轉載:Apache的配置詳解
Apache的配置由httpd.conf檔案配置,因此下面的配置指令都是在httpd.conf檔案中修改。
主站點的配置(基本配置)
(1) 基本配置:
ServerRoot "/mnt/software/apache2" #你的apache軟體安裝的位置。其它指定的目錄如果沒有指定絕對路徑,則目錄是相對於該目錄。
PidFile logs/httpd.pid #第一個httpd程式(所有其他程式的父程式)的程式號檔案位置。
Listen 80 #伺服器監聽的埠號。
ServerName 主站點名稱(網站的主機名)。
ServerAdmin admin@clusting.com #管理員的郵件地址。
DocumentRoot "/mnt/web/clusting" #主站點的網頁儲存位置。
以下是對主站點的目錄進行訪問控制:
<Directory "/mnt/web/clusting">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
在上面這段目錄屬性配置中,主要有下面的選項:
Options:配置在特定目錄使用哪些特性,常用的值和基本含義如下:
ExecCGI: 在該目錄下允許執行CGI指令碼。
FollowSymLinks: 在該目錄下允許檔案系統使用符號連線。
Indexes: 當使用者訪問該目錄時,如果使用者找不到DirectoryIndex指定的主頁檔案(例如index.html),則返回該目錄下的檔案列表給使用者。
SymLinksIfOwnerMatch: 當使用符號連線時,只有當符號連線的檔案擁有者與實際檔案的擁有者相同時才可以訪問。
其它可用值和含義請參閱:
AllowOverride:允許存在於.htaccess檔案中的指令型別(.htaccess檔名是可以改變的,其檔名由AccessFileName指令決定):
None: 當AllowOverride被設定為None時。不搜尋該目錄下的.htaccess檔案(可以減小伺服器開銷)。
All: 在.htaccess檔案中可以使用所有的指令。
其他的可用值及含義(如:Options FileInfo AuthConfig Limit等),請參看:
Order:控制在訪問時Allow和Deny兩個訪問規則哪個優先:
Allow:允許訪問的主機列表(可用域名或子網,例如:Allow from 192.168.0.0/16)。
Deny:拒絕訪問的主機列表。
更詳細的用法可參看:
DirectoryIndex index.html index.htm index.php #主頁檔案的設定(本例將主頁檔案設定為:index.html,index.htm和index.php)
(2) 伺服器的最佳化 (MPM: Multi-Processing Modules)
apache2主要的優勢就是對多處理器的支援更好,在編譯時同過使用--with-mpm選項來決定apache2的工作模式。如果知道當前的apache2使用什麼工作機制,可以透過httpd -l命令列出apache的所有模組,就可以知道其工作方式:
prefork:如果httpd -l列出prefork.c,則需要對下面的段進行配置:
<IfModule prefork.c>
StartServers 5 #啟動apache時啟動的httpd程式個數。
MinSpareServers 5 #伺服器保持的最小空閒程式數。
MaxSpareServers 10 #伺服器保持的最大空閒程式數。
MaxClients 150 #最大併發連線數。
MaxRequestsPerChild 1000 #每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000。
</IfModule>
在該工作模式下,伺服器啟動後起動5個httpd程式(加父程式共6個,透過ps -ax|grep httpd命令可以看到)。當有使用者連線時,apache會使用一個空閒程式為該連線服務,同時父程式會fork一個子程式。直到記憶體中的空閒程式達到MaxSpareServers。該模式是為了相容一些舊版本的程式。我預設編譯時的選項。
worker:如果httpd -l列出worker.c,則需要對下面的段進行配置:
<IfModule worker.c>
StartServers 2 #啟動apache時啟動的httpd程式個數。
MaxClients 150 #最大併發連線數。
MinSpareThreads 25 #伺服器保持的最小空閒執行緒數。
MaxSpareThreads 75 #伺服器保持的最大空閒執行緒數。
ThreadsPerChild 25 #每個子程式的產生的執行緒數。
MaxRequestsPerChild 0 #每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000。
</IfModule>
該模式是由執行緒來監聽客戶的連線。當有新客戶連線時,由其中的一個空閒執行緒接受連線。伺服器在啟動時啟動兩個程式,每個程式產生的執行緒數是固定的(ThreadsPerChild決定),因此啟動時有50個執行緒。當50個執行緒不夠用時,伺服器自動fork一個程式,再產生25個執行緒。
perchild:如果httpd -l列出perchild.c,則需要對下面的段進行配置:
<IfModule perchild.c>
NumServers 5 #伺服器啟動時啟動的子程式數
StartThreads 5 #每個子程式啟動時啟動的執行緒數
MinSpareThreads 5 #記憶體中的最小空閒執行緒數
MaxSpareThreads 10 #最大空閒執行緒數
MaxThreadsPerChild 2000 #每個執行緒最多被請求多少次後退出。0不受限制。
MaxRequestsPerChild 10000 #每個子程式服務多少次後被重新fork。0表示不受限制。
</IfModule>
該模式下,子程式的數量是固定的,執行緒數不受限制。當客戶端連線到伺服器時,又空閒的執行緒提供服務。 如果空閒執行緒數不夠,子程式自動產生執行緒來為新的連線服務。該模式用於多站點伺服器。
(3) HTTP返頭回資訊配置:
ServerTokens Prod #該引數設定http頭部返回的apache版本資訊,可用的值和含義如下:
Prod:僅軟體名稱,例如:apache
Major:包括主版本號,例如:apache/2
Minor:包括次版本號,例如:apache/2.0
Min:僅apache的完整版本號,例如:apache/ 2.0.54
OS:包括作業系統型別,例如:apache/2.0.54(Unix)
Full:包括apache支援的模組及模組版本號,例如:Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g
ServerSignature Off #在頁面產生錯誤時是否出現伺服器版本資訊。推薦設定為Off
(4) 永續性連線設定
KeepAlive On #開啟永續性連線功能。即當客戶端連線到伺服器,下載完資料後仍然保持連線狀態。
MaxKeepAliveRequests 100 #一個連線服務的最多請求次數。
KeepAliveTimeout 30 #持續連線多長時間,該連線沒有再請求資料,則斷開該連線。預設為15秒。
別名設定
對於不在DocumentRoot指定的目錄內的頁面,既可以使用符號連線,也可以使用別名。別名的設定如下:
Alias /download/ "/var/www/download/" #訪問時可以輸入:http://www.custing.com/download/
<Directory "/var/www/download"> #對該目錄進行訪問控制設定
Options Indexes MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
CGI設定
ScriptAlias /cgi-bin/ "/mnt/software/apache2/cgi-bin/" # 訪問時可以:。但是該目錄下的CGI指令碼檔案要加可執行許可權!
<Directory "/usr/local/apache2/cgi-bin"> #設定目錄屬性
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
個人主頁的設定 (public_html)
UserDir public_html (間使用者的主頁儲存在使用者主目錄下的public_html目錄下 URL ~bearzhang/file.html 將讀取 /home/bearzhang/public_html/file.html 檔案)
chmod 755 /home/bearzhang #使其它使用者能夠讀取該檔案。
UserDir /var/html (the URL ~bearzhang/file.html 將讀取 /var/html/bearzhang/file.html)
UserDir /var/www/*/docs (the URL ~bearzhang/file.html 將讀取 /var/www/bearzhang/docs/file.html)
日誌的設定
(1)錯誤日誌的設定
ErrorLog logs/error_log #日誌的儲存位置
LogLevel warn #日誌的級別
顯示的格式日下:
[Mon Oct 10 15:54:29 2005] [error] [client 192.168.10.22] access to /download/ failed, reason: user admin not allowed access
(2)訪問日誌設定
日誌的預設格式有如下幾種:
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
LogFormat "%h %l %u %t "%r" %>s %b" common #common為日誌格式名稱
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog logs/access_log common
格式中的各個引數如下:
%h --客戶端的ip地址或主機名
%l --The 這是由客戶端 identd 判斷的RFC 1413身份,輸出中的符號 "-" 表示此處資訊無效。
%u --由HTTP認證系統得到的訪問該網頁的客戶名。有認證時才有效,輸出中的符號 "-" 表示此處資訊無效。
%t --伺服器完成對請求的處理時的時間。
"%r" --引號中是客戶發出的包含了許多有用資訊的請求內容。
%>s --這個是伺服器返回給客戶端的狀態碼。
%b --最後這項是返回給客戶端的不包括響應頭的位元組數。
"%{Referer}i" --此項指明瞭該請求是從被哪個網頁提交過來的。
"%{User-Agent}i" --此項是客戶瀏覽器提供的瀏覽器識別資訊。
下面是一段訪問日誌的例項:
192.168.10.22 - bearzhang [10/Oct/2005:16:53:06 +0800] "GET /download/ HTTP/1.1" 200 1228
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/blank.gif HTTP/1.1" 304 -
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/back.gif HTTP/1.1" 304 -
各引數的詳細解釋,請參閱:Apache/ApacheManual/logs.html
使用者認證的配置
(1)in the httpd.conf:
AccessFileName .htaccess
.........
Alias /download/ "/var/www/download/"
<Directory "/var/www/download">
Options Indexes
AllowOverride AuthConfig
</Directory>
(2) create a password file:
/usr/local/apache2/bin/htpasswd -c /var/httpuser/passwords bearzhang
(3)onfigure the server to request a password and tell the server which users are allowed access.
vi /var/www/download/.htaccess:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /var/httpuser/passwords
Require user bearzhang
#Require valid-user #all valid user
虛擬主機的配置
(1)基於IP地址的虛擬主機配置
Listen 80
<VirtualHost 172.20.30.40>
DocumentRoot /www/example1
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50>
DocumentRoot /www/example2
ServerName
</VirtualHost>
(2) 基於IP和多埠的虛擬主機配置
Listen 172.20.30.40:80
Listen 172.20.30.40:8080
Listen 172.20.30.50:80
Listen 172.20.30.50:8080
<VirtualHost 172.20.30.40:80>
DocumentRoot /www/example1-80
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
DocumentRoot /www/example1-8080
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50:80>
DocumentRoot /www/example2-80
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50:8080>
DocumentRoot /www/example2-8080
ServerName
</VirtualHost>
(3)單個IP地址的伺服器上基於域名的虛擬主機配置:
# Ensure that Apache listens on port 80
Listen 80
# Listen for virtual host requests on all IP addresses
NameVirtualHost *:80
<VirtualHost *:80>
DocumentRoot /www/example1
ServerName
ServerAlias example1.com. *.example1.com
# Other directives here
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /www/example2
ServerName
# Other directives here
</VirtualHost>
(4)在多個IP地址的伺服器上配置基於域名的虛擬主機:
Listen 80
# This is the "main" server running on 172.20.30.40
ServerName server.domain.com
DocumentRoot /www/mainserver
# This is the other address
NameVirtualHost 172.20.30.50
<VirtualHost 172.20.30.50>
DocumentRoot /www/example1
ServerName
# Other directives here ...
</VirtualHost>
<VirtualHost 172.20.30.50>
DocumentRoot /www/example2
ServerName
# Other directives here ...
</VirtualHost>
(5)在不同的埠上執行不同的站點(基於多埠的伺服器上配置基於域名的虛擬主機):
Listen 80
Listen 8080
NameVirtualHost 172.20.30.40:80
NameVirtualHost 172.20.30.40:8080
<VirtualHost 172.20.30.40:80>
ServerName
DocumentRoot /www/domain-80
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
ServerName
DocumentRoot /www/domain-8080
</VirtualHost>
<VirtualHost 172.20.30.40:80>
ServerName
DocumentRoot /www/otherdomain-80
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
ServerName
DocumentRoot /www/otherdomain-8080
</VirtualHost>
(6)基於域名和基於IP的混合虛擬主機的配置:
Listen 80
NameVirtualHost 172.20.30.40
<VirtualHost 172.20.30.40>
DocumentRoot /www/example1
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40>
DocumentRoot /www/example2
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40>
DocumentRoot /www/example3
ServerName
</VirtualHost>
SSL加密的配置
首先在配置之前先來了解一些基本概念:
證照的概念:首先要有一個根證照,然後用根證照來簽發伺服器證照和客戶證照,一般理解:伺服器證照和客戶證照是平級關係。SSL必須安裝伺服器證照來認證。 因此:在此環境中,至少必須有三個證照:根證照,伺服器證照,客戶端證照。 在生成證照之前,一般會有一個私鑰,同時用私鑰生成證照請求,再利用證照伺服器的根證來簽發證照。
SSL所使用的證照可以自己生成,也可以透過一個商業性CA(如Verisign 或 Thawte)簽署證照。
簽發證照的問題:如果使用的是商業證照,具體的簽署方法請檢視相關銷售商的說明;如果是知己簽發的證照,可以使用openssl自帶的CA.sh指令碼工具。
如果不為單獨的客戶端簽發證照,客戶端證照可以不用生成,客戶端與伺服器端使用相同的證照。
(1) conf/ssl.conf 配置檔案中的主要引數配置如下:
Listen 443
SSLPassPhraseDialog buildin
#SSLPassPhraseDialog exec:/path/to/program
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache2/logs/ssl_mutex
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/usr/local/apache2/htdocs"
ServerName
ServerAdmin you@example.com
ErrorLog /usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
</VirtualHost>
(2) 建立和使用自簽署的證照:
a.Create a RSA private key for your Apache server
/usr/local/openssl/bin/openssl genrsa -des3 -out /usr/local/apache2/conf/ssl.key/server.key 1024
b. Create a Certificate Signing Request (CSR)
/usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2/conf/ssl.key/server.csr
c. Create a self-signed CA Certificate (X509 structure) with the RSA key of the CA
/usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl.key/server.key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt
/usr/local/openssl/bin/openssl genrsa 1024 -out server.key
/usr/local/openssl/bin/openssl req -new -key server.key -out server.csr
/usr/local/openssl/bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
(3) 建立自己的CA(認證證照),並使用該CA來簽署伺服器的證照。
mkdir /CA
cd /CA
cp openssl-0.9.7g/apps/CA.sh /CA
./CA.sh -newca
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.csr newreq.pem
./CA.sh -sign
主站點的配置(基本配置)
(1) 基本配置:
ServerRoot "/mnt/software/apache2" #你的apache軟體安裝的位置。其它指定的目錄如果沒有指定絕對路徑,則目錄是相對於該目錄。
PidFile logs/httpd.pid #第一個httpd程式(所有其他程式的父程式)的程式號檔案位置。
Listen 80 #伺服器監聽的埠號。
ServerName 主站點名稱(網站的主機名)。
ServerAdmin admin@clusting.com #管理員的郵件地址。
DocumentRoot "/mnt/web/clusting" #主站點的網頁儲存位置。
以下是對主站點的目錄進行訪問控制:
<Directory "/mnt/web/clusting">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
在上面這段目錄屬性配置中,主要有下面的選項:
Options:配置在特定目錄使用哪些特性,常用的值和基本含義如下:
ExecCGI: 在該目錄下允許執行CGI指令碼。
FollowSymLinks: 在該目錄下允許檔案系統使用符號連線。
Indexes: 當使用者訪問該目錄時,如果使用者找不到DirectoryIndex指定的主頁檔案(例如index.html),則返回該目錄下的檔案列表給使用者。
SymLinksIfOwnerMatch: 當使用符號連線時,只有當符號連線的檔案擁有者與實際檔案的擁有者相同時才可以訪問。
其它可用值和含義請參閱:
AllowOverride:允許存在於.htaccess檔案中的指令型別(.htaccess檔名是可以改變的,其檔名由AccessFileName指令決定):
None: 當AllowOverride被設定為None時。不搜尋該目錄下的.htaccess檔案(可以減小伺服器開銷)。
All: 在.htaccess檔案中可以使用所有的指令。
其他的可用值及含義(如:Options FileInfo AuthConfig Limit等),請參看:
Order:控制在訪問時Allow和Deny兩個訪問規則哪個優先:
Allow:允許訪問的主機列表(可用域名或子網,例如:Allow from 192.168.0.0/16)。
Deny:拒絕訪問的主機列表。
更詳細的用法可參看:
DirectoryIndex index.html index.htm index.php #主頁檔案的設定(本例將主頁檔案設定為:index.html,index.htm和index.php)
(2) 伺服器的最佳化 (MPM: Multi-Processing Modules)
apache2主要的優勢就是對多處理器的支援更好,在編譯時同過使用--with-mpm選項來決定apache2的工作模式。如果知道當前的apache2使用什麼工作機制,可以透過httpd -l命令列出apache的所有模組,就可以知道其工作方式:
prefork:如果httpd -l列出prefork.c,則需要對下面的段進行配置:
<IfModule prefork.c>
StartServers 5 #啟動apache時啟動的httpd程式個數。
MinSpareServers 5 #伺服器保持的最小空閒程式數。
MaxSpareServers 10 #伺服器保持的最大空閒程式數。
MaxClients 150 #最大併發連線數。
MaxRequestsPerChild 1000 #每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000。
</IfModule>
在該工作模式下,伺服器啟動後起動5個httpd程式(加父程式共6個,透過ps -ax|grep httpd命令可以看到)。當有使用者連線時,apache會使用一個空閒程式為該連線服務,同時父程式會fork一個子程式。直到記憶體中的空閒程式達到MaxSpareServers。該模式是為了相容一些舊版本的程式。我預設編譯時的選項。
worker:如果httpd -l列出worker.c,則需要對下面的段進行配置:
<IfModule worker.c>
StartServers 2 #啟動apache時啟動的httpd程式個數。
MaxClients 150 #最大併發連線數。
MinSpareThreads 25 #伺服器保持的最小空閒執行緒數。
MaxSpareThreads 75 #伺服器保持的最大空閒執行緒數。
ThreadsPerChild 25 #每個子程式的產生的執行緒數。
MaxRequestsPerChild 0 #每個子程式被請求服務多少次後被kill掉。0表示不限制,推薦設定為1000。
</IfModule>
該模式是由執行緒來監聽客戶的連線。當有新客戶連線時,由其中的一個空閒執行緒接受連線。伺服器在啟動時啟動兩個程式,每個程式產生的執行緒數是固定的(ThreadsPerChild決定),因此啟動時有50個執行緒。當50個執行緒不夠用時,伺服器自動fork一個程式,再產生25個執行緒。
perchild:如果httpd -l列出perchild.c,則需要對下面的段進行配置:
<IfModule perchild.c>
NumServers 5 #伺服器啟動時啟動的子程式數
StartThreads 5 #每個子程式啟動時啟動的執行緒數
MinSpareThreads 5 #記憶體中的最小空閒執行緒數
MaxSpareThreads 10 #最大空閒執行緒數
MaxThreadsPerChild 2000 #每個執行緒最多被請求多少次後退出。0不受限制。
MaxRequestsPerChild 10000 #每個子程式服務多少次後被重新fork。0表示不受限制。
</IfModule>
該模式下,子程式的數量是固定的,執行緒數不受限制。當客戶端連線到伺服器時,又空閒的執行緒提供服務。 如果空閒執行緒數不夠,子程式自動產生執行緒來為新的連線服務。該模式用於多站點伺服器。
(3) HTTP返頭回資訊配置:
ServerTokens Prod #該引數設定http頭部返回的apache版本資訊,可用的值和含義如下:
Prod:僅軟體名稱,例如:apache
Major:包括主版本號,例如:apache/2
Minor:包括次版本號,例如:apache/2.0
Min:僅apache的完整版本號,例如:apache/ 2.0.54
OS:包括作業系統型別,例如:apache/2.0.54(Unix)
Full:包括apache支援的模組及模組版本號,例如:Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g
ServerSignature Off #在頁面產生錯誤時是否出現伺服器版本資訊。推薦設定為Off
(4) 永續性連線設定
KeepAlive On #開啟永續性連線功能。即當客戶端連線到伺服器,下載完資料後仍然保持連線狀態。
MaxKeepAliveRequests 100 #一個連線服務的最多請求次數。
KeepAliveTimeout 30 #持續連線多長時間,該連線沒有再請求資料,則斷開該連線。預設為15秒。
別名設定
對於不在DocumentRoot指定的目錄內的頁面,既可以使用符號連線,也可以使用別名。別名的設定如下:
Alias /download/ "/var/www/download/" #訪問時可以輸入:http://www.custing.com/download/
<Directory "/var/www/download"> #對該目錄進行訪問控制設定
Options Indexes MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
CGI設定
ScriptAlias /cgi-bin/ "/mnt/software/apache2/cgi-bin/" # 訪問時可以:。但是該目錄下的CGI指令碼檔案要加可執行許可權!
<Directory "/usr/local/apache2/cgi-bin"> #設定目錄屬性
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
個人主頁的設定 (public_html)
UserDir public_html (間使用者的主頁儲存在使用者主目錄下的public_html目錄下 URL ~bearzhang/file.html 將讀取 /home/bearzhang/public_html/file.html 檔案)
chmod 755 /home/bearzhang #使其它使用者能夠讀取該檔案。
UserDir /var/html (the URL ~bearzhang/file.html 將讀取 /var/html/bearzhang/file.html)
UserDir /var/www/*/docs (the URL ~bearzhang/file.html 將讀取 /var/www/bearzhang/docs/file.html)
日誌的設定
(1)錯誤日誌的設定
ErrorLog logs/error_log #日誌的儲存位置
LogLevel warn #日誌的級別
顯示的格式日下:
[Mon Oct 10 15:54:29 2005] [error] [client 192.168.10.22] access to /download/ failed, reason: user admin not allowed access
(2)訪問日誌設定
日誌的預設格式有如下幾種:
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
LogFormat "%h %l %u %t "%r" %>s %b" common #common為日誌格式名稱
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog logs/access_log common
格式中的各個引數如下:
%h --客戶端的ip地址或主機名
%l --The 這是由客戶端 identd 判斷的RFC 1413身份,輸出中的符號 "-" 表示此處資訊無效。
%u --由HTTP認證系統得到的訪問該網頁的客戶名。有認證時才有效,輸出中的符號 "-" 表示此處資訊無效。
%t --伺服器完成對請求的處理時的時間。
"%r" --引號中是客戶發出的包含了許多有用資訊的請求內容。
%>s --這個是伺服器返回給客戶端的狀態碼。
%b --最後這項是返回給客戶端的不包括響應頭的位元組數。
"%{Referer}i" --此項指明瞭該請求是從被哪個網頁提交過來的。
"%{User-Agent}i" --此項是客戶瀏覽器提供的瀏覽器識別資訊。
下面是一段訪問日誌的例項:
192.168.10.22 - bearzhang [10/Oct/2005:16:53:06 +0800] "GET /download/ HTTP/1.1" 200 1228
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/blank.gif HTTP/1.1" 304 -
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/back.gif HTTP/1.1" 304 -
各引數的詳細解釋,請參閱:Apache/ApacheManual/logs.html
使用者認證的配置
(1)in the httpd.conf:
AccessFileName .htaccess
.........
Alias /download/ "/var/www/download/"
<Directory "/var/www/download">
Options Indexes
AllowOverride AuthConfig
</Directory>
(2) create a password file:
/usr/local/apache2/bin/htpasswd -c /var/httpuser/passwords bearzhang
(3)onfigure the server to request a password and tell the server which users are allowed access.
vi /var/www/download/.htaccess:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /var/httpuser/passwords
Require user bearzhang
#Require valid-user #all valid user
虛擬主機的配置
(1)基於IP地址的虛擬主機配置
Listen 80
<VirtualHost 172.20.30.40>
DocumentRoot /www/example1
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50>
DocumentRoot /www/example2
ServerName
</VirtualHost>
(2) 基於IP和多埠的虛擬主機配置
Listen 172.20.30.40:80
Listen 172.20.30.40:8080
Listen 172.20.30.50:80
Listen 172.20.30.50:8080
<VirtualHost 172.20.30.40:80>
DocumentRoot /www/example1-80
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
DocumentRoot /www/example1-8080
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50:80>
DocumentRoot /www/example2-80
ServerName
</VirtualHost>
<VirtualHost 172.20.30.50:8080>
DocumentRoot /www/example2-8080
ServerName
</VirtualHost>
(3)單個IP地址的伺服器上基於域名的虛擬主機配置:
# Ensure that Apache listens on port 80
Listen 80
# Listen for virtual host requests on all IP addresses
NameVirtualHost *:80
<VirtualHost *:80>
DocumentRoot /www/example1
ServerName
ServerAlias example1.com. *.example1.com
# Other directives here
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /www/example2
ServerName
# Other directives here
</VirtualHost>
(4)在多個IP地址的伺服器上配置基於域名的虛擬主機:
Listen 80
# This is the "main" server running on 172.20.30.40
ServerName server.domain.com
DocumentRoot /www/mainserver
# This is the other address
NameVirtualHost 172.20.30.50
<VirtualHost 172.20.30.50>
DocumentRoot /www/example1
ServerName
# Other directives here ...
</VirtualHost>
<VirtualHost 172.20.30.50>
DocumentRoot /www/example2
ServerName
# Other directives here ...
</VirtualHost>
(5)在不同的埠上執行不同的站點(基於多埠的伺服器上配置基於域名的虛擬主機):
Listen 80
Listen 8080
NameVirtualHost 172.20.30.40:80
NameVirtualHost 172.20.30.40:8080
<VirtualHost 172.20.30.40:80>
ServerName
DocumentRoot /www/domain-80
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
ServerName
DocumentRoot /www/domain-8080
</VirtualHost>
<VirtualHost 172.20.30.40:80>
ServerName
DocumentRoot /www/otherdomain-80
</VirtualHost>
<VirtualHost 172.20.30.40:8080>
ServerName
DocumentRoot /www/otherdomain-8080
</VirtualHost>
(6)基於域名和基於IP的混合虛擬主機的配置:
Listen 80
NameVirtualHost 172.20.30.40
<VirtualHost 172.20.30.40>
DocumentRoot /www/example1
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40>
DocumentRoot /www/example2
ServerName
</VirtualHost>
<VirtualHost 172.20.30.40>
DocumentRoot /www/example3
ServerName
</VirtualHost>
SSL加密的配置
首先在配置之前先來了解一些基本概念:
證照的概念:首先要有一個根證照,然後用根證照來簽發伺服器證照和客戶證照,一般理解:伺服器證照和客戶證照是平級關係。SSL必須安裝伺服器證照來認證。 因此:在此環境中,至少必須有三個證照:根證照,伺服器證照,客戶端證照。 在生成證照之前,一般會有一個私鑰,同時用私鑰生成證照請求,再利用證照伺服器的根證來簽發證照。
SSL所使用的證照可以自己生成,也可以透過一個商業性CA(如Verisign 或 Thawte)簽署證照。
簽發證照的問題:如果使用的是商業證照,具體的簽署方法請檢視相關銷售商的說明;如果是知己簽發的證照,可以使用openssl自帶的CA.sh指令碼工具。
如果不為單獨的客戶端簽發證照,客戶端證照可以不用生成,客戶端與伺服器端使用相同的證照。
(1) conf/ssl.conf 配置檔案中的主要引數配置如下:
Listen 443
SSLPassPhraseDialog buildin
#SSLPassPhraseDialog exec:/path/to/program
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache2/logs/ssl_mutex
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/usr/local/apache2/htdocs"
ServerName
ServerAdmin you@example.com
ErrorLog /usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
</VirtualHost>
(2) 建立和使用自簽署的證照:
a.Create a RSA private key for your Apache server
/usr/local/openssl/bin/openssl genrsa -des3 -out /usr/local/apache2/conf/ssl.key/server.key 1024
b. Create a Certificate Signing Request (CSR)
/usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2/conf/ssl.key/server.csr
c. Create a self-signed CA Certificate (X509 structure) with the RSA key of the CA
/usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl.key/server.key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt
/usr/local/openssl/bin/openssl genrsa 1024 -out server.key
/usr/local/openssl/bin/openssl req -new -key server.key -out server.csr
/usr/local/openssl/bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
(3) 建立自己的CA(認證證照),並使用該CA來簽署伺服器的證照。
mkdir /CA
cd /CA
cp openssl-0.9.7g/apps/CA.sh /CA
./CA.sh -newca
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.csr newreq.pem
./CA.sh -sign
cp newcert.pem /usr/local/apache2/conf/ssl.crt/server.crt
cp server.key /usr/local/apache2/conf/ssl.key/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/220205/viewspace-2145413/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Apache SSL伺服器配置SSL詳解(轉)Apache伺服器
- apache 配置檔案的配置(轉)Apache
- apache伺服器全域性配置詳解(全)Apache伺服器
- apache 負載均衡配置Apache負載
- Apache+jk+tomcat負載均衡詳細配置方法ApacheTomcat負載
- JSWDK配置詳解 (轉)JS
- Apache主配置檔案httpd.conf 詳解Apachehttpd
- Apache的httpd命令詳解Apachehttpd
- Apache Rewrite詳解Apache
- Apache(httpd)詳解Apachehttpd
- MySQL鎖詳解!(轉載)MySql
- $AJAX方法詳解(轉載)
- DBLINK詳解(轉載)
- Windows + Apache + resin配置 (轉)WindowsApache
- 負載均衡之Haproxy配置詳解負載
- 詳解Apache Hudi如何配置各種型別分割槽Apache型別
- 批處理中的for詳解(轉載)
- 負載均衡之Haproxy配置詳解(及httpd配置)負載httpd
- RMAN備份詳解(轉載)
- [轉載]CSS之Position詳解CSS
- 轉載:RMAN 備份詳解
- Apache POI使用詳解Apache
- Apache日誌詳解Apache
- Windows+Apache+resin配置(轉)WindowsApache
- 配置Apache Server + Tomcat (轉)ApacheServerTomcat
- squid 配置詳解+認證(轉)UI
- [轉載]ORACLE GOLDENGATE的主要元件詳解OracleGo元件
- 配置apache和nginx的tomcat負載均衡ApacheNginxTomcat負載
- UNIX下的PHP環境配置,+apache (轉)PHPApache
- 轉載-RMAN下CROSSCHECK命令詳解ROS
- [轉載] Linux 目錄詳解Linux
- linux awk命令詳解 --轉載Linux
- 八項原則詳解(轉載)
- Apache Dolphin Scheduler - Dockerfile 詳解ApacheDocker
- Linux上配置Apache,支援中文名稱檔案下載的方法(轉)LinuxApache
- apache+tomcat配置指南(轉)ApacheTomcat
- Apache 配置檔案說明(轉)Apache
- Apache官網下載ant軟體包及安裝詳解Apache