negotiation.c
AddModulemod_status.c
AddModulemod_info.c
AddModulemod_include.c
AddModulemod_autoindex.c
AddModulemod_dir.c
AddModulemod_cgi.c
AddModulemod_asis.c
AddModulemod_imap.c
AddModulemod_actions.c
AddModulemod_speling.c
AddModulemod_userdir.c
AddModulemod_proxy.c
AddModulemod_alias.c
AddModulemod_rewrite.c
AddModulemod_access.c
AddModulemod_auth.c
AddModulemod_auth_anon.c
AddModulemod_auth_db.c
AddModulemod_digest.c
AddModulemod_cern_meta.c
AddModulemod_expires.c
AddModulemod_headers.c
AddModulemod_usertrack.c
AddModulemod_unique_id.c
AddModulemod_so.c
AddModulemod_setenvif.c
Apache服务器的一个重要特性就是其模块化的结构,这不但表现为其能在编译时能通过新的模块加入新的功能,还表现为其模块可以动态加载入http服务程序中,而不必载入不需要的模块。
使用Apache的动态加载模块只需要设置好LoadModule和AddModule参数就可以了,这种特性就是Apache的DSO(DynamicSharedObject)特性,然而要想充分使用DSO特性仍然不是一个简单的事情,不适当的改动这里的设置就可能造成服务器不能正常启动。因此如果不是要增加或减少服务器提供的功能,就不要改动这里的设置。
上面这些列表就显示了Linux下的缺省Apache服务器支持的模块,事实上很多模块是没有必要的,不必要模块不会被载入内存。模块可以静态连接到apache服务器内部,也可以这样动态加载,将Apache的特性都编译成动态可加载模块是该Port的做法,而不是Apache的缺省做法,这样就以牺牲很小的性能的同时,带来极大的灵活性。
因而动态可加载的能力还是对性能有轻微的影响,因此可以重新编译Apache,将自己所需要的功能编译进Apache服务器内部,可以让系统显得更为干净,效率也有轻微的提高。通常仅仅为了这一个目的就重新编译Apache是没有必要的,如果需要增加其他特性而重新编译Apache,不妨在增加其他模块的同时将所有的模块都静态连接入Apache服务器。
这些模块都被放置到/usr/local/apache/modules/目录下,每个模块对应Apache服务器的一个特性。详细解释每个模块的功能需要相当多的篇幅,其中比较重要的特性将在后面相应的地方中进行解释。
#ExtendedStatusOn
Apache服务器可以通过特殊的HTTP请求,来报告自身的运行状态,在使用测试工具测试时,打开这个ExtendedStatus参数可以让服务器报告更全面的运行状态信息。
主服务器设置
Apache服务器需要各种设置,以定义自己使用各种参数以提供Web服务。对于使用虚拟主机的情况,除了在虚拟主机的定义项中覆盖的设置之外(有的设置必须重新定义),这里的设置也是虚拟主机的缺省设置。
Port80
Port定义了Standalone模式下httpd守护进程使用的端口,标准端口是80。这个选项只对于以独立方式启动的服务器才有效,对于以inetd方式启动的服务器则在inetd.conf中定义使用哪个端口。
在Unix下使用80端口需要root权限,一些管理员为了安全的原因,认为httpd服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器,这样就不能使用80端口及其他小于1024的端口,而必须使用大于1024的端口来启动httpd,一般情况下8000或8080也是常用的端口。而Apachehttpd服务器本身可以在以root权限打开80端口后再改变为普通用户身份进行运行,这样就减少了危险性,因而就不需要考虑这个安全问题。但是如果普通用户也想安装配置自己的WWW服务器,那么就不得不使用大于1024的端口。
UsernobodyGroupnogroup
User和Group配置是Apache的安全保证,Apache在打开端口之后,就将其本身设置为这两个选项设置的用户和组权限进行运行,这样就降低了服务器的危险性。这个选项也只用于Standalone模式,inetd模式在inetd.conf中指定运行Apache的用户。由于服务器必须执行改变身份的setuid()操作,因此初始进程应该具备root权限,如果是使用非root用户来启动Aapche,这个配置就不会发挥作用。
缺省设置为nobody和nogroup,这个用户和组在系统中不拥有文件,保证了服务器本身和由它启动的CGI进程没有权限更改文件系统。在某些情况下,例如为了运行CGI与Unix交互,也需要让服务器来访问服务器上的文件,如果仍然使用nobody和nogroup,那么系统中将会出现属于nobody的文件,这对于系统安全是不利的,因为其他程序也会以nobody和nogroup的权限执行某些操作,就有可能访问这些nobody拥有的文件,造成安全问题。一般情况下要为Web服务设定一个特定的用户和组,同时在这里更改用户和组设置。
ServerAdminyou@your.address
配置文件中应该改变的也许只有ServerAdmin,这一项用于配置WWW服务器的管理员的email地址,这将在HTTP服务出现错误的条件下返回给浏览器,以便让Web使用者和管理员联系,报告错误。习惯上使用服务器上的webmaster作为WWW服务器的管理员,通过邮件服务器的别名机制,将发送到webmaster的电子邮件发送给真正的Web管理员。
#ServerNamenew.host.name
缺省情况下,并不需要指定这个ServerName参数,服务器将自动通过名字解析过程来获得自己的名字,但如果服务器的名字解析有问题(通常为反向解析不正确),或者没有正式的DNS名字,也可以在这里指定IP地址。当ServerName设置不正确的时候,服务器不能正常启动。
通常一个Web服务器可以具有多个名字,客户浏览器可以使用所有这些名字或IP地址来访问这台服务器,但在没有定义虚拟主机的情况下,服务器总是以自己的正式名字回应浏览器。ServerName就定义了Web服务器自己承认的正式名字,例如一台服务器名字(在DNS中定义了A类型)为exmaple.org.cn,同时为了方便记忆还定义了一个别名(CNAME记录)为www.exmaple.org.cn,那么Apache自动解析得到的名字就为example.org.cn,这样不管客户浏览器使用哪个名字发送请求,服务器总是告诉客户程序自己为example.org.cn。虽然这一般并不会造成什么问题,但是考虑到某一天服务器可能迁移到其他计算机上,而只想通过更改DNS中的www别名配置就完成迁移任务,所以不想让客户在其书签中使用Linux记录下这个服务器的地址,就必须使用ServerName来重新指定服务器的正式名字。
DocumentRoot"/www/"
DocumentRoot定义这个服务器对外发布的超文本文档存放的路径,客户程序请求的URL就被映射为这个目录下的网页文件。这个目录下的子目录,以及使用符号连接指出的文件和目录都能被浏览器访问,只是要在URL上使用同样的相对目录名。
注意,符号连接虽然逻辑上位于根文档目录之下,但实际上可以位于计算机上的任意目录中,因此可以使客户程序能访问那些根文档目录之外的目录,这在增加了灵活性的同时但减少了安全性。Apache在目录的访问控制中提供了FollowSymLinks选项来打开或关闭支持符号连接的特性。
OptionsFollowSymLinks
AllowOverrideNone
Apache服务器可以针对目录进行文档的访问控制,然而访问控制可以通过两种方式来实现,一个是在设置文件httpd.conf(或access.conf)中针对每个目录进行设置,另一个方法是在每个目录下设置访问控制文件,通常访问控制文件名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问,然而使用配置文件的方法要求每次改动后重新启动httpd守护进程,比较不灵活,因此主要用于配置服务器系统的整体安全控制策略,而使用每个目录下的.htaccess文件设置具体目录的访问控制更为灵活方便。
Directory语句就是用来定义目录的访问限制的,这里可以看出它的标准语法,为一个目录定义访问限制。上例的这个设置是针对系统的根目录进行的,设置了允许符号连接的选项FollowSymLinks,以及使用AllowOverrideNone表示不允许这个目录下的访问控制文件来改变这里进行的配置,这也意味着不用查看这个目录下的相应访问控制文件。
由于Apache对一个目录的访问控制设置是能够被下一级目录继承的,因此对根目录的设置将影响到它的下级目录。注意由于AllowOverrideNone的设置,使得Apache服务器不需要查看根目录下的访问控制文件,也不需要查看以下各级目录下的访问控制文件,直至httpd.conf(或access.conf)中为某个目录指定了允许Alloworride,即允许查看访问控制文件。由于Apache对目录访问控制是采用的继承方式,如果从根目录就允许查看访问控制文件,那么Apache就必须一级一级的查看访问控制文件,对系统性能会造成影响。而缺省关闭了根目录的这个特性,就使得Apache从httpd.conf中具体指定的目录向下搜寻,减少了搜寻的级数,增加了系统性能。因此对于系统根目录设置AllowOverrideNone不但对于系统安全有帮助,也有益于系统性能。
OptionsIndexesFollowSymLinks
AllowOverrideNone
Orderallow,deny
Allowfromall
这里定义的是系统对外发布文档的目录的访问设置,设置不同的AllowOverride选项,以定义配置文件中的目录设置和用户目录下的安全控制文件的关系,而Options选项用于定义该目录的特性。
配置文件和每个目录下的访问控制文件都可以设置访问限制,设置文件是由管理员设置的,而每个目录下的访问控制文件是由目录的属主设置的,因此管理员可以规定目录的属主是否能覆盖系统在设置文件中的设置,这就需要使用啊AllowOverride参数进行设置,通常可以设置的值为:AllowOverride的设置对每个目录访问控制文件作用的影响All缺省值,使访问控制文件可以覆盖系统配置
None服务器忽略访问控制文件的设置
Options允许访问控制文件中可以使用Options参数定义目录的选项
FileInfo允许访问控制文件中可以使用AddType等参数设置
AuthConfig允许访问控制文件使用AuthName,AuthType等针对每个用户的认证机制,这使目录属主能用口令和用户名来保护目录Limit允许对访问目录的客户机的IP地址和名字进行限制
每个目录具备一定属性,可以使用Options来控制这个目录下的一些访问特性设置,以下为常用的特性选项:
Options设置服务器特性设置
All所有的目录特性都有效,这是缺省状态
None所有的目录特性都无效
FollowSymLinks允许使用符号连接,这将使浏览器有可能访问文档根目录(DocumentRoot)之外的文档SymLinksIfOwnerMatch只有符号连接的目的与符号连接本身为同一用户所拥有时,才允许访问,这个设置将增加一些安全性
ExecCGI允许这个目录下可以执行CGI程序Indexes允许浏览器可以生成这个目录下所有文件的索引,使得在这个目录下没有index.html(或其他索引文件)时,能向浏览器发送这个目录下的文件列表
此外,上例中还使用了Order、Allow、Deny等参数,这是Limit语句中用来根据浏览器的域名和IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序,而Allow、Deny则针对名字或IP进行访问控制设置,上例使用allowfromall,表示允许所有的客户机访问这个目录,而不进行任何限制。
UserDirpublic_html
当在一台Linux上运行Apache服务器时,这台计算机上的所有用户都可以有自己的网页路径,形如http://example.org.cn/~use...,使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录,其名字就用UseDir这个参数进行定义,缺省为public_html。如果不想为正式的用户提供网页服务,使用DISABLED作UserDir的参数即可。
#AllowOverrideFileInfoAuthConfigLimit
#OptionsMultiViewsIndexesSymLinksIfOwnerMatchIncludesNoExec
#Orderallow,deny
#Allowfromall
#Orderdeny,allow
#Denyfromall
这里可以看到Directory的另一个用法,即可以通过简单的模式匹配方法,针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理,因此就会降低服务器的性能,所以缺省情况并没有打开这种访问限制。
这里可以看到另外一个语句Limit,Limit语句就是用来针对具体的请求方法来设定访问控制的,其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数,来设定对不同请求方法的访问限制。一般可以打开对GET、POST、HEAD三种请求方法,而屏蔽其他的请求方法,以增加安全性。Limit语句中,可以用Order、Allow、Deny,Allow和Deny中可以使用匹配的方法针对域名和IP进行限制,只是对于域名是从后向前匹配,对于IP地址则从前向后匹配。
DirectoryIndexindex.html
很多情况下,URL中并没有指定文档的名字,而只是给出了一个目录名。那么Apache服务器就自动返回这个目录下由DirectoryIndex定义的文件,当然可以指定多个文件名字,系统会这个目录下顺序搜索。当所有由DirectoryIndex指定的文件都不存在时,Apache服务器可以根据系统设置,生成这个目录下的所有文件列表,提供用户选择。此时该目录的访问控制选项中的Indexes选项(OptionsIndexes)必须打开,以使得服务器能够生成目录列表,否则Apache将拒绝访问。
AccessFileName.htaccess
AccessFileName定义每个目录下的访问控制文件的文件名,缺省为.htaccess,可以通过更改这个文件,来改变不同目录的访问控制限制。
Orderallow,deny
Denyfromall
除了可以针对目录进行访问控制之外,还可以根据文件来设置访问控制,这就是File语句的任务。使用File语句,不管文件处于哪个目录,只要名字匹配,就必须接受相应的访问控制。这个语句对于系统安全比较重要,例如上例将屏蔽所有的使用者不能访问.htaccess文件,这样就避免.htaccess中的关键安全信息不至于被客户获取。
#CacheNegotiatedDocs
缺省情况下如果代理服务器和Apache服务器协商是否缓存其网页,Apache给予否定的回答,不希望自己的网页被代理服务器缓存。然而这样就不能有效的利用代理服务器的优势,因此可以设置CacheNegotiatieDocs选项,使得代理服务器可以对网页进行缓存。然而即使不设置这个选项,有的代理服务器(或通过调整设置)也能对网页进行缓存。
UseCanonicalNameOn
打开这个UseCanonicalName是Web服务器的标准做法,因为客户发送的大部分请求都是对本服务器的引用,这样服务器就能使用ServerName和Port选项的设置内容构建完整的URL,并回应客户,使浏览器能得到规范的URL。如果将这个参数设置为Off,那么Apache将使用从客户请求中获得服务器的名字和端口值(支持HTTP1.1的客户的请求中将会有这些信息),重新构建URL。
TypesConfig/etc/mime.types
TypeConfig用于设置保存有不同的MIME类型数据的文件名,在Linux下缺省设置为/usr/local/apache/etc/mime.types或者/etc/mime.types。
DefaultTypetext/plain
如果Web服务器不能决定一个文档的缺省类型,这通常表示文档使用了非标准的后缀,那么服务器就使用DefaultType定义的MIME类型将文档发送给客户浏览器。这里的设置为text/plain,这样设置的问题是,如果服务器不能判断出文档的MIME,那么大部分情况下这个文档为一个二进制文档,但使用text/plain格式发送回去,浏览器将在内部打开它而不会提示保存。因此建议将这个设置更改为application/octet-stream,这样浏览器将提示用户进行保存。
MIMEMagicFile/usr/share/magic
除了从文件的后缀出发来判断文件的MIME类型之外,Apache还可以进一步分析文件的一些特征,来判断文件的真实MIME类型。这个功能是由mod_mime_magic模块实现的,它需要一个记录各种MIME类型特征的文件,以进行分析判断。上面的设置是一个条件语句,如果载入了这个模块,就必须指定相应的标志文件magic的位置。
HostnameLookupsOff
通常连接时,服务器仅仅可以得到客户机的IP地址,如果要想获得客户机的主机名,以进行日志记录和提供给CGI程序使用,就需要使用这个HostnameLookups选项,将其设置为On打开DNS反查功能。但是这将使服务器对每次客户请求都进行DNS查询,增加了系统开销,使得反应变慢,因此缺省设置为使用Off关闭此选项。关闭选项之后,服务器就不会获得客户机的主机名,而只能使用IP地址来记录客户。
ErrorLog/var/log/httpd-error.log
LogLevelwarn
LogFormat"%h%l%u%t"%r"%>s%b"%{Referer}i""%{User-Agent}""combined
LogFormat"%h%l%u%t"%r"%>s%b"common
LogFormat"%{Referer}i->%U"referer
LogFormat"%{User-agent}i"agent
#CustomLog/var/log/httpd-access.logcommon
#CustomLog/var/log/httpd-referer.logreferer
#CustomLog/var/log/httpd-agent.logagent
CustomLog/var/log/httpd-access.logcombined
这里定义了系统日志的形式,对于服务器错误记录,由ErrorLog、LogLevel来定义不同的错误日志文件及其记录内容。
对于系统的访问日志,缺省使用CustomLog参数定义日志的位置,缺省使用combined参数指定将所有的访问日志放在一个文件中,然而也可以将不同种类的访问日志放在不同的日志记录文件中,这是通过在CustomLog中指定不同的记录类型来完成的。common表示普通的对单页面请求访问记录,referer表示每个页面的引用记录,可以看出一个页面中包含的请求数,agent表示对客户机的类型记录,显然可以将现有的combined定义的设置行注释掉,并使用common、referer和agent作为CustomLog的参数,来为不同种类的日志分别指定日志记录文件。
显然,LogFormat是用于定义不同类型的日志进行记录时使用的格式,这里使用了以%开头的宏定义,以记录不同的内容。如果这些参数指定的文件使用的是相对路径,那么就是相对于ServerRoot的路径。
ServerSignatureOn
一些情况下,例如当客户请求的网页并不存在时,服务器将产生错误文档,缺省情况下由于打开了ServerSignature选项,错误文档的最后一行将包含服务器的名字、Apache的版本等信息。有的管理员更倾向于不对外显示这些信息,就可以将这个参数设置为Off,或者设置为Email,最后一行将替换为对ServerAdmin的Email提示。
Alias/icons/"/www/icons/"
OptionsIndexesMultiViews
AllowOverrideNone
Orderallow,deny
Allowfromall
Alias参数用于将URL与服务器文件系统中的真实位置进行直接映射,一般的文档将在DocumentRoot中进行查询,然而使用Alias定义的路径将直接映射到相应目录下,而不再到DocumentRoot下面进行查询。因此Alias可以用来映射一些公用文件的路径,例如保存了各种常用图标的icons路径。这样使得除了使用符号连接之外,文档根目录(DocumentRoot)外的目录也可以通过使用了Alias映射,提供给浏览器访问。定义好映射的路径之后,应该需要使用Directory语句设置访问限制。
ScriptAlias/cgi-bin/"/www/cgi-bin/"
AllowOverrideNone
OptionsNone
Orderallow,deny
Allowfromall
ScriptAlias也是用于URL路径的映射,但与Alias的不同在于,ScriptAlias是用于映射CGI程序的路径,这个路径下的文件都被定义为CGI程序,通过执行它们来获得结果,而非由服务器直接返回其内容。缺省情况下CGI程序使用cgi-bin目录作为虚拟路径。
#Redirectold-URInew-URL
Redirect参数是用来重写URL的,当浏览器访问服务器上的一个已经不存在的资源的时候,服务器返回给浏览器新的URL,告诉浏览器从该URL中获取资源。这主要用于原来存在于服务器上的文档,改变了位置之后,而又希望能使用老URL能访问到,以保持与以前的URL兼容。
IndexOptionsFancyIndexing
AddIconByEncoding(CMP,/icons/compressed.gif)x-compressx-gzip
AddIconByType(TXT,/icons/text.gif)text/*
AddIconByType(IMG,/icons/image2.gif)image/*
AddIconByType(SND,/icons/sound2.gif)audio/*
AddIconByType(VID,/icons/movie.gif)video/*
AddIcon/icons/binary.gif.bin.exe
AddIcon/icons/binhex.gif.hqx
AddIcon/icons/tar.gif.tar
AddIcon/icons/world2.gif.wrl.wrl.gz.vrml.vrm.iv
AddIcon/icons/compressed.gif.Z.z.tgz.gz.zip
AddIcon/icons/a.gif.ps.ai.eps
AddIcon/icons/layout.gif.html.shtml.htm.pdf
AddIcon/icons/text.gif.txt
AddIcon/icons/c.gif.c
AddIcon/icons/p.gif.pl.py
AddIcon/icons/f.gif.for
AddIcon/icons/dvi.gif.dvi
AddIcon/icons/uuencoded.gif.uu
AddIcon/icons/script.gif.conf.sh.shar.csh.ksh.tcl
AddIcon/icons/tex.gif.tex
AddIcon/icons/bomb.gifcore
AddIcon/icons/back.gif..
AddIcon/icons/hand.right.gifREADME
AddIcon/icons/folder.gif^^DIRECTORY^^
AddIcon/icons/blank.gif^^BLANKICON^^
DefaultIcon/icons/unknown.gif
#AddDescription"GZIPcompresseddocument".gz
#AddDescription"tararchive".tar
#AddDescription"GZIPcompressedtararchive".tgz
ReadmeNameREADME
HeaderNameHEADER
IndexIgnore.??**~*#HEADER*README*RCSCVS*,v*,t
当一个HTTP请求的URL为一个目录的时候,服务器返回这个目录中的索引文件。但如果一个目录中不存在缺省的索引文件,并且该服务器又许可显示目录文件列表的时候,就会显示出这个目录中的文件列表,为了使得这个文件列表能具有可理解性,而不仅仅是一个简单的列表,就需要前面的这些设置参数。如果使用了IndexOptionsFancyIndexing选项,可以让服务器产生的目录列表中针对各种不同类型的文档引用各种图标。而哪种文件使用哪种图标,则使用下面的AddIconByEncoding、AddIconByType以及AddIcon来定义,分别依据MIME的编码、类型以及文件的后缀来判断使用何种图标。如果不能确定文档使用的图标,就使用DefaultIcon定义的缺省图标。
同样,使用AddDescription可以为不同类型的文档加入不同的描述。并且,服务器还在目录下,查询使用ReadmeName和HeaderName定义的文件(自动加上.html后缀,如果没有发现,再使用.txt后缀进行搜索),如果发现了这些文件,就在文件列表之前首先显示这些文件的内容,以使得普通目录列表具备更大的可理解性。
IndexIgnore让服务器在列出文件列表时忽略相应的文件,这里使用模式配置的方式定义文件名。
AddEncodingx-compressZ
AddEncodingx-gzipgz
AddEncoding用于告诉一些使用压缩的MIME类型,这样可以让浏览器进行解压缩操作。
AddLanguageen.en
AddLanguagefr.fr
AddLanguagede.de
AddLanguageda.da
AddLanguageel.el
AddLanguageit.it
LanguagePriorityenfrde
一个HTML文档可以同时具备多个语言的版本,如对于file1.html文档可以具备file1.html.en、file1.html.fr等不同的版本,每个语言后缀必须使用AddLanguage进行定义。这样服务器可以针对不同国家的客户,通过与浏览器进行协商,发送不同的语言版本。而LanguagePriority定义不同语言的优先级,以便在浏览器没有特殊要求时,按照顺序使用不同的语言版本回应对file1.html的请求。这个国际化的能力实际的应用并不多。
#AddTypeapplication/x-httpd-php.phtml
#AddTypeapplication/x-httpd-php-source.phps
AddType参数可以为特定后缀的文件指定MIME类型,这里的设置将覆盖mime.types中的设置。
#AddHandlercgi-script.cgi
AddHandler是用于指定非静态的处理类型,用于定义文档为一个非静态的文档类型,需要进行处理,再向浏览器返回处理结果。例如上面注释中的设置是将以.cgi结尾的文件设置为cgi-script类型,那么服务器将启动这个CGI程序以进行处理。如果需要在前面AliasScript定义的路径之外执行CGI程序,就需要使用这个参数进行设置,此后以.cgi结尾的文件将被当作CGI程序执行。在配置文件、这个目录中的.htaccess以及其上级目录的.htaccess中必须允许执行CGI程序,这需要通过OptionsExecCGI参数设定。
#AddTypetext/html.shtml
#AddHandlerserver-parsed.shtml
另外一种动态进行处理的类型为server-parsed,由服务器自身预先分析网页内的标记,将标记更改为正确的HTML标识。由于server-parsed需要对text/html类型的文档进行处理,因此首先定义了对应的.shtml为text/html类型。
然而要支持SSI,还要首先要在配置文件(或.htaccess)中使用OptionsIncludes允许该目录下的文档可以为SSI类型,或使用OptionsIncludesNOExec让执行普通的SSI标志,但不执行其中引用的外部程序。
另一种指定server-parsed类型的方式为使用XBitBack设置选项,如果将XBitHack设置为On,服务器将检查所有text/html类型的文档(包括.html后缀的文档),如果发现文件属性具备执行位“x",则服务器就认为它是服务器分析文档,需要服务器进行处理。推荐使用AddHandler进行设置,而将XBitBack设置为Off,因为使用XBitBack将对所有的HTML文档都执行额外的检查,降低了效率。
#AddHandlersend-as-isasis
#AddHandlerimap-filemap
#AddHandlertype-mapvar
上面被注释的AddHandler用于支持Apache服务器的asis、map和var处理能力
#Actionmedia/type/cgi-script/location
#Actionhandler-name/cgi-script/location
因为Apache内部提供的处理功能有限,因此可以使用Action为服务器定义外部程序作为可处理的动态文档类型,这些外部程序与标准CGI程序相同,都是对输入的数据处理之后,再输出不同MIME类型的结果。例如要定义一个对特殊后缀wri都先执行wri2txt进行处理操作,再返回结果的操作,可以使用:
Actionwindows-writer/bin/wri2txt
AddHandlerwindows-writerwri
更进一步,可以直接使用Action定义对某个MIME类型预先进行处理操作,这需要例子中第一种格式的Action参数设置方式。这样设置方式就不再需要额外的AddHandler用来将处理操作与文件后缀联系起来,而是使用Action直接处理MIME类型的文件。但如果文档后缀没有正式的MIME类型,还需要先定义一个MIME类型。
#MetaDir.web
#MetaSuffix.meta
Meta信息是在文档发送给客户之前,预先发送给客户浏览器一些数据,因此浏览器可以通过HEAD请求来访问这些Meta信息而不必真正通过GET来返回全部文档数据。服务器通常发送给浏览器的是一些标准的HTTP头信息,如果要想增加额外的信息,就需要使用MetaDir来定义Meta数据存放的目录,而MetaSuffix用于指定包含Meta数据的文件后缀。
#ErrorDocument500"Theservermadeabooboo.
#ErrorDocument404/missing.html
#ErrorDocument404/cgi-bin/missing_handler.pl
#ErrorDocument402
http://some.other_server.c...
如果客户请求的网页不存在,或者没有访问权限等情况发生时,服务器将产生一个错误代码,同时也将回应客户浏览器一个标识错误的网页。ErrorDocument就用于设置当出现哪个错误时应该回应客户浏览器那些内容,ErrorDocument的第一个参数为错误的序号,第二个参数为回应的数据,可以为简单的文本,本地网页,本地CGI程序,以及远程主机上的网页。
BrowserMatch"Mozilla/2"nokeepalive
BrowserMatch"MSIE4.0b2;"nokeepalivedowngrade-1.0force-response-1.0
BrowserMatch"RealPlayer4.0"force-response-1.0
BrowserMatch"Java/1.0"force-response-1.0
BrowserMatch"JDK/1.0"force-response-1.0
BrowserMatch命令为特定的客户程序,设置特殊的参数,以保证对老版本浏览器的兼容性,并支持新浏览器的新特性。
#SetHandlerserver-status
#Orderdeny,allow
#Denyfromall
#Allowfrom.your_domain.com
#SetHandlerserver-info
#Orderdeny,allow
#Denyfromall
#Allowfrom.your_domain.com
##Denyfromall
#ErrorDocument403http://phf.apache.org/phf_...
用于设置访问控制的设置主要是针对目录和文件进行设置的,然而也可以针对不同的URL进行访问控制的设置,这样就不必担心ScriptAlias、Alias是否将路径设置到了受控制的目录之外了。针对URL进行控制的语句为Location语句,这样不但能对服务器上的文件、CGI提供保护,此外,它还能保护不能找到对应文件,而是由服务器本身提供的特殊功能URL。http://servername/server-s...用于报告当前Apache服务器的状态,http://servername/server-i...用于报告Apache服务器的统计信息。与此相关的设置还有ExtendedStatus参数,可以让服务器输出更详细的的报告。
#ProxyRequestsOn
#Orderdeny,allow
#Denyfromall
#Allowfrom.your_domain.com
#ProxyViaOn
#CacheRoot"/www/proxy"
#CacheSize5
#CacheGcInterval4
#CacheMaxExpire24
#CacheLastModifiedFactor0.1
#CacheDefaultExpire1
#NoCachea_domain.comanother_domain.edujoes.garage_sale.com
Apache服务器本身就具备代理的功能,然而这要求加载入mod_proxy模块。这能使用IfModule语句进行判断,如果存在mod_proxy模块,就使用ProxyRequests打开代理支持。此后的Directory用于设置对Proxy功能的访问权限设置,以及用于设置缓冲的各个参数设置。
虚拟主机
#NameVirtualHost12.34.56.78:80
#NameVirtualHost12.34.56.78
#ServerAdminwebmaster@host.some_domain.com
#DocumentRoot/www/docs/host.some_domain.com
#ServerNamehost.some_domain.com
#ErrorLoglogs/host.some_domain.com-error_log
#CustomLoglogs/host.some_domain.com-access_logcommon
缺省设置文件中的这些内容是用于设置命名基础的虚拟主机服务器时使用。其中NameVirtualHost来指定虚拟主机使用的IP地址,这个IP地址将对应多个DNS名字,如果Apache使用了Listen参数控制了多个端口,那么就可以在这里加上端口号以进一步进行区分对不同端口的不同连接请求。此后,使用VirtualHost语句,使用NameVirtualHost指定的IP地址作参数,对每个名字都定义对应的虚拟主机设置。
虚拟主机是在一台Web服务器上,可以为多个单独域名提供Web服务,并且每个域名都完全独立,包括具有完全独立的文档目录结构及设置,这样域名之间完全独立,不但使用每个域名访问到的内容完全独立,并且使用另一个域名无法访问其他域名提供的网页内容。
虚拟主机的概念非常有用,因为虽然一个组织可以将自己的网页挂在具备其他域名的服务器上的下级往址上,但使用独立的域名和根网址更为正式,易为众人接受。传统上,必须自己设立一台服务器才能达到单独域名的目的,然而这需要维护一个单独的服务器,很多小单位缺乏足够的维护能力,更为合适的方式是租用别人维护的服务器。没有必要为一个机构提供一个单独的服务器,完全可以使用虚拟主机能力,使服务器为多个域名提供Web服务,而且不同的服务互不干扰,对外就表现为多个不同的服务器。
有两种设定虚拟主机的方式,一种是基于HTTP1.0标准,需要一个具备多IP地址的服务器,再配置DNS服务器,给每个IP地址以不同的域名,最后才能配置Apache的配置文件,使服务器对不同域名返回不同的Web文档。由于这需要使用额外的IP地址,对每个要提供服务的域名都要使用单独的IP地址,因此这种方式实现起来问题较多。可以在一个网络界面上绑定多个IP地址,Linux下需要使用ifconfig的alias参数来进行这个配置,但此时会影响网络性能。
HTTP1.1标准在协议中规定了对浏览器和服务器通信时,服务器能够跟踪浏览器请求的是哪个主机名字。因此可以利用这个新特性,使用更轻松的方式设定虚拟主机。这种方式不需要额外的IP地址,但需要新版本的浏览器支持。这种方式已经成为建立虚拟主机的标准方式。要建立非IP基础的虚拟主机,多个域名是不可少的配置,因为每个域名就对应一个要服务的虚拟主机。因此需要更改DNS服务器的配置,为服务器增加多个CNAME选项,如:
linuxINA192.168.1.64
vhost1INCNAMElinux
vhost2INCNAMElinux
基本的设置选项都是为了linux主机设定的,如果要为vhost1和vhost2设定虚拟主机,就要使用VirtualHost语句定义不同的选项,在语句中可以使用配置文件前面中的大部分选项,而可以重新定义几乎所有的针对服务器的设置。
NameVirtualHost192.168.1.64
DocumentRoot/www/data
ServerNamelinux.example.org.cn
DocumentRoot/vhost1
ServerNamevhost1.example.org.cn
DocumentRoot/vhost2
ServerNamevhost2.example.org.cn
这里需要注意的是,VirtualHost的参数地址一定要和NameVirtualHost定义的地址相一致,必须保证所有的值严格一致,Apache服务器才承认这些定义是为这个IP地址定义的虚拟主机。
此外,定义过NameVirtualHost之后,那么对这个IP地址的访问都被区分不同的虚拟主机进行处理,而对其他IP地址的访问,例如127.0.0.1,才应用前面定义的缺省选项。
另外一些加速方法
1、Web页面和CGI页面采用了浏览器缓冲技术。具体的方法可以参考附录一:采用mod_gzip加速Apache
2、不要让XWindows运行在你的Web服务器上,用Ctrl-Alt-Backspace关闭X。
3、在CGI脚本中:
文件I/O:打开的文件数目越少越好。
Shell命令:采用全路径来调用shell命令。
在Web页面目录中,不要让文件数超过1000个,文件越多花费在定位上的时间也越多。
4、在Web服务器上的图片越少越好,保证每个图片都经由图片压缩器运行。
5、应该配置尽量多的内存,内存的大小对系统性能影响非常大。
6、可以用strace命令调试调用。
当你不确定httpd.conf里的设置更改对进程的影响时,strace或许能奏效,通过观察输出的行数,可以判断对一个固定页面访问时需要的调用数。如:
#ps–ef|grephttp
#strace–phttp_pid
accept(18,0xFFBEFA50,0xFFBEFA74,1)=3
fcntl(24,F_SETLKW,0x001D0E10)=0
sigaction(SIGUSR1,0xFFBEF908,0xFFBEF98=0
getsockname(3,0xFFBEFA60,0xFFBEFA74,1)=0
setsockopt(3,6,1,0xFFBEF9C4,4,1)=0
read(3,"GET/caseinc"..,4096)=590
sigaction(SIGUSR1,0xFFBED800,0xFFBED880)=0
time()=1043377552
stat("/docroot/osc-new/www/caseincident/listCase.php",0x0022BF5=0
umask(077)=0
umask(0)=077
setitimer(ITIMER_PROF,0xFFBEF628,0x00000000)=0
sigaction(SIGPROF,0xFFBEF4F8,0xFFBEF57=0
sigprocmask(SIG_UNBLOCK,0xFFBEF618,0x00000000)=0
getsockopt(6,65535,8192,0xFFBE67B0,0xFFBE67AC,0)=0
setsockopt(6,65535,8192,0xFFBE67B0,4,0)=0
setitimer(ITIMER_PROF,0xFFBEF788,0x00000000)=0
sigaction(SIGUSR1,0xFFBEF908,0xFFBEF98=0
read(3,0x001E5BC0,4096)(sleeping...)
附录一、采用mod_gzip加速Apache
说明:本附录为全文引用。
我们知道mod_gzip是用来在服务器端把客户请求的内容压缩后发送给客户端的一个Apache模块。本站的Zope通过FastCGI来实现和Apache的结合,Apache是解析HTML页面的服务程序。安装好mod_gzip后就即能压缩普通静态页面也能压缩Zope文档。
一、安装
http://www.hyperspacecommu...
页面上有mod_gzip的二进制码版本和源码下载。如果你使用前者的话,直接把文件拷贝到ApacheHome的libexec目录下就可以了。下载mod_gzip.c后,如果你的Apache用DSO模式安装的话,用下面简单的命令就可以安装了:
#/www/bin/apxs-i-a-cmod_gzip.c
二、配置
安装完毕以后把下列配置加入httpd.conf:
#mod_gzip配置
LoadModulegzip_modulelibexec/mod_gzip.so
AddModulemod_gzip.c
mod_gzip_onYes
mod_gzip_minimum_file_size1002
mod_gzip_maximum_file_size0
mod_gzip_maximum_inmem_size60000
mod_gzip_item_includemime"application/x-httpd-php"
mod_gzip_item_includemime"text/*"
#压缩Zope的内容:
mod_gzip_item_includefile"[^.]*$"
mod_gzip_item_includemime"httpd/unix-directory"
mod_gzip_dechunkYes
mod_gzip_temp_dir"/tmp"
mod_gzip_keep_workfilesNo
mod_gzip_item_includefile".php$"
mod_gzip_item_includefile".txt$"
mod_gzip_item_includefile".html$"
mod_gzip_item_excludefile".css$"
mod_gzip_item_excludefile".js$"
并添加下面的行:
LogFormat"%h%l%u%t"%r"%>s%b"%{Referer}i""%{User-Agent}i"mod_gzip:%{mod_gzip_compression_ratio}npct."mod_gzip
把对应虚拟主机配置中的日志文件参数修改为mod_gzip
三、压缩效果
这样,我们得到类似以下的日志文件:
61.169.41.13--"GET/pipermail/freelamp/2002-March/000026.htmlHTTP/1.1"20072848"http://www.freelamp.com/pipermail/freelamp/2002-March/subject.html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:54pct.
61.169.41.13--"GET/new/publish/1003233602/index_htmlHTTP/1.1"2004304"http://www.freelamp.com/new/publish/search?subject=Zope&op=articles""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:65pct.
61.169.41.13--"GET/new/publish/global_cssHTTP/1.1"200629"http://www.freelamp.com/new/publish/1003233602/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:73pct.
61.169.41.13--"GET/new/publish/Images/sitetitle_imgHTTP/1.1"3040"http://www.freelamp.com/new/publish/1003233602/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:0pct.
61.169.41.13--"GET/new/publish/index_htmlHTTP/1.1"2007317"http://www.freelamp.com/new/publish/1003233602/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:80pct.
61.169.41.13--"GET/new/publish/global_cssHTTP/1.1"200629"http://www.freelamp.com/new/publish/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:73pct.
61.169.41.13--"GET/new/publish/TopicImages/TutorialHTTP/1.1"3040"http://www.freelamp.com/new/publish/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:0pct.
61.169.41.13--"GET/new/publish/LinkImages/jsp001_imgHTTP/1.1"3040"http://www.freelamp.com/new/publish/index_html""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0;Q312461;NetCaptor6.5.0)"mod_gzip:0pct.
我们看到mod_gzip已经对.html和那些没有点的文件作了压缩,压缩率达到了70-80%。但是,mod_gzip对图片文件不作压缩。
四、总结
结合,mod_gzip和缓冲工具等,我们完全可以使一台配置较低的PC有足够的能力处理各种HTML/CGI等的请求。

文档来源:服务器之家http://www.zzvips.com/article/77585.html
页: [1]
查看完整版本: linux Apache服务器系统安全设置与优化