快捷導(dǎo)航

linux Apache服務(wù)器系統(tǒng)安全設(shè)置與優(yōu)化第3/3頁(yè)

更新時(shí)間：2008年07月15日 18:35:53 作者：

結(jié)合，mod_gzip 和緩沖工具等，我們完全可以使一臺(tái)配置較低的 PC 有足夠的能力處理各種 HTML/CGI 等的請(qǐng)求。

　BrowserMatch命令為特定的客戶程序，設(shè)置特殊的參數(shù)，以保證對(duì)老版本瀏覽器的兼容性，并支持新瀏覽器的新特性。

# SetHandler server-status

# Order deny,allow

# Deny from all

# Allow from .your_domain.com

# SetHandler server-info

# Order deny,allow

# Deny from all

# Allow from .your_domain.com

## Deny from all

# ErrorDocument 403 http://phf.apache.org/phf_...

用于設(shè)置訪問(wèn)控制的設(shè)置主要是針對(duì)目錄和文件進(jìn)行設(shè)置的，然而也可以針對(duì)不同的URL進(jìn)行訪問(wèn)控制的設(shè)置，這樣就不必?fù)?dān)心ScriptAlias、 Alias是否將路徑設(shè)置到了受控制的目錄之外了。針對(duì)URL進(jìn)行控制的語(yǔ)句為 Location語(yǔ)句，這樣不但能對(duì)服務(wù)器上的文件、CGI提供保護(hù)，此外，它還能保護(hù)不能找到對(duì)應(yīng)文件，而是由服務(wù)器本身提供的特殊功能URL。http://servername/server-s...用于報(bào)告當(dāng)前Apache服務(wù)器的狀態(tài)，http://servername/server-i...用于報(bào)告Apache 服務(wù)器的統(tǒng)計(jì)信息。與此相關(guān)的設(shè)置還有ExtendedStatus參數(shù)，可以讓服務(wù)器輸出更詳細(xì)的的報(bào)告。

#ProxyRequests On

# Order deny,allow

# Deny from all

# Allow from .your_domain.com

#ProxyVia On

#CacheRoot "/www/proxy"

#CacheSize 5

#CacheGcInterval 4

#CacheMaxExpire 24

#CacheLastModifiedFactor 0.1

#CacheDefaultExpire 1

#NoCache a_domain.com another_domain.edu joes.garage_sale.com

　　Apache服務(wù)器本身就具備代理的功能，然而這要求加載入mod_proxy模塊。這能使用IfModule語(yǔ)句進(jìn)行判斷，如果存在mod_proxy模塊，就使用 ProxyRequests打開(kāi)代理支持。此后的Directory用于設(shè)置對(duì)Proxy功能的訪問(wèn)權(quán)限設(shè)置，以及用于設(shè)置緩沖的各個(gè)參數(shù)設(shè)置。

虛擬主機(jī)

#NameVirtualHost 12.34.56.78:80

#NameVirtualHost 12.34.56.78

# ServerAdmin webmaster@host.some_domain.com

# DocumentRoot /www/docs/host.some_domain.com

# ServerName host.some_domain.com

# ErrorLog logs/host.some_domain.com-error_log

# CustomLog logs/host.some_domain.com-access_log common

　　缺省設(shè)置文件中的這些內(nèi)容是用于設(shè)置命名基礎(chǔ)的虛擬主機(jī)服務(wù)器時(shí)使用。其中NameVirtualHost 來(lái)指定虛擬主機(jī)使用的IP地址，這個(gè)IP地址將對(duì)應(yīng)多個(gè) DNS名字，如果Apache使用了Listen 參數(shù)控制了多個(gè)端口，那么就可以在這里加上端口號(hào)以進(jìn)一步進(jìn)行區(qū)分對(duì)不同端口的不同連接請(qǐng)求。此后，使用 VirtualHost 語(yǔ)句，使用NameVirtualHost指定的IP地址作參數(shù)，對(duì)每個(gè)名字都定義對(duì)應(yīng)的虛擬主機(jī)設(shè)置。

　　虛擬主機(jī)是在一臺(tái)Web服務(wù)器上，可以為多個(gè)單獨(dú)域名提供Web服務(wù)，并且每個(gè)域名都完全獨(dú)立，包括具有完全獨(dú)立的文檔目錄結(jié)構(gòu)及設(shè)置，這樣域名之間完全獨(dú)立，不但使用每個(gè)域名訪問(wèn)到的內(nèi)容完全獨(dú)立，并且使用另一個(gè)域名無(wú)法訪問(wèn)其他域名提供的網(wǎng)頁(yè)內(nèi)容。

　　虛擬主機(jī)的概念非常有用，因?yàn)殡m然一個(gè)組織可以將自己的網(wǎng)頁(yè)掛在具備其他域名的服務(wù)器上的下級(jí)往址上，但使用獨(dú)立的域名和根網(wǎng)址更為正式，易為眾人接受。傳統(tǒng)上，必須自己設(shè)立一臺(tái)服務(wù)器才能達(dá)到單獨(dú)域名的目的，然而這需要維護(hù)一個(gè)單獨(dú)的服務(wù)器，很多小單位缺乏足夠的維護(hù)能力，更為合適的方式是租用別人維護(hù)的服務(wù)器。沒(méi)有必要為一個(gè)機(jī)構(gòu)提供一個(gè)單獨(dú)的服務(wù)器，完全可以使用虛擬主機(jī)能力，使服務(wù)器為多個(gè)域名提供Web服務(wù)，而且不同的服務(wù)互不干擾，對(duì)外就表現(xiàn)為多個(gè)不同的服務(wù)器。

　　有兩種設(shè)定虛擬主機(jī)的方式，一種是基于HTTP 1.0標(biāo)準(zhǔn)，需要一個(gè)具備多IP地址的服務(wù)器，再配置DNS 服務(wù)器，給每個(gè)IP地址以不同的域名，最后才能配置Apache的配置文件，使服務(wù)器對(duì)不同域名返回不同的Web文檔。由于這需要使用額外的IP地址，對(duì)每個(gè)要提供服務(wù)的域名都要使用單獨(dú)的IP地址，因此這種方式實(shí)現(xiàn)起來(lái)問(wèn)題較多?？梢栽谝粋€(gè)網(wǎng)絡(luò)界面上綁定多個(gè)IP地址，Linux下需要使用ifconfig的 alias參數(shù)來(lái)進(jìn)行這個(gè)配置，但此時(shí)會(huì)影響網(wǎng)絡(luò)性能。

　　HTTP 1.1標(biāo)準(zhǔn)在協(xié)議中規(guī)定了對(duì)瀏覽器和服務(wù)器通信時(shí)，服務(wù)器能夠跟蹤瀏覽器請(qǐng)求的是哪個(gè)主機(jī)名字。因此可以利用這個(gè)新特性，使用更輕松的方式設(shè)定虛擬主機(jī)。這種方式不需要額外的IP地址，但需要新版本的瀏覽器支持。這種方式已經(jīng)成為建立虛擬主機(jī)的標(biāo)準(zhǔn)方式。要建立非IP基礎(chǔ)的虛擬主機(jī)，多個(gè)域名是不可少的配置，因?yàn)槊總€(gè)域名就對(duì)應(yīng)一個(gè)要服務(wù)的虛擬主機(jī)。因此需要更改DNS服務(wù)器的配置，為服務(wù)器增加多個(gè)C NAME選項(xiàng)，如：

linux IN A 192.168.1.64

vhost1 IN CNAME linux

vhost2 IN CNAME linux

　基本的設(shè)置選項(xiàng)都是為了linux主機(jī)設(shè)定的，如果要為vhost1和vhost2設(shè)定虛擬主機(jī)，就要使用VirtualHost語(yǔ)句定義不同的選項(xiàng)，在語(yǔ)句中可以使用配置文件前面中的大部分選項(xiàng)，而可以重新定義幾乎所有的針對(duì)服務(wù)器的設(shè)置。

NameVirtualHost 192.168.1.64

DocumentRoot /www/data

ServerName linux.example.org.cn

DocumentRoot /vhost1

ServerName vhost1.example.org.cn

DocumentRoot /vhost2

ServerName vhost2.example.org.cn

　　這里需要注意的是，VirtualHost的參數(shù)地址一定要和NameVirtualHost定義的地址相一致，必須保證所有的值嚴(yán)格一致，Apache服務(wù)器才承認(rèn)這些定義是為這個(gè)IP地址定義的虛擬主機(jī)。

　　此外，定義過(guò)NameVirtualHost之后，那么對(duì)這個(gè)IP地址的訪問(wèn)都被區(qū)分不同的虛擬主機(jī)進(jìn)行處理，而對(duì)其他IP地址的訪問(wèn)，例如127.0.0.1，才應(yīng)用前面定義的缺省選項(xiàng)。

另外一些加速方法

1、 Web 頁(yè)面和 CGI 頁(yè)面采用了瀏覽器緩沖技術(shù)。具體的方法可以參考附錄一：采用 mod_gzip 加速Apache

2、不要讓 X Windows 運(yùn)行在你的 Web 服務(wù)器上，用 Ctrl-Alt-Backspace 關(guān)閉 X 。

3、在 CGI 腳本中：

                           文件 I/O：打開(kāi)的文件數(shù)目越少越好。

                           Shell 命令：采用全路徑來(lái)調(diào)用 shell 命令。

                           在Web 頁(yè)面目錄中，不要讓文件數(shù)超過(guò) 1000 個(gè)，文件越多花費(fèi)在定位上的時(shí)間也越多。

4、在 Web 服務(wù)器上的圖片越少越好，保證每個(gè)圖片都經(jīng)由圖片壓縮器運(yùn)行。

5、應(yīng)該配置盡量多的內(nèi)存，內(nèi)存的大小對(duì)系統(tǒng)性能影響非常大。

6、可以用strace命令調(diào)試調(diào)用。

        當(dāng)你不確定httpd.conf里的設(shè)置更改對(duì)進(jìn)程的影響時(shí)，strace或許能奏效，通過(guò)觀察輸出的行數(shù)，可以判斷對(duì)一個(gè)固定頁(yè)面訪問(wèn)時(shí)需要的調(diào)用數(shù)。如：

#ps –ef|grep http

#strace –p http_pid

accept(18, 0xFFBEFA50, 0xFFBEFA74, 1) = 3

fcntl(24, F_SETLKW, 0x001D0E10) = 0

sigaction(SIGUSR1, 0xFFBEF908, 0xFFBEF98 = 0

getsockname(3, 0xFFBEFA60, 0xFFBEFA74, 1) = 0

setsockopt(3, 6, 1, 0xFFBEF9C4, 4, 1) = 0

read(3, " G E T / c a s e i n c".., 4096) = 590

sigaction(SIGUSR1, 0xFFBED800, 0xFFBED880) = 0

time() = 1043377552

stat("/docroot/osc-new/www/caseincident/listCase.php", 0x0022BF5 = 0

umask(077) = 0

umask(0) = 077

setitimer(ITIMER_PROF, 0xFFBEF628, 0x00000000) = 0

sigaction(SIGPROF, 0xFFBEF4F8, 0xFFBEF57 = 0

sigprocmask(SIG_UNBLOCK, 0xFFBEF618, 0x00000000) = 0

getsockopt(6, 65535, 8192, 0xFFBE67B0, 0xFFBE67AC, 0) = 0

setsockopt(6, 65535, 8192, 0xFFBE67B0, 4, 0) = 0

setitimer(ITIMER_PROF, 0xFFBEF788, 0x00000000) = 0

sigaction(SIGUSR1, 0xFFBEF908, 0xFFBEF98 = 0

read(3, 0x001E5BC0, 4096) (sleeping...)

附錄一、采用 mod_gzip 加速Apache

說(shuō)明：本附錄為全文引用。

我們知道 mod_gzip 是用來(lái)在服務(wù)器端把客戶請(qǐng)求的內(nèi)容壓縮后發(fā)送給客戶端的一個(gè) Apache 模塊。本站的 Zope 通過(guò) FastCGI 來(lái)實(shí)現(xiàn)和 Apache 的結(jié)合，Apache 是解析 HTML 頁(yè)面的服務(wù)程序。安裝好 mod_gzip 后就即能壓縮普通靜態(tài)頁(yè)面也能壓縮 Zope 文檔。

一、安裝

http://www.hyperspacecommu...

頁(yè)面上有 mod_gzip 的二進(jìn)制碼版本和源碼下載。如果你使用前者的話，直接把文件拷貝到 Apache Home 的 libexec 目錄下就可以了。下載 mod_gzip.c 后，如果你的 Apache 用 DSO 模式安裝的話，用下面簡(jiǎn)單的命令就可以安裝了：

# /www/bin/apxs -i -a -c mod_gzip.c

二、配置

安裝完畢以后把下列配置加入httpd.conf ：

# mod_gzip 配置

LoadModule gzip_module libexec/mod_gzip.so

AddModule mod_gzip.c

mod_gzip_on Yes

mod_gzip_minimum_file_size 1002

mod_gzip_maximum_file_size 0

mod_gzip_maximum_inmem_size 60000

mod_gzip_item_include mime "application/x-httpd-php"

mod_gzip_item_include mime "text/*"

# 壓縮 Zope 的內(nèi)容：

mod_gzip_item_include file "[^.]*$"

mod_gzip_item_include mime "httpd/unix-directory"

mod_gzip_dechunk Yes

mod_gzip_temp_dir "/tmp"

mod_gzip_keep_workfiles No

mod_gzip_item_include file ".php$"

mod_gzip_item_include file ".txt$"

mod_gzip_item_include file ".html$"

mod_gzip_item_exclude file ".css$"

mod_gzip_item_exclude file ".js$"

并添加下面的行：

LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" mod_gzip: %{mod_gzip_compression_ratio}npct." mod_gzip

把對(duì)應(yīng)虛擬主機(jī)配置中的日志文件參數(shù)修改為 mod_gzip

三、壓縮效果

這樣，我們得到類似以下的日志文件：

61.169.41.13 - - [02/Mar/2002:01:24:29 -0500] "GET /pipermail/freelamp/2002-March/000026.html HTTP/1.1" 200 72848 "http://www.freelamp.com/pipermail/freelamp/2002-March/subject.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 54pct.

61.169.41.13 - - [02/Mar/2002:01:24:52 -0500] "GET /new/publish/1003233602/index_html HTTP/1.1" 200 4304 "http://www.freelamp.com/new/publish/search?subject=Zope&op=articles" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 65pct.

61.169.41.13 - - [02/Mar/2002:01:24:53 -0500] "GET /new/publish/global_css HTTP/1.1" 200 629 "http://www.freelamp.com/new/publish/1003233602/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 73pct.

61.169.41.13 - - [02/Mar/2002:01:24:54 -0500] "GET /new/publish/Images/sitetitle_img HTTP/1.1" 304 0 "http://www.freelamp.com/new/publish/1003233602/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 0pct.

61.169.41.13 - - [02/Mar/2002:01:26:21 -0500] "GET /new/publish/index_html HTTP/1.1" 200 7317 "http://www.freelamp.com/new/publish/1003233602/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 80pct.

61.169.41.13 - - [02/Mar/2002:01:26:22 -0500] "GET /new/publish/global_css HTTP/1.1" 200 629 "http://www.freelamp.com/new/publish/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 73pct.

61.169.41.13 - - [02/Mar/2002:01:26:24 -0500] "GET /new/publish/TopicImages/Tutorial HTTP/1.1" 304 0 "http://www.freelamp.com/new/publish/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 0pct.

61.169.41.13 - - [02/Mar/2002:01:26:24 -0500] "GET /new/publish/LinkImages/jsp001_img HTTP/1.1" 304 0 "http://www.freelamp.com/new/publish/index_html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461; NetCaptor 6.5.0)" mod_gzip: 0pct.

我們看到 mod_gzip 已經(jīng)對(duì) .html 和那些沒(méi)有點(diǎn)的文件作了壓縮，壓縮率達(dá)到了 70-80%。但是，mod_gzip 對(duì)圖片文件不作壓縮。

四、總結(jié)

結(jié)合，mod_gzip 和緩沖工具等，我們完全可以使一臺(tái)配置較低的 PC 有足夠的能力處理各種 HTML/CGI 等的請(qǐng)求。

上一頁(yè)1 23閱讀全文

您可能感興趣的文章: