個(gè)配置文件控制著服務(wù)器的各個(gè)方面的特性，因此為了正常運(yùn)行服務(wù)器便需要設(shè)置好這三個(gè)文件。 

　　除了這三個(gè)設(shè)置文件之外，Apache還使用mime.types文件用于標(biāo)識(shí)不同文件 
    對(duì)應(yīng)的MIME類型， magic文件設(shè)置不同MIME類型文件的一些特殊標(biāo)識(shí)，使得Apache 服務(wù)器從文檔后綴不能判斷出文件的MIME 類型時(shí)，能通過文件內(nèi)容中的這些特殊標(biāo)記來判斷文檔的MIME類型。 

bash-2.02$ ls -l /usr/local/apache/conf 
total 100 
-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf 
-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default 
-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf 
-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default 
-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic 
-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default 
-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types 
-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf 
-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default 

　　事實(shí)上當(dāng)前版本的Apache將原來httpd.conf、srm.conf與access.conf中的所有配置參數(shù)均放在了一個(gè)配置文件httpd.conf中，只是為了與以前的版本兼容的原因（使用這三個(gè)設(shè)置文件的方式來源于NCSA-httpd），才使用三個(gè)配置文件。而提供的access.conf和srm.conf文件中沒有具體的設(shè)置。 

　　由于在新版本的Apache中，所有的設(shè)置都被放在了httpd.conf中，因此只需要調(diào)整這個(gè)文件中的設(shè)置。以下使用缺省提供的httpd.conf為例，解釋Apache服務(wù)器的各個(gè)設(shè)置選項(xiàng)。然而不必因?yàn)樗峁┰O(shè)置的參數(shù)太多而煩惱，基本上這些參數(shù)都很明確，也可以不加改動(dòng)運(yùn)行Apache服務(wù)器。但如果需要調(diào)整Apache服務(wù)器的性能，以及增加對(duì)某種特性的支持，就需要了解這些設(shè)置參數(shù)的含義。 

　　關(guān)于Apache服務(wù)器的性能，在Internet上存在很大的爭(zhēng)議，基本上使用Apache的使用者幾乎都不懷疑它的優(yōu)秀性能，Apache也支撐了很多著名的高負(fù)載的網(wǎng)站，但是在商業(yè)機(jī)構(gòu)的評(píng)測(cè)中，Apache往往得分不高。很多人指出，在這些評(píng)測(cè)中，商業(yè)Web服務(wù)器及其操作系統(tǒng)往往由其專業(yè)公司的工程師進(jìn)行過性能調(diào)整，而Free 的操作系統(tǒng)和Web服務(wù)器往往就使用其缺省配置或僅僅作很小的更改。需要指出的是，除了操作系統(tǒng)的性能調(diào)整之外，Apache 服務(wù)器本身的缺省配置絕不是最優(yōu)化和最高效的，而是要適應(yīng)幾乎所有種類操作系統(tǒng)、所有種類硬件下的設(shè)置，多平臺(tái)的軟件不可能為特定平臺(tái)和特定硬件提供最優(yōu)化的缺省配置。因此要使用Apache的時(shí)候，性能調(diào)整是必不可少的。 

　　在商業(yè)評(píng)測(cè)中忽略了的另一個(gè)事實(shí)是，評(píng)測(cè)時(shí)往往對(duì)不同種類的功能進(jìn)行比較，例如使用Apache的標(biāo)準(zhǔn)CGI 的性能與ISAPI，NSAPI等服務(wù)器端API比較，事實(shí)上Apache服務(wù)器與此可以比較的功能為modperl ，F(xiàn)astCGI，與ASP類似的功能為PHP等等，只不過由于Apache的開放模式，這些功能是由獨(dú)立的開發(fā)組，作為獨(dú)立的模塊來實(shí)現(xiàn)的。但是在評(píng)測(cè)中，測(cè)試人員沒有加入相應(yīng)的模塊評(píng)測(cè)其性能。 

HTTP守護(hù)進(jìn)程的運(yùn)行參數(shù) 

　　httpd.conf中首先定義了一些httpd守護(hù)進(jìn)程運(yùn)行時(shí)需要的參數(shù)，來決定其運(yùn)行方式和運(yùn)行環(huán)境。 

　　ServerType standalone 
　　ServerType定義服務(wù)器的啟動(dòng)方式，缺省值為獨(dú)立方式standalone，httpd服務(wù)器將由其本身啟動(dòng)，并駐留在主機(jī)中監(jiān)視連接請(qǐng)求。在Linux下將在啟動(dòng)文件 /etc/rc.d/rc.local/init.d/apache中自動(dòng)啟動(dòng)Web服務(wù)器，這種方式是推薦設(shè)置。 
　　啟動(dòng)Apache服務(wù)器的另一種方式是inet方式，使用超級(jí)服務(wù)器inetd監(jiān)視連接請(qǐng)求并啟動(dòng)服務(wù)器。當(dāng)需要使用inetd啟動(dòng)方式時(shí)，便需要更改為這個(gè)設(shè)置，并屏蔽/etc/rc.d/rc.local/init.d/apache文件，以及更改/etc/inetd.conf并重起inetd，那么Apache就能從inetd中啟動(dòng)了。 
　　兩種方式的區(qū)別是獨(dú)立方式是由服務(wù)器自身管理自己的啟動(dòng)進(jìn)程，這樣在啟動(dòng)時(shí)能立即啟動(dòng)服務(wù)器的多個(gè)副本，每個(gè)副本都駐留在內(nèi)存中，一有連接請(qǐng)求不需要生成子進(jìn)程就可以立即進(jìn)行處理，對(duì)于客戶瀏覽器的請(qǐng)求反應(yīng)更快，性能較高。而 inetd方式要由inetd發(fā)現(xiàn)有連接請(qǐng)求后才去啟動(dòng)http服務(wù)器，由于inetd 要監(jiān)聽太多的端口，因此反應(yīng)較慢、效率較低，但節(jié)約了沒有連接請(qǐng)求時(shí)Web服務(wù)器占用的資源。因此inetd方式只用于偶爾被訪問并且不要求訪問速度的服務(wù)器上。事實(shí)上inetd方式不適合http的突發(fā)和多連接的特性，因?yàn)橐粋€(gè)頁面可能包含多個(gè)圖象，而每個(gè)圖象都會(huì)引起一個(gè)連接請(qǐng)求，即使雖然訪問人數(shù)造成教少，但瞬間的連接請(qǐng)求并不少，這就受到inetd性能的限制，甚至?xí)绊懹蒳netd啟動(dòng)的其他服務(wù)器程序。 

　　ServerRoot "/usr/local" 
　　ServerRoot用于指定守護(hù)進(jìn)程httpd的運(yùn)行目錄，httpd在啟動(dòng)之后將自動(dòng)將進(jìn)程的當(dāng)前目錄改變?yōu)檫@個(gè)目錄，因此如果設(shè)置文件中指定的文件或目錄是相對(duì)路徑，那么真實(shí)路徑就位于這個(gè)ServerRoot定義的路徑之下。 
　　由于httpd會(huì)經(jīng)常進(jìn)行并發(fā)的文件操作，就需要使用加鎖的方式來保證文件操作不沖突，由于NFS文件系統(tǒng)在文件加鎖方面能力有限，因此這個(gè)目錄應(yīng)該是本地磁盤文件系統(tǒng)，而不應(yīng)該使用NFS文件系統(tǒng)。 

　　#LockFile /var/run/httpd.lock 
　　LockFile參數(shù)指定了httpd守護(hù)進(jìn)程的加鎖文件，一般不需要設(shè)置這個(gè)參數(shù)， Apache服務(wù)器將自動(dòng)在ServerRoot下面的路徑中進(jìn)行操作。但如果ServerRoot為NFS文件系統(tǒng)，便需要使用這個(gè)參數(shù)指定本地文件系統(tǒng)中的路徑。 

　　PidFile /var/run/httpd.pid 
　　PidFile指定的文件將記錄httpd守護(hù)進(jìn)程的進(jìn)程號(hào)，由于httpd能自動(dòng)復(fù)制其自身，因此系統(tǒng)中有多個(gè)httpd進(jìn)程，但只有一個(gè)進(jìn)程為最初啟動(dòng)的進(jìn)程，它為其他進(jìn)程的父進(jìn)程，對(duì)這個(gè)進(jìn)程發(fā)送信號(hào)將影響所有的httpd進(jìn)程。PidFILE定義的文件中就記錄httpd父進(jìn)程的進(jìn)程號(hào)。 

　　ScoreBoardFile /var/run/httpd.scoreboard 
　　httpd使用ScoreBoardFile來維護(hù)進(jìn)程的內(nèi)部數(shù)據(jù)，因此通常不需要改變這個(gè)參數(shù)，除非管理員想在一臺(tái)計(jì)算機(jī)上運(yùn)行幾個(gè)Apache服務(wù)器，這時(shí)每個(gè)Apache服務(wù)器都需要獨(dú)立的設(shè)置文件htt pd.conf，并使用不同的ScoreBoardFile。 

　　#ResourceConfig conf/srm.conf 
　　#AccessConfig conf/access.conf 
　　這兩個(gè)參數(shù)ResourceConfig和AccessConfig，就用于和使用 srm.conf 和 access.conf 設(shè)置文件的老版本Apache兼容。如果沒有兼容的需要，可以將對(duì)應(yīng)的設(shè)置文件指定為/dev/null，這將表示不存在其他設(shè)置文件，而僅使用httpd.conf 一個(gè)文件來保存所有的設(shè)置選項(xiàng)。 

　　Timeout 300 
　　Timeout定義客戶程序和服務(wù)器連接的超時(shí)間隔，超過這個(gè)時(shí)間間隔（秒）后服務(wù)器將斷開與客戶機(jī)的連接。 

　　KeepAlive On 
　　在HTTP 1.0中，一次連接只能作傳輸一次HTTP請(qǐng)求，而KeepAlive參數(shù)用于支持HTTP 1.1版本的一次連接、多次傳輸功能，這樣就可以在一次連接中傳遞多個(gè)HTTP請(qǐng)求。雖然只有較新的瀏覽器才支持這個(gè)功能，但還是打開使用這個(gè)選項(xiàng)。 

　　MaxKeepAliveRequests 100 
　　MaxKeepAliveRequests為一次連接可以進(jìn)行的HTTP請(qǐng)求的最大請(qǐng)求次數(shù)。將其值設(shè)為0將支持在一次連接內(nèi)進(jìn)行無限次的傳輸請(qǐng)求。事實(shí)上沒有客戶程序在一次連接中請(qǐng)求太多的頁面，通常達(dá)不到這個(gè)上限就完成連接了。 

　　KeepAliveTimeout 15 
　　KeepAliveTimeout測(cè)試一次連接中的多次請(qǐng)求傳輸之間的時(shí)間，如果服務(wù)器已經(jīng)完成了一次請(qǐng)求，但一直沒有接收到客戶程序的下一次請(qǐng)求，在間隔超過了這個(gè)參數(shù)設(shè)置的值之后，服務(wù)器就斷開連接。 
　　MinSpareServers 5MaxSpareServers 10 
　　在使用子進(jìn)程處理HTTP請(qǐng)求的Web服務(wù)器上，由于要首先生成子進(jìn)程才能處理客戶的請(qǐng)求，因此反應(yīng)時(shí)間就有一點(diǎn)延遲。但是，Apache服務(wù)器使用了一個(gè)特殊技術(shù)來擺脫這個(gè)問題，這就是預(yù)先生成多個(gè)空余的子進(jìn)程駐留在系統(tǒng)中，一旦有請(qǐng)求出現(xiàn)，就立即使用這些空余的子進(jìn)程進(jìn)行處理，這樣就不存在生成子進(jìn)程造成的延遲了。在運(yùn)行中隨著客戶請(qǐng)求的增多，啟動(dòng)的子進(jìn)程會(huì)隨之增多，但這些服務(wù)器副本在處理完一次HTTP請(qǐng)求之后并不立即退出，而是停留在計(jì)算機(jī)中等待下次請(qǐng)求。但是空余的子進(jìn)程副本不能光增加不減少，太多的空余子進(jìn)程沒有處理任務(wù)，也占用服務(wù)器的處理能力，因此也要限制空余副本的數(shù)量，使其保持一個(gè)合適的數(shù)量，使得既能及時(shí)回應(yīng)客戶請(qǐng)求，又能減少不必要的進(jìn)程數(shù)量。 
　　因此就可以使用參數(shù)MinSpareServers來設(shè)置最少的空余子進(jìn)程數(shù)量， 以及使用參數(shù)MaxSpareServers 來限制最多的空閑子進(jìn)程數(shù)量，多余的服務(wù)器進(jìn)程副本就會(huì)退出。根據(jù)服務(wù)器的實(shí)際情況來進(jìn)行設(shè)置，如果服務(wù)器性能較高，并且也被頻繁訪問，就應(yīng)該增大這兩個(gè)參數(shù)的設(shè)置。對(duì)于高負(fù)載的專業(yè)網(wǎng)站，這兩個(gè)值應(yīng)該大致相同，并且等同于系統(tǒng)支持的最多服務(wù)器副本數(shù)量，也減少不必要的副本退出。 

　　StartServers 5 
　　StartServers參數(shù)就是用來設(shè)置httpd啟動(dòng)時(shí)啟動(dòng)的子進(jìn)程副本數(shù)量，這個(gè)參數(shù)與上面定義的MinSpareServers和MaxSpareServers參數(shù)相關(guān)，都是用于啟動(dòng)空閑子進(jìn)程以提高服務(wù)器的反應(yīng)速度的。這個(gè)參數(shù)應(yīng)該設(shè)置為前兩個(gè)值之間的一個(gè)數(shù)值，小于MinSpareServers和大于MaxS pareServers都沒有意義。 

　　MaxClients 150 
　　在另一方面，服務(wù)器的能力畢竟是有限的，不可能同時(shí)處理無限多的連接請(qǐng)求，因此參數(shù)Maxclient s就用于規(guī)定服務(wù)器支持的最多并發(fā)訪問的客戶數(shù)，如果這個(gè)值設(shè)置得過大，系統(tǒng)在繁忙時(shí)不得不在過多的進(jìn)程之間進(jìn)行切換來為太多的客戶進(jìn)行服務(wù)，這樣對(duì)每個(gè)客戶的反應(yīng)就會(huì)減慢，并降低了整體的效率。如果這個(gè)值設(shè)置的較小，那么系統(tǒng)繁忙時(shí)就會(huì)拒絕一些客戶的連接請(qǐng)求。當(dāng)服務(wù)器性能較高時(shí)，就可以適當(dāng)增加這個(gè)值的設(shè)置。對(duì)于專業(yè)網(wǎng)站，應(yīng)該使用提高服務(wù)器效率的策略，因此這個(gè)參數(shù)不能超過硬件本身的限制，如果頻繁出現(xiàn)拒絕訪問現(xiàn)象，就說明需要升級(jí)服務(wù)器硬件了。對(duì)于非專業(yè)網(wǎng)站，不太在意對(duì)客戶瀏覽器的反應(yīng)速度，或者認(rèn)為反應(yīng)速度較慢也比拒絕連接好，就也可以略微超過硬件條件來設(shè)置這個(gè)參數(shù)。 
　　這個(gè)參數(shù)限制了MinSpareServers和MaxSpareServers的設(shè)置，它們不應(yīng)該大于這個(gè)參數(shù)的設(shè)置。 

　　MaxRequestsPerChild 30 
　　使用子進(jìn)程的方式提供服務(wù)的Web服務(wù)，常用的方式是一個(gè)子進(jìn)程為一次連接服務(wù)，這樣造成的問題就是每次連接都需要生成、退出子進(jìn)程的系統(tǒng)操作，使得這些額外的處理過程占據(jù)了計(jì)算機(jī)的大量處理能力。因此最好的方式是一個(gè)子進(jìn)程可以為多次連接請(qǐng)求服務(wù)，這樣就不需要這些生成、退出進(jìn)程的系統(tǒng)消耗，Apache就采用了這樣的方式，一次連接結(jié)束后，子進(jìn)程并不退出，而是停留在系統(tǒng)中等待下一次服務(wù)請(qǐng)求，這樣就極大的提高了性能。 
　　但由于在處理過程中子進(jìn)程要不斷的申請(qǐng)和釋放內(nèi)存，次數(shù)多了就會(huì)造成一些內(nèi)存垃圾，就會(huì)影響系統(tǒng)的穩(wěn)定性，并且影響系統(tǒng)資源的有效利用。因此在一個(gè)副本處理過一定次數(shù)的請(qǐng)求之后，就可以讓這個(gè)子進(jìn)程副本退出，再從原始的httpd進(jìn)程中重新復(fù)制一個(gè)干凈的副本，這樣就能提高系統(tǒng)的穩(wěn)定性。這樣，每個(gè)子進(jìn)程處理服務(wù)請(qǐng)求次數(shù)由MaxRe questPerChild定義。 缺省的設(shè)置值為30，這個(gè)值對(duì)于具備高穩(wěn)定性特點(diǎn)的Linux系統(tǒng)來講是過于保守的設(shè)置，可以設(shè)置為1000甚至更高，設(shè)置為0支持每個(gè)副本進(jìn)行無限次的服務(wù)處理。 

　　#Listen 3000 
　　#Listen 12.34.56.78:80 
　　#BindAddress * 
　　Listen參數(shù)可以指定服務(wù)器除了監(jiān)視標(biāo)準(zhǔn)的80端口之外，還監(jiān)視其他端口的HTTP請(qǐng)求。由于FreeBSD系統(tǒng)可以同時(shí)擁有多個(gè)IP地址，因此也可以指定服務(wù)器只聽取對(duì)某個(gè)BindAddress< /B>的IP地址的HTTP請(qǐng)求。如果沒有配置這一項(xiàng)，則服務(wù)器會(huì)回應(yīng)對(duì)所有IP的請(qǐng)求。 
　　即使使用了BindAddress參數(shù)，使得服務(wù)器只回應(yīng)對(duì)一個(gè)IP地址的請(qǐng)求，但是通過使用擴(kuò)展的Listen參數(shù)，仍然可以讓HTTP守護(hù)進(jìn)程回應(yīng)對(duì)其他IP地址的請(qǐng)求。此時(shí)Listen參數(shù)的用法與上面的第二個(gè)例子相同。這種比較復(fù)雜的用法主要用于設(shè)置。此后可以用VirtualHost參數(shù)定義對(duì)不同IP的，然而這種用法是較早的HTTP 1.0標(biāo)準(zhǔn)中設(shè)置的方法，每針對(duì)一個(gè)就需要一個(gè)IP地址，實(shí)際上用處并不大。在HTTP 1.1中，增加了對(duì)單IP地址多域名的的支持，使得的設(shè)置具備更大的意義。 

LoadModule mime_magic_module libexec/apache/mod_mime_magic.so 
LoadModule info_module libexec/apache/mod_info.so 
LoadModule speling_module libexec/apache/mod_speling.so 
LoadModule proxy_module libexec/apache/libproxy.so 
LoadModule rewrite_module libexec/apache/mod_rewrite.so 
LoadModule anon_auth_module libexec/apache/mod_auth_anon.so 
LoadModule db_auth_module libexec/apache/mod_auth_db.so 
LoadModule digest_module libexec/apache/mod_digest.so 
LoadModule cern_meta_module libexec/apache/mod_cern_meta.so 
LoadModule expires_module libexec/apache/mod_expires.so 
LoadModule headers_module libexec/apache/mod_headers.so 
LoadModule usertrack_module libexec/apache/mod_usertrack.so 
LoadModule unique_id_module libexec/apache/mod_unique_id.so 

ClearModuleList 
AddModule mod_env.c 
AddModule mod_log_config.c 
AddModule mod_mime_magic.c 
AddModule mod_mime.c 
AddModule mod_negotiation.c 
AddModule mod_status.c 
AddModule mod_info.c 
AddModule mod_include.c 
AddModule mod_autoindex.c 
AddModule mod_dir.c 
AddModule mod_cgi.c 
AddModule mod_asis.c 
AddModule mod_imap.c 
AddModule mod_actions.c 
AddModule mod_speling.c 
AddModule mod_userdir.c 
AddModule mod_proxy.c 
AddModule mod_alias.c 
AddModule mod_rewrite.c 
AddModule mod_access.c 
AddModule mod_auth.c 
AddModule mod_auth_anon.c 
AddModule mod_auth_db.c 
AddModule mod_digest.c 
AddModule mod_cern_meta.c 
AddModule mod_expires.c 
AddModule mod_headers.c 
AddModule mod_usertrack.c 
AddModule mod_unique_id.c 
AddModule mod_so.c 
AddModule mod_setenvif.c 

Apache服務(wù)器的一個(gè)重要特性就是其模塊化的結(jié)構(gòu)，這不但表現(xiàn)為其能在編譯時(shí)能通過新的模塊加入新的功能，還表現(xiàn)為其模塊可以動(dòng)態(tài)加載入http服務(wù)程序中，而不必載入不需要的模塊。使用Apache的動(dòng)態(tài)加載模塊只需要設(shè)置好Load Module和AddModule參數(shù)就可以了，這種特性就是Apache的 DSO（Dynamic Shared Object）特性，然而要想充分使用DSO特性仍然不是一個(gè)簡(jiǎn)單的事情，不適當(dāng)?shù)母膭?dòng)這里的設(shè)置就可能造成服務(wù)器不能正常啟動(dòng)。因此如果不是要增加或減少服務(wù)器提供的功能，就不要改動(dòng)這里的設(shè)置。 

　　上面這些列表就顯示了Linux下的缺省Apache服務(wù)器支持的模塊，事實(shí)上很多模塊是沒有必要的，不必要模塊不會(huì)被載入內(nèi)存。模塊可以靜態(tài)連接到pache 服務(wù)器內(nèi)部，也可以這樣動(dòng)態(tài)加載，將Apache的特性都編譯成動(dòng)態(tài)可加載模塊是該P(yáng)ort的做法，而不是Apache的缺省做法，這樣就以犧牲很小的性能的同時(shí)，帶來極大的靈活性。 

　　因而動(dòng)態(tài)可加載的能力還是對(duì)性能有輕微的影響，因此可以重新編譯Apache，將自己所需要的功能編譯進(jìn)Apache 服務(wù)器內(nèi)部，可以讓系統(tǒng)顯得更為干凈，效率也有輕微的提高。通常僅僅為了這一個(gè)目的就重新編譯Apache是沒有必要的，如果需要增加其他特性而重新編譯Apache，不妨在增加其他模塊的同時(shí)將所有的模塊都靜態(tài)連接入Apache 服務(wù)器。有的使用者更喜歡動(dòng)態(tài)加載模塊，那么也不妨全部都使用動(dòng)態(tài)加載模塊。 

　　這些模塊都被放置到/usr/local/apache/libexec/目錄下， 每個(gè)模塊對(duì)應(yīng)Apache服務(wù)器的一個(gè)特性。詳細(xì)解釋每個(gè)模塊的功能需要相當(dāng)多的篇幅，其中比較重要的特性將在后面相應(yīng)的地方中進(jìn)行解釋，而具體每個(gè)模塊的功能及用法就需要查看Apache的文檔。 

　　#ExtendedStatus On 
　　Apache服務(wù)器可以通過特殊的HTTP請(qǐng)求，來報(bào)告自身的運(yùn)行狀態(tài)，打開這個(gè)ExtendedStatus 參數(shù)可以讓服務(wù)器報(bào)告更全面的運(yùn)行狀態(tài)信息。 
　　主服務(wù)器設(shè)置 

　　Apache服務(wù)器需要各種設(shè)置，以定義自己使用各種參數(shù)以提供Web服務(wù)。對(duì)于使用的情況，除了在的定義項(xiàng)中覆蓋的設(shè)置之外（有的設(shè)置必須重新定義），這里的設(shè)置也是的缺省設(shè)置。 

　　Port 80 
　　Port定義了Standalone模式下httpd守護(hù)進(jìn)程使用的端口，標(biāo)準(zhǔn)端口是80。這個(gè)選項(xiàng)只對(duì)于以獨(dú)立方式啟動(dòng)的服務(wù)器才有效，對(duì)于以inetd方式啟動(dòng)的服務(wù)器則在inetd.conf中定義使用哪個(gè)端口。 

　　在Unix下使用80端口需要root權(quán)限，一些管理員為了安全的原因，認(rèn)為 httpd 服務(wù)器不可能沒有安全漏洞，因而更愿意使用普通用戶的權(quán)限來啟動(dòng)服務(wù)器，這樣就不能使用80端口及其他小于1024的端口，而必須使用大于 1024的端口來啟動(dòng)httpd，一般情況下8000或8080也是常用的端口。而Apache httpd服務(wù)器本身可以在以root權(quán)限打開80端口后再改變?yōu)槠胀ㄓ脩羯矸葸M(jìn)行運(yùn)行，這樣就減少了危險(xiǎn)性，因而就不需要考慮這個(gè)安全問題。但是如果普通用戶也想安裝配置自己的WWW服務(wù)器，那么就不得不使用大于1024的端口。 

　　User nobody 
　　Group nogroup 
　　User和Group配置是Apache的安全保證，Apache在打開端口之后，就將其本身設(shè)置為這兩個(gè)選項(xiàng)設(shè)置的用戶和組權(quán)限進(jìn)行運(yùn)行，這樣就降低了服務(wù)器的危險(xiǎn)性。這個(gè)選項(xiàng)也只用于 Standalone模式，inetd模式在inetd.conf中指定運(yùn)行Apache的用戶。由于服務(wù)器必須執(zhí)行改變身份的setuid()操作，因此初始進(jìn)程應(yīng)該具備root權(quán)限，如果是使用非root用戶來啟動(dòng)Aapche，這個(gè)配置就不會(huì)發(fā)揮作用。 
　　缺省設(shè)置為nobody和nogroup，這個(gè)用戶和組在系統(tǒng)中不擁有文件，保證了服務(wù)器本身和由它啟動(dòng)的CGI 進(jìn)程沒有權(quán)限更改文件系統(tǒng)。在某些情況下，例如為了運(yùn)行CGI與Unix交互，也需要讓服務(wù)器來訪問服務(wù)器上的文件，如果仍然使用nobody和nogroup，那么系統(tǒng)中將會(huì)出現(xiàn)屬于nobody的文件，這對(duì)于系統(tǒng)安全是不利的，因?yàn)槠渌绦蛞矔?huì)以nobody和nogroup的權(quán)限執(zhí)行某些操作，就有可能訪問這些nobody擁有的文件，造成安全問題。一般情況下要為Web服務(wù)設(shè)定一個(gè)特定的用戶和組，同時(shí)在這里更改用戶和組設(shè)置。 

　　ServerAdmin 
　　配置文件中應(yīng)該改變的也許只有ServerAdmin， 這一項(xiàng)用于配置WWW服務(wù)器的管理員的email地址，這將在HTTP服務(wù)出現(xiàn)錯(cuò)誤的條件下返回給瀏覽器，以便讓W(xué)eb使用者和管理員聯(lián)系，報(bào)告錯(cuò)誤。習(xí)慣上使用服務(wù)器上的webmaster作為WWW服務(wù)器的管理員，通過郵件服務(wù)器的別名機(jī)制，將發(fā)送到webmaster 的電子郵件發(fā)送給真正的Web管理員。 

　　#ServerName new.host.name 
　　缺省情況下，并不需要指定這個(gè)ServerName參數(shù)，服務(wù)器將自動(dòng)通過名字解析過程來獲得自己的名字，但如果服務(wù)器的名字解析有問題（通常為反向解析不正確），或者沒有正式的DNS名字，也可以在這里指定IP地址。當(dāng)ServerName設(shè)置不正確的時(shí)候，服務(wù)器不能正常啟動(dòng)。 
　　通常一個(gè)Web服務(wù)器可以具有多個(gè)名字，客戶瀏覽器可以使用所有這些名字或IP地址來訪問這臺(tái)服務(wù)器，但在沒有定義的情況下，服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器。ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字，例如一臺(tái)服務(wù)器名字（在DNS中定義了A類型）為exmaple.org.cn，同時(shí)為了方便記憶還定義了一個(gè)別名（CNAME記錄）為，那么Apache自動(dòng)解析得到的名字就為example.org.cn，這樣不管客戶瀏覽器使用哪個(gè)名字發(fā)送請(qǐng)求，服務(wù)器總是告訴客戶程序自己為 example.org.cn。雖然這一般并不會(huì)造成什么問題，但是考慮到某一天服務(wù)器可能遷移到其他計(jì)算機(jī)上，而只想通過更改DNS中的www別名配置就完成遷移任務(wù)，所以不想讓客戶在其書簽中使用 Linux 記錄下這個(gè)服務(wù)器的地址，就必須使用ServerName來重新指定服務(wù)器的正式名字。 

　　DocumentRoot "/www/" 
　　DocumentRoot定義這個(gè)服務(wù)器對(duì)外發(fā)布的超文本文檔存放的路徑，客戶程序請(qǐng)求的UR L就被映射為這個(gè)目錄下的網(wǎng)頁文件。這個(gè)目錄下的子目錄，以及使用符號(hào)連接指出的文件和目錄都能被瀏覽器訪問，只是要在URL上使用同樣的相對(duì)目錄名。 

　　注意，符號(hào)連接雖然邏輯上位于根文檔目錄之下，但實(shí)際上可以位于計(jì)算機(jī)上的任意目錄中，因此可以使客戶程序能訪問那些根文檔目錄之外的目錄，這在增加了靈活性的同時(shí)但減少了安全性。Apache在目錄的訪問控制中提供了FollowSymLinks選項(xiàng)來打開或關(guān)閉支持符號(hào)連接的特性。 
　　Options FollowSymLinks 
AllowOverride None 
　　Apache服務(wù)器可以針對(duì)目錄進(jìn)行文檔的訪問控制，然而訪問控制可以通過兩種方式來實(shí)現(xiàn)，一個(gè)是在設(shè)置文件 httpd.conf（或access.conf）中針對(duì)每個(gè)目錄進(jìn)行設(shè)置，另一個(gè)方法是在每個(gè)目錄下設(shè)置訪問控制文件，通常訪問控制文件名字為.htaccess。雖然使用這兩個(gè)方式都能用于控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動(dòng)后重新啟動(dòng)httpd守護(hù)進(jìn)程，比較不靈活，因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略，而使用每個(gè)目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便。 
　　Directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標(biāo)準(zhǔn)語法，為一個(gè)目錄定義訪問限制。上例的這個(gè)設(shè)置是針對(duì)系統(tǒng)的根目錄進(jìn)行的，設(shè)置了允許符號(hào)連接的選項(xiàng)FollowSymLinks ，以及使用AllowOverride None表示不允許這個(gè)目錄下的訪問控制文件來改變這里進(jìn)行的配置，這也意味著不用查看這個(gè)目錄下的相應(yīng)訪問控制文件。 
　　由于Apache對(duì)一個(gè)目錄的訪問控制設(shè)置是能夠被下一級(jí)目錄繼承的，因此對(duì)根目錄的設(shè)置將影響到它的下級(jí)目錄。注意由于AllowOverride None的設(shè)置，使得Apache服務(wù)器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級(jí)目錄下的訪問控制文件，直至httpd.conf（或access.conf ）中為某個(gè)目錄指定了允許Alloworride，即允許查看訪問控制文件。由于Apache對(duì)目錄訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么Apache就必須一級(jí)一級(jí)的查看訪問控制文件，對(duì)系統(tǒng)性能會(huì)造成影響。而缺省關(guān)閉了根目錄的這個(gè)特性，就使得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級(jí)數(shù)，增加了系統(tǒng)性能。因此對(duì)于系統(tǒng)根目錄設(shè)置AllowOverride None不但對(duì)于系統(tǒng)安全有幫助，也有益于系統(tǒng)性能。 

Options Indexes FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 
　　這里定義的是系統(tǒng)對(duì)外發(fā)布文檔的目錄的訪問設(shè)置，設(shè)置不同的 AllowOverride選項(xiàng)，以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系，而Options選項(xiàng)用于定義該目錄的特性。 
　　配置文件和每個(gè)目錄下的訪問控制文件都可以設(shè)置訪問限制，設(shè)置文件是由管理員設(shè)置的，而每個(gè)目錄下的訪問控制文件是由目錄的屬主設(shè)置的，因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置，這就需要使用 啊AllowOverride參數(shù)進(jìn)行設(shè)置，通?？梢栽O(shè)置的值為： 
AllowOverride的設(shè)置 對(duì)每個(gè)目錄訪問控制文件作用的影響 
All 缺省值，使訪問控制文件可以覆蓋系統(tǒng)配置 
None 服務(wù)器忽略訪問控制文件的設(shè)置 
Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項(xiàng) 
FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置 
AuthConfig 允許訪問控制文件使用AuthName，AuthType等針對(duì)每個(gè)用戶的認(rèn)證機(jī)制，這使目錄屬主能用口令和用戶名來保護(hù)目錄 Limit 允許對(duì)訪問目錄的客戶機(jī)的IP地址和名字進(jìn)行限制 
　　每個(gè)目錄具備一定屬性，可以使用Options來控制這個(gè)目錄下的一些訪問特性設(shè)置，以下為常用的特性選項(xiàng)： 

Options設(shè)置 服務(wù)器特性設(shè)置 
All 所有的目錄特性都有效，這是缺省狀態(tài) 
None 所有的目錄特性都無效 
FollowSymLinks 允許使用符號(hào)連接，這將使瀏覽器有可能訪問文檔根目錄 （DocumentRoot）之外的文檔 SymLinksIfOwnerMatch 只有符號(hào)連接的目的與符號(hào)連接本身為同一用戶所擁有時(shí)，才允許訪問，這個(gè)設(shè)置將增加一些安全性 
ExecCGI 允許這個(gè)目錄下可以執(zhí)行CGI程序 Indexes 允許瀏覽器可以生成這個(gè)目錄下所有文件的索引，使得在這個(gè)目錄下沒有index.html（或其他索引文件）時(shí)，能向?yàn)g覽器發(fā)送這個(gè)目錄下的文件列表 
　此外，上例中還使用了Order、Allow、Deny等參數(shù)，這是Limit語句中用來根據(jù)瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序，而Allow、Deny則針對(duì)名字或IP進(jìn)行訪問控制設(shè)置，上例使用allowfrom all，表示允許所有的客戶機(jī)訪問這個(gè)目錄，而不進(jìn)行任何限制。 

　　UserDir public_html 
　　當(dāng)在一臺(tái)Linux上運(yùn)行Apache服務(wù)器時(shí)，這臺(tái)計(jì)算機(jī)上的所有用戶都可以有自己的網(wǎng)頁路徑，形如 ，使用波浪符號(hào)加上用戶名就可以映射到用戶自己的網(wǎng)頁目錄上。映射目錄為用戶個(gè)人主目錄下的一個(gè)子目錄，其名字就用UseDir這個(gè)參數(shù)進(jìn)行定義，缺省為public_html。如果不想為正式的用戶提供網(wǎng)頁服務(wù)，使用DISABLED作UserDir的參數(shù)即可。 

# 
# AllowOverride FileInfo AuthConfig Limit 
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec 
# 
# Order allow,deny 
# Allow from all 
# 
# 
# Order deny,allow 
# Deny from all 
# 
# 

　　這里可以看到Directory的另一個(gè)用法，即可以通過簡(jiǎn)單的模式匹配方法，針對(duì)分布在不同目錄下的子目錄定義訪問控制權(quán)限。這樣設(shè)置就需要Apache服務(wù)器對(duì)每個(gè)路徑進(jìn)行額外的處理，因此就會(huì)降低服務(wù)器的性能，所以缺省情況并沒有打開這種訪問限制。

最新評(píng)論