轉載:Apache的配置詳解

yarking207發表於2017-09-25
Apache的配置由httpd.conf檔案配置,因此下面的配置指令都是在httpd.conf檔案中修改。 
主站點的配置(基本配置

(1) 
基本配置
ServerRoot "/mnt/software/apache2" #
你的apache軟體安裝的位置。其它指定的目錄如果沒有指定絕對路徑,則目錄是相對於該目錄。 

PidFile logs/httpd.pid #
第一個httpd程式(所有其他程式的父程式)的程式號檔案位置。 

Listen 80 #
伺服器監聽的埠號。 

ServerName 
主站點名稱(網站的主機名)。 

ServerAdmin admin@clusting.com #
管理員的郵件地址。 

DocumentRoot "/mnt/web/clusting" #
主站點的網頁儲存位置。 


以下是對主站點的目錄進行訪問控制: 

<Directory "/mnt/web/clusting"> 
Options FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 

在上面這段目錄屬性配置中,主要有下面的選項: 

Options
:配置在特定目錄使用哪些特性,常用的值和基本含義如下: 

ExecCGI: 
在該目錄下允許執行CGI指令碼。 

FollowSymLinks: 
在該目錄下允許檔案系統使用符號連線。 

Indexes: 
當使用者訪問該目錄時,如果使用者找不到DirectoryIndex指定的主頁檔案(例如index.html),則返回該目錄下的檔案列表給使用者。 

SymLinksIfOwnerMatch: 
當使用符號連線時,只有當符號連線的檔案擁有者與實際檔案的擁有者相同時才可以訪問。 

其它可用值和含義請參閱:


AllowOverride
:允許存在於.htaccess檔案中的指令型別(.htaccess檔名是可以改變的,其檔名由AccessFileName指令決定) 
None: 
AllowOverride被設定為None時。不搜尋該目錄下的.htaccess檔案(可以減小伺服器開銷)。 

All: 
.htaccess檔案中可以使用所有的指令。 

其他的可用值及含義(如:Options FileInfo AuthConfig Limit),請參看: 

Order
:控制在訪問時AllowDeny兩個訪問規則哪個優先: 

Allow
:允許訪問的主機列表(可用域名或子網,例如:Allow from 192.168.0.0/16) 

Deny
:拒絕訪問的主機列表。 

更詳細的用法可參看:

DirectoryIndex index.html index.htm index.php #
主頁檔案的設定(本例將主頁檔案設定為:index.html,index.htmindex.php 


(2) 
伺服器的最佳化 (MPM: Multi-Processing Modules) 
apache2
主要的優勢就是對多處理器的支援更好,在編譯時同過使用--with-mpm選項來決定apache2的工作模式。如果知道當前的apache2使用什麼工作機制,可以透過httpd -l命令列出apache的所有模組,就可以知道其工作方式: 

prefork
:如果httpd -l列出prefork.c,則需要對下面的段進行配置: 

<IfModule prefork.c> 

StartServers 5 #
啟動apache時啟動的httpd程式個數。 

MinSpareServers 5 #
伺服器保持的最小空閒程式數。 

MaxSpareServers 10 #
伺服器保持的最大空閒程式數。 

MaxClients 150 #
最大併發連線數。 

MaxRequestsPerChild 1000 #
每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000 

</IfModule> 


在該工作模式下,伺服器啟動後起動5httpd程式(加父程式共6個,透過ps -ax|grep httpd命令可以看到)。當有使用者連線時,apache會使用一個空閒程式為該連線服務,同時父程式會fork一個子程式。直到記憶體中的空閒程式達到MaxSpareServers。該模式是為了相容一些舊版本的程式。我預設編譯時的選項。 

worker
:如果httpd -l列出worker.c,則需要對下面的段進行配置: 

<IfModule worker.c> 

StartServers 2 #
啟動apache時啟動的httpd程式個數。 

MaxClients 150 #
最大併發連線數。 

MinSpareThreads 25 #
伺服器保持的最小空閒執行緒數。 

MaxSpareThreads 75 #
伺服器保持的最大空閒執行緒數。 

ThreadsPerChild 25 #
每個子程式的產生的執行緒數。 

MaxRequestsPerChild 0 #
每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000 

</IfModule> 


該模式是由執行緒來監聽客戶的連線。當有新客戶連線時,由其中的一個空閒執行緒接受連線。伺服器在啟動時啟動兩個程式,每個程式產生的執行緒數是固定的(ThreadsPerChild決定),因此啟動時有50個執行緒。當50個執行緒不夠用時,伺服器自動fork一個程式,再產生25個執行緒。 


perchild
:如果httpd -l列出perchild.c,則需要對下面的段進行配置: 

<IfModule perchild.c> 

NumServers 5 #
伺服器啟動時啟動的子程式數 

StartThreads 5 #
每個子程式啟動時啟動的執行緒數 

MinSpareThreads 5 #
記憶體中的最小空閒執行緒數 

MaxSpareThreads 10 #
最大空閒執行緒數 

MaxThreadsPerChild 2000 #
每個執行緒最多被請求多少次後退出。0不受限制。 

MaxRequestsPerChild 10000 #
每個子程式服務多少次後被重新fork0表示不受限制。 

</IfModule> 

該模式下,子程式的數量是固定的,執行緒數不受限制。當客戶端連線到伺服器時,又空閒的執行緒提供服務。 如果空閒執行緒數不夠,子程式自動產生執行緒來為新的連線服務。該模式用於多站點伺服器。 
(3) HTTP
返頭回資訊配置

ServerTokens Prod #
該引數設定http頭部返回的apache版本資訊,可用的值和含義如下: 

Prod
:僅軟體名稱,例如:apache 
Major
:包括主版本號,例如:apache/2 
Minor
:包括次版本號,例如:apache/2.0 
Min
:僅apache的完整版本號,例如:apache/ 2.0.54 
OS
:包括作業系統型別,例如:apache/2.0.54Unix 
Full
:包括apache支援的模組及模組版本號,例如:Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g 
ServerSignature Off #
在頁面產生錯誤時是否出現伺服器版本資訊。推薦設定為Off 


(4) 
永續性連線設定 

KeepAlive On #
開啟永續性連線功能。即當客戶端連線到伺服器,下載完資料後仍然保持連線狀態。 

MaxKeepAliveRequests 100 #
一個連線服務的最多請求次數。 

KeepAliveTimeout 30 #
持續連線多長時間,該連線沒有再請求資料,則斷開該連線。預設為15秒。 

別名設定 
對於不在DocumentRoot指定的目錄內的頁面,既可以使用符號連線,也可以使用別名。別名的設定如下: 

Alias /download/ "/var/www/download/" #
訪問時可以輸入:http://www.custing.com/download/ 

<Directory "/var/www/download"> #
對該目錄進行訪問控制設定 
Options Indexes MultiViews 
AllowOverride AuthConfig 
Order allow,deny 
Allow from all 
</Directory> 


CGI
設定 

ScriptAlias /cgi-bin/ "/mnt/software/apache2/cgi-bin/" # 
訪問時可以:。但是該目錄下的CGI指令碼檔案要加可執行許可權! 

<Directory "/usr/local/apache2/cgi-bin"> #
設定目錄屬性 
AllowOverride None 
Options None 
Order allow,deny 
Allow from all 
</Directory> 


個人主頁的設定 (public_html) 

UserDir public_html (
間使用者的主頁儲存在使用者主目錄下的public_html目錄下 URL ~bearzhang/file.html 將讀取 /home/bearzhang/public_html/file.html 檔案

chmod 755 /home/bearzhang #
使其它使用者能夠讀取該檔案。 

UserDir /var/html (the URL ~bearzhang/file.html 
將讀取 /var/html/bearzhang/file.html) 

UserDir /var/www/*/docs (the URL ~bearzhang/file.html 
將讀取 /var/www/bearzhang/docs/file.html) 

日誌的設定 

(1)
錯誤日誌的設定 
ErrorLog logs/error_log #
日誌的儲存位置 
LogLevel warn #
日誌的級別 

顯示的格式日下: 
[Mon Oct 10 15:54:29 2005] [error] [client 192.168.10.22] access to /download/ failed, reason: user admin not allowed access 

(2)
訪問日誌設定 

日誌的預設格式有如下幾種: 
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined 
LogFormat "%h %l %u %t "%r" %>s %b" common #common
為日誌格式名稱 
LogFormat "%{Referer}i -> %U" referer 
LogFormat "%{User-agent}i" agent 
CustomLog logs/access_log common 


格式中的各個引數如下: 

%h --
客戶端的ip地址或主機名 

%l --The 
這是由客戶端 identd 判斷的RFC 1413身份,輸出中的符號 "-" 表示此處資訊無效。 

%u --
HTTP認證系統得到的訪問該網頁的客戶名。有認證時才有效,輸出中的符號 "-" 表示此處資訊無效。 

%t --
伺服器完成對請求的處理時的時間。 

"%r" --
引號中是客戶發出的包含了許多有用資訊的請求內容。 

%>s --
這個是伺服器返回給客戶端的狀態碼。 

%b --
最後這項是返回給客戶端的不包括響應頭的位元組數。 

"%{Referer}i" --
此項指明瞭該請求是從被哪個網頁提交過來的。 

"%{User-Agent}i" --
此項是客戶瀏覽器提供的瀏覽器識別資訊。 

下面是一段訪問日誌的例項: 
192.168.10.22 - bearzhang [10/Oct/2005:16:53:06 +0800] "GET /download/ HTTP/1.1" 200 1228 
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/blank.gif HTTP/1.1" 304 - 
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/back.gif HTTP/1.1" 304 - 

各引數的詳細解釋,請參閱:Apache/ApacheManual/logs.html 


使用者認證的配置 
(1)in the httpd.conf: 
AccessFileName .htaccess 
......... 
Alias /download/ "/var/www/download/" 
<Directory "/var/www/download"> 
Options Indexes 
AllowOverride AuthConfig 
</Directory> 
(2) create a password file: 
/usr/local/apache2/bin/htpasswd -c /var/httpuser/passwords bearzhang 

(3)onfigure the server to request a password and tell the server which users are allowed access. 
vi /var/www/download/.htaccess: 
AuthType Basic 
AuthName "Restricted Files" 
AuthUserFile /var/httpuser/passwords 
Require user bearzhang 
#Require valid-user #all valid user 

虛擬主機的配置 
(1)
基於IP地址的虛擬主機配置 
Listen 80 
<VirtualHost 172.20.30.40> 
DocumentRoot /www/example1 
ServerName 
</VirtualHost> 
<VirtualHost 172.20.30.50> 
DocumentRoot /www/example2 
ServerName 
</VirtualHost> 


(2) 
基於IP和多埠的虛擬主機配置 
Listen 172.20.30.40:80 
Listen 172.20.30.40:8080 
Listen 172.20.30.50:80 
Listen 172.20.30.50:8080 

<VirtualHost 172.20.30.40:80> 
DocumentRoot /www/example1-80 
ServerName 
</VirtualHost> 

<VirtualHost 172.20.30.40:8080> 
DocumentRoot /www/example1-8080 
ServerName 
</VirtualHost> 

<VirtualHost 172.20.30.50:80> 
DocumentRoot /www/example2-80 
ServerName 
</VirtualHost> 

<VirtualHost 172.20.30.50:8080> 
DocumentRoot /www/example2-8080 
ServerName 
</VirtualHost> 

(3)
單個IP地址的伺服器上基於域名的虛擬主機配置: 
# Ensure that Apache listens on port 80 
Listen 80 

# Listen for virtual host requests on all IP addresses 
NameVirtualHost *:80 

<VirtualHost *:80> 
DocumentRoot /www/example1 
ServerName 
ServerAlias example1.com. *.example1.com 
# Other directives here 
</VirtualHost> 

<VirtualHost *:80> 
DocumentRoot /www/example2 
ServerName 
# Other directives here 
</VirtualHost> 

(4)
在多個IP地址的伺服器上配置基於域名的虛擬主機: 
Listen 80 

# This is the "main" server running on 172.20.30.40 
ServerName server.domain.com 
DocumentRoot /www/mainserver 

# This is the other address 
NameVirtualHost 172.20.30.50 

<VirtualHost 172.20.30.50> 
DocumentRoot /www/example1 
ServerName 
# Other directives here ... 
</VirtualHost> 

<VirtualHost 172.20.30.50> 
DocumentRoot /www/example2 
ServerName 
# Other directives here ... 
</VirtualHost> 

(5)
在不同的埠上執行不同的站點(基於多埠的伺服器上配置基於域名的虛擬主機) 
Listen 80 
Listen 8080 

NameVirtualHost 172.20.30.40:80 
NameVirtualHost 172.20.30.40:8080 

<VirtualHost 172.20.30.40:80> 
ServerName 
DocumentRoot /www/domain-80 
</VirtualHost> 

<VirtualHost 172.20.30.40:8080> 
ServerName 
DocumentRoot /www/domain-8080 
</VirtualHost> 

<VirtualHost 172.20.30.40:80> 
ServerName 
DocumentRoot /www/otherdomain-80 
</VirtualHost> 

<VirtualHost 172.20.30.40:8080> 
ServerName 
DocumentRoot /www/otherdomain-8080 
</VirtualHost> 

(6)
基於域名和基於IP的混合虛擬主機的配置
Listen 80 

NameVirtualHost 172.20.30.40 

<VirtualHost 172.20.30.40> 
DocumentRoot /www/example1 
ServerName 
</VirtualHost> 

<VirtualHost 172.20.30.40> 
DocumentRoot /www/example2 
ServerName 
</VirtualHost> 

<VirtualHost 172.20.30.40> 
DocumentRoot /www/example3 
ServerName 
</VirtualHost> 



SSL
加密的配置 

首先在配置之前先來了解一些基本概念: 

證照的概念:首先要有一個根證照,然後用根證照來簽發伺服器證照和客戶證照,一般理解:伺服器證照和客戶證照是平級關係。SSL必須安裝伺服器證照來認證。 因此:在此環境中,至少必須有三個證照:根證照,伺服器證照,客戶端證照。 在生成證照之前,一般會有一個私鑰,同時用私鑰生成證照請求,再利用證照伺服器的根證來簽發證照。 

SSL
所使用的證照可以自己生成,也可以透過一個商業性CA(如Verisign  Thawte)簽署證照。 

簽發證照的問題:如果使用的是商業證照,具體的簽署方法請檢視相關銷售商的說明;如果是知己簽發的證照,可以使用openssl自帶的CA.sh指令碼工具。 

如果不為單獨的客戶端簽發證照,客戶端證照可以不用生成,客戶端與伺服器端使用相同的證照。 
(1) conf/ssl.conf 
配置檔案中的主要引數配置如下: 

Listen 443 
SSLPassPhraseDialog buildin 
#SSLPassPhraseDialog exec:/path/to/program 
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache 
SSLSessionCacheTimeout 300 
SSLMutex file:/usr/local/apache2/logs/ssl_mutex 

<VirtualHost _default_:443> 

# General setup for the virtual host 
DocumentRoot "/usr/local/apache2/htdocs" 
ServerName 
ServerAdmin you@example.com 
ErrorLog /usr/local/apache2/logs/error_log 
TransferLog /usr/local/apache2/logs/access_log 

SSLEngine on 
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL 

SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt 
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b" 

</VirtualHost> 

(2) 
建立和使用自簽署的證照: 
a.Create a RSA private key for your Apache server 
/usr/local/openssl/bin/openssl genrsa -des3 -out /usr/local/apache2/conf/ssl.key/server.key 1024 

b. Create a Certificate Signing Request (CSR) 
/usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2/conf/ssl.key/server.csr 

c. Create a self-signed CA Certificate (X509 structure) with the RSA key of the CA 
/usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl.key/server.key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt 

/usr/local/openssl/bin/openssl genrsa 1024 -out server.key 
/usr/local/openssl/bin/openssl req -new -key server.key -out server.csr 
/usr/local/openssl/bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt 

(3) 
建立自己的CA(認證證照),並使用該CA來簽署伺服器的證照。 
mkdir /CA 
cd /CA 
cp openssl-0.9.7g/apps/CA.sh /CA 
./CA.sh -newca 
openssl genrsa -des3 -out server.key 1024 
openssl req -new -key server.key -out server.csr 
cp server.csr newreq.pem 
./CA.sh -sign 

cp newcert.pem /usr/local/apache2/conf/ssl.crt/server.crt
cp server.key /usr/local/apache2/conf/ssl.key/

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/220205/viewspace-2145413/,如需轉載,請註明出處,否則將追究法律責任。

相關文章