文章內(nèi)容

Apache服務(wù)以及httpd.conf配置詳解 (2)

發(fā)布時(shí)間: 2012/7/27 18:18:16

義虛擬主機(jī)的情況下，服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器。
　　ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字，例如一臺(tái)服務(wù)器名字（在DNS中定義了A類
　　型）為freebsd.exmaple.org.cn，同時(shí)為了方便記憶還定義了一個(gè)別名（CNAME記錄）為
　　www.exmaple.org.cn，那么Apache自動(dòng)解析得到的名字就為linux.example.org.cn，這樣不管
　　客戶瀏覽器使用哪個(gè)名字發(fā)送請(qǐng)求，服務(wù)器總是告訴客戶程序自己為linux.example.org.cn。
　　雖然這一般并不會(huì)造成什么問(wèn)題，但是考慮到某一天服務(wù)器可能遷移到其他計(jì)算機(jī)上，而只想通過(guò)更改DNS中的www別名配置就完成遷移任務(wù)，所以不想讓客戶在其書簽中使用 linux記錄下這
　　個(gè)服務(wù)器的地址，就必須使用ServerName來(lái)重新指定服務(wù)器的正式名字。
　　DocumentRoot “/usr/local/www/data“
　　DocumentRoot定義這個(gè)服務(wù)器對(duì)外發(fā)布的超文本文檔存放的路徑，客戶程序請(qǐng)求的UR L就被映射為這個(gè)目錄下的網(wǎng)頁(yè)文件。這個(gè)目錄下的子目錄，以及使用符號(hào)連接指出的文件和目錄都能被瀏覽器訪問(wèn)，只是要在URL上使用同樣的相對(duì)目錄名。
　　注意，符號(hào)連接雖然邏輯上位于根文檔目錄之下，但實(shí)際上可以位于計(jì)算機(jī)上的任意目錄中，因此可以使客戶程序能訪問(wèn)那些根文檔目錄之外的目錄，這在增加了靈活性的同時(shí)但減少
　　了安全性。Apache在目錄的訪問(wèn)控制中提供了FollowSymLinks選項(xiàng)來(lái)打開或關(guān)閉支持符號(hào)連接的
　　特性。
　　<Directory />
　　Options FollowSymLinks
　　AllowOverride None
　　</Directory>
　　Apache服務(wù)器可以針對(duì)目錄進(jìn)行文檔的訪問(wèn)控制，然而訪問(wèn)控制可以通過(guò)兩種方式來(lái)實(shí)現(xiàn)，一個(gè)是在設(shè)置件 httpd.conf（或access.conf）中針對(duì)每個(gè)目錄進(jìn)行設(shè)置，另一個(gè)方法是
　　在每個(gè)目錄下設(shè)置訪問(wèn)控制文件，通常訪問(wèn)控制文件名字為.htaccess。雖然使用這兩個(gè)方式都能用于控制瀏覽器的訪問(wèn)，然而使用配置文件的方法要求每次改動(dòng)后重新啟動(dòng)httpd守護(hù)進(jìn)程，比較不靈活，因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略，而使用每個(gè)目錄下的.htaccess文件設(shè)置具體目錄的訪問(wèn)控制更為靈活方便。
　　<Directory “H:/web001“>
　　Directory語(yǔ)句就是用來(lái)定義目錄的訪問(wèn)限制的，這里可以看出它的標(biāo)準(zhǔn)語(yǔ)法，為一個(gè)目錄定義訪問(wèn)限制。上例的這個(gè)設(shè)置是針對(duì)系統(tǒng)的根目錄進(jìn)行的，設(shè)置了允許符號(hào)連接的選項(xiàng)
　　FollowSymLinks ，以及使用AllowOverride None表示不允許這個(gè)目錄下的訪問(wèn)控制文件來(lái)改變這里進(jìn)行的配置，這也意味著不用查看這個(gè)目錄下的相應(yīng)訪問(wèn)控制文件。
　　由于Apache對(duì)一個(gè)目錄的訪問(wèn)控制設(shè)置是能夠被下一級(jí)目錄繼承的，因此對(duì)根目錄的設(shè)置將影響到它的下級(jí)目錄。注意由于AllowOverride None的設(shè)置，使得Apache服務(wù)器不需要查看
　　根目錄下的訪問(wèn)控制文件，也不需要查看以下各級(jí)目錄下的訪問(wèn)控制文件，直至httpd.conf（或access.conf ）中為某個(gè)目錄指定了允許Alloworride，即允許查看訪問(wèn)控制文件。由于Apache
　　對(duì)目錄訪問(wèn)控制是采用的繼承方式，如果從根目錄就允許查看訪問(wèn)控制文件，那么Apache就必須一級(jí)一級(jí)的查看訪問(wèn)控制文件，對(duì)系統(tǒng)性能會(huì)造成影響。而缺省關(guān)閉了根目錄的這個(gè)特性，就使
　　得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級(jí)數(shù)，增加了系統(tǒng)性能。因此對(duì)于系統(tǒng)根目錄設(shè)置AllowOverride None不但對(duì)于系統(tǒng)安全有幫助，也有益于系統(tǒng)性能。
　　Options Indexes FollowSymLinks
　　AllowOverride None
　　Order allow,deny
　　Allow from all
　　</Directory>
　　這里定義的是系統(tǒng)對(duì)外發(fā)布文檔的目錄的訪問(wèn)設(shè)置，設(shè)置不同的AllowOverride選項(xiàng)，以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系，而Options選項(xiàng)用于定義該
　　目錄的特性。
　　配置文件和每個(gè)目錄下的訪問(wèn)控制文件都可以設(shè)置訪問(wèn)限制，設(shè)置文件是由管理員設(shè)置的，而每個(gè)目錄下的訪問(wèn)控制文件是由目錄的屬主設(shè)置的，因此管理員可以規(guī)定目錄的屬主是否
　　能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置，這就需要使用 AllowOverride參數(shù)進(jìn)行設(shè)置，通常可以設(shè)置的
　　值為：
　　AllowOverride的設(shè)置對(duì)每個(gè)目錄訪問(wèn)控制文件作用的影響
　　All 缺省值，使訪問(wèn)控制文件可以覆蓋系統(tǒng)配置
　　None 服務(wù)器忽略訪問(wèn)控制文件的設(shè)置
　　Options 允許訪問(wèn)控制文件中可以使用Options參數(shù)定義目錄的選項(xiàng)
　　FileInfo 允許訪問(wèn)控制文件中可以使用AddType等參數(shù)設(shè)置
　　AuthConfig 允許訪問(wèn)控制文件使用AuthName，AuthType等針對(duì)每個(gè)用戶的認(rèn)證機(jī)制，這使
　　目錄屬主能用口令和用戶名來(lái)保護(hù)目錄
　　Limit 允許對(duì)訪問(wèn)目錄的客戶機(jī)的IP地址和名字進(jìn)行限制
　　每個(gè)目錄具備一定屬性，可以使用Options來(lái)控制這個(gè)目錄下的一些訪問(wèn)特性設(shè)置，以下為
　　常用的特性選項(xiàng)：
　　Options設(shè)置服務(wù)器特性設(shè)置
　　All 所有的目錄特性都有效，這是缺省狀態(tài)
　　None 所有的目錄特性都無(wú)效
　　FollowSymLinks 允許使用符號(hào)連接，這將使瀏覽器有可能訪問(wèn)文檔根目錄（DocumentRoot
　�。┲獾奈臋n
　　SymLinksIfOwnerMatch 只有符號(hào)連接的目的與符號(hào)連接本身為同一用戶所擁有時(shí)，才允許
　　訪問(wèn)，這個(gè)設(shè)置將增加一些安全性
　　ExecCGI 允許這個(gè)目錄下可以執(zhí)行CGI程序
　　Indexes 允許瀏覽器可以生成這個(gè)目錄下所有文件的索引，使得在這個(gè)目錄下沒(méi)有
　　index.html（或其他索引文件）時(shí)，能向?yàn)g覽器發(fā)送這個(gè)目錄下的文件列表
　　此外，上例中還使用了Order、Allow、Deny等參數(shù)，這是Limit語(yǔ)句中用來(lái)根據(jù)瀏覽器
　　的域名和 IP地址來(lái)控制訪問(wèn)的一種方式。其中Order定義處理Allow和Deny的順序，而Allow、Deny則針對(duì)名字或IP進(jìn)行訪問(wèn)控制設(shè)置，上例使用allow from all，表示允許所有的客戶機(jī)訪問(wèn)
　　這個(gè)目錄，而不進(jìn)行任何限制。
　　UserDir public_html (Win32=“My Documents/My Website“)
　　當(dāng)在一臺(tái)linux上運(yùn)行Apache服務(wù)器時(shí)，這臺(tái)計(jì)算機(jī)上的所有用戶都可以有自己的網(wǎng)頁(yè)路徑，形如 http://linux.example.org.cn/~user，使用波浪符號(hào)加上用戶名就可以映射到
　　用戶自己的網(wǎng)頁(yè)目錄上。映射目錄為用戶個(gè)人主目錄下的一個(gè)子目錄，其名字就用UseDir這個(gè)參
　　數(shù)進(jìn)行定義，缺省為public_html。如果不想為正式的用戶提供網(wǎng)頁(yè)服務(wù)，使用DISABLED作UserDir的參數(shù)即可。
　　#
　　# AllowOverride FileInfo AuthConfig Limit
　　# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
　　#
　　# Order allow,deny
　　# Allow from all
　　#
　　#
　　# Order deny,allow
　　# Deny from all
　　#
　　#
　　這里可以看到Directory的另一個(gè)用法，即可以通過(guò)簡(jiǎn)單的模式匹配方法，針對(duì)分布在
　　不同目錄下的子目錄定義訪問(wèn)控制權(quán)限。這樣設(shè)置就需要Apache服務(wù)器對(duì)每個(gè)路徑進(jìn)行額外的處
　　理，因此就會(huì)降低服務(wù)器的性能，所以缺省情況并沒(méi)有打開這種訪問(wèn)限制。
　　這里可以看到另外一個(gè)語(yǔ)句Limit，Limit語(yǔ)句就是用來(lái)針對(duì)具體的請(qǐng)求方法來(lái)設(shè)定訪問(wèn)控制的，其中可以使用GET、POST等各種服務(wù)器支持的請(qǐng)求方法做Limit的參數(shù)，來(lái)設(shè)定對(duì)不同請(qǐng)求方法的訪問(wèn)限制。一般可以打開對(duì)GET、POST、HEAD三種請(qǐng)求方法，而屏蔽其他的請(qǐng)求方法，以增加安全性。Limit語(yǔ)句中，可以使用Order 、Allow、Deny，Allow和Deny中可以使用匹配的方法針對(duì)域名和IP進(jìn)行限制，只是對(duì)于域名是從后向前匹配，對(duì)于IP地址則從前向后匹配。
　　DirectoryIndex index.html
　　很多情況下，URL中并沒(méi)有指定文檔的名字，而只是給出了一個(gè)目錄名。那么Apache服務(wù)器就自動(dòng)返回這個(gè)目錄下由DirectoryIndex定義的文件，當(dāng)然可以指定多個(gè)文件名字，系統(tǒng)會(huì)這個(gè)目錄下順序搜索。當(dāng)所有由DirectoryIndex指定的文件都不存在時(shí)，Apache服務(wù)器可以根據(jù)系統(tǒng)設(shè)置，生成這個(gè)目錄下的所有文件列表，提供用戶選擇。此時(shí)該目錄的訪問(wèn)控制選項(xiàng)中的
　　Indexes選項(xiàng)（Options Indexes ）必須打開，以使得服務(wù)器能夠生成目錄列表，否則Apache將拒絕訪問(wèn)。
　　AccessFileName .htaccess
　　AccessFileName定義每個(gè)目錄下的訪問(wèn)控制文件的文件名，缺省為.htaccess ，可以通過(guò)更改這個(gè)文件，來(lái)改變不同目錄的訪問(wèn)控制限制。
　　Order allow,deny
　　Deny from all
　　除了可以針對(duì)目錄進(jìn)行訪問(wèn)控制之外，還可以根據(jù)文件來(lái)設(shè)置訪問(wèn)控制，這就是File語(yǔ)句的任務(wù)。使用File 語(yǔ)句，不管文件處于哪個(gè)目錄，只要名字匹配，就必須接受相應(yīng)的訪問(wèn)控
　　制。這個(gè)語(yǔ)句對(duì)于系統(tǒng)安全比較重要，例如上例將屏蔽所有的使用者不能訪問(wèn).htaccess文件，這樣就避免.htaccess中的關(guān)鍵安全信息不至于被客戶獲取。
　　TypesConfig /usr/local/etc/apache/mime.types
　　TypeConfig用于設(shè)置保存有不同的MIME類型數(shù)據(jù)的文件名，在FreeBSD下缺省設(shè)置為/usr/local/etc/apache/mime.types。
　　DefaultType text/plain
　　如果Web服務(wù)器不能決定一個(gè)文檔的缺省類型，這通常表示文檔使用了非標(biāo)準(zhǔn)的后綴，那么服務(wù)器就使用 DefaultType定義的MIME類型將文檔發(fā)送給客戶瀏覽器。這里的設(shè)置為text/plain，這樣設(shè)置的問(wèn)題是，如果服務(wù)器不能判斷出文檔的MIME，那么大部分情況下這個(gè)文
　　檔為一個(gè)二進(jìn)制文檔，但使用 text/plain格式發(fā)送回去，瀏覽器將在內(nèi)部打開它而不會(huì)提示保存。因此建議將這個(gè)設(shè)置更改為 application/octet-stream，這樣瀏覽器將提示用戶進(jìn)行保存
　　。
　　MIMEMagicFile /usr/local/etc/apache/magic
　　除了從文件的后綴出發(fā)來(lái)判斷文件的MIME類型之外，Apache還可以進(jìn)一步分析文件的一些特征，來(lái)判斷文件的真實(shí)MIME類型。這個(gè)功能是由mod_mime_magic模塊實(shí)現(xiàn)的，它需要一個(gè)記錄各種MIME類型特征的文件，以進(jìn)行分析判斷。上面的設(shè)置是一個(gè)條件語(yǔ)句，如果載入了這個(gè)模塊，就必須指定相應(yīng)的標(biāo)志文件magic的位置。
　　HostnameLookups Off
　　通常連接時(shí)，服務(wù)器僅僅可以得到客戶機(jī)的IP地址，如果要想獲得客戶機(jī)的主機(jī)名，以進(jìn)行日志記錄和提供給 CGI程序使用，就需要使用這個(gè)HostnameLookups選項(xiàng)，將其設(shè)置為On打
　　開DNS反查功能。但是這將使服務(wù)器對(duì)每次客戶請(qǐng)求都進(jìn)行DNS查詢，增加了系統(tǒng)開銷，使得反應(yīng)變慢，因此缺省設(shè)置為使用Off關(guān)閉此選項(xiàng)。關(guān)閉選項(xiàng)之后，服務(wù)器就不會(huì)獲得客戶機(jī)的主機(jī)名，而只能使用IP地址來(lái)記錄客戶。
　　ErrorLog /var/log/httpd-error.log
　　LogLevel warn
　　LogFormat “%h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-Agent}i\““
　　combined
　　LogFormat “%h %l %u %t \“%r\“ %>s %b“ common
　　LogFormat “%{Referer}i -> %U“ referer
　　LogFormat “%{User-agent}i“ agent
　　#CustomLog /var/log/httpd-access.log common
　　#CustomLog /var/log/httpd-referer.log referer
　　#CustomLog /var/log/httpd-agent.log agent
　　CustomLog /var/log/httpd-access.log combined
　　這里定義了系統(tǒng)日志的形式，對(duì)于服務(wù)器錯(cuò)誤記錄，由ErrorLog、LogLevel 來(lái)定義不
　　同的錯(cuò)誤日志文件及其記錄內(nèi)容。
　　對(duì)于系統(tǒng)的訪問(wèn)日志，缺省使用CustomLog參數(shù)定義日志的位置，缺省使用combined 參數(shù)指定將所有的訪問(wèn)日志放在一個(gè)文件中，然而也可以將不同種類的訪問(wèn)日志放在不同的日志記
　　錄文件中，這是通過(guò)在 CustomLog中指定不同的記錄類型來(lái)完成的。common表示普通的對(duì)單頁(yè)面請(qǐng)求訪問(wèn)記錄，referer表示每個(gè)頁(yè)面的引用記錄，可以看出一個(gè)頁(yè)面中包含的請(qǐng)求數(shù)，agent表示對(duì)客戶機(jī)的類型記錄，顯然可以將現(xiàn)有的combined 定義的設(shè)置行注釋掉，并使用common、referer和agent作為CustomLog的參數(shù)，來(lái)為不同種類的日志分別指定日志記錄文件。
　　顯然，LogFormat是用于定義不同類型的日志進(jìn)行記錄時(shí)使用的格式，這里使用了以%開頭
　　的宏定義，以記錄不同的內(nèi)容。
　　如果這些參數(shù)指定的文件使用的是相對(duì)路徑，那么就是相對(duì)于ServerRoot的路徑。
　　ServerSigna