Linux系統下Apache服務器設置與優化

2024-08-27 18:28:56

字體：大中小

來源：轉載

供稿：網友

apache服務器的設置文件位于/usr/local/apache/conf/目錄下，傳統上使用三個配置文件httpd.conf,access.conf和srm.conf，來配置apache服務器的行為。 httpd.conf提供了最基本的服務器配置，是對守護程序httpd如何運行的技術描述；srm.conf是服務器的資源映射文件，告訴服務器各種文件的mime類型，以及如何支持這些文件；access.conf用于配置服務器的訪問權限，控制不同用戶和計算機的訪問限制；這三個配置文件控制著服務器的各個方面的特性，因此為了正常運行服務器便需要設置好這三個文件。

除了這三個設置文件之外，apache還使用mime.types文件用于標識不同文件對應的mime類型， magic文件設置不同mime類型文件的一些特殊標識，使得apache 服務器從文檔后綴不能判斷出文件的mime 類型時，能通過文件內容中的這些特殊標記來判斷文檔的mime類型。

[[email protected] conf]$ pwd

/usr/local/apache/conf

[[email protected] conf]$ ls

access.conf httpd.conf.old magic.default srm.conf

access.conf.default httpd.conf.save mime.types srm.conf.default

httpd.conf magic mime.types.default

新版本的apache將原來httpd.conf、srm.conf與access.conf中的所有配置參數均放在了一個配置文件httpd.conf中，只是為了與以前的版本兼容的原因（使用這三個設置文件的方式來源于ncsa-httpd），才使用三個配置文件。而提供的access.conf和srm.conf文件中沒有具體的設置。

由于在新版本的apache中，所有的設置都被放在了httpd.conf中，因此只需要調整這個文件中的設置。本文基于redhat 7.2 下的httpd.conf為例，解釋apache服務器的各個設置選項，當然，其配置方法可擴展到幾乎所有unix系統。

雖然apache提供設置的參數很多，基本上這些參數都很明確，也可以不加改動運行apache服務器。但如果需要調整apache服務器的性能，以及增加對某種特性的支持，就需要了解這些設置參數的含義。

需要指出的是，除了操作系統的性能調整之外，apache 服務器本身的缺省配置絕不是最優化和最高效的，而是要適應幾乎所有種類操作系統、所有種類硬件下的設置，多平臺的軟件不可能為特定平臺和特定硬件提供最優化的缺省配置。因此要使用apache的時候，性能調整是必不可少的。

本文目錄快速訪問：

httpd.conf基本配置與性能優化的關系

另外一些加速方法

附錄一、采用 mod_gzip 加速apache

httpd.conf基本配置與性能優化的關系

httpd.conf中首先定義了一些httpd守護進程運行時需要的參數，來決定其運行方式和運行環境。下面就httpd.conf中的配置參數的定義及其各種配置、優化方法進行逐項說明：

(優化沒有捷徑，必須首先清楚各配置的含義)

servertype standalone

servertype定義服務器的啟動方式，缺省值為獨立方式standalone，httpd 服務器將由其本身啟動，并駐留在主機中監視連接請求。在linux下將在啟動文件 /etc/rc.d/rc.local/init.d/apache中自動啟動web服務器，這種方式是推薦設置。

啟動apache服務器的另一種方式是inet方式，使用超級服務器inetd監視連接請求并啟動服務器。當需要使用inetd啟動方式時，便需要更改為這個設置，并屏蔽/etc/rc.d/rc.local/init.d/apache文件，以及更改/etc/inetd.conf并重起inetd，那么apache就能從inetd中啟動了。

兩種方式的區別是獨立方式是由服務器自身管理自己的啟動進程，這樣在啟動時能立即啟動服務器的多個副本，每個副本都駐留在內存中，一有連接請求不需要生成子進程就可以立即進行處理，對于客戶瀏覽器的請求反應更快，性能較高。而 inetd方式要由inetd發現有連接請求后才去啟動http服務器，由于inetd 要監聽太多的端口，因此反應較慢、效率較低，但節約了沒有連接請求時web服務器占用的資源。因此inetd方式只用于偶爾被訪問并且不要求訪問速度的服務器上。事實上inetd方式不適合http的突發和多連接的特性，因為一個頁面可能包含多個圖象，而每個圖象都會引起一個連接請求，即使雖然訪問人數造成教少，但瞬間的連接請求并不少，這就受到inetd性能的限制，甚至會影響由inetd啟動的其他服務器程序。

serverroot "/usr/local"

serverroot用于指定守護進程httpd的運行目錄，httpd在啟動之后將自動將進程的當前目錄改變為這個目錄，因此如果設置文件中指定的文件或目錄是相對路徑，那么真實路徑就位于這個serverroot定義的路徑之下。

由于httpd會經常進行并發的文件操作，就需要使用加鎖的方式來保證文件操作不沖突，由于nfs文件系統在文件加鎖方面能力有限，因此這個目錄應該是本地磁盤文件系統，而不應該使用nfs文件系統。

# lockfile /var/lock/httpd.lock

lockfile參數指定了httpd守護進程的加鎖文件，一般不需要設置這個參數， apache服務器將自動在serverroot下面的路徑中進行操作。但如果serverroot為nfs文件系統，便需要使用這個參數指定本地文件系統中的路徑，以提高讀寫速度。

pidfile /var/run/httpd.pid

pidfile指定的文件將記錄httpd守護進程的進程號，由于httpd能自動復制其自身，因此系統中有多個httpd進程，但只有一個進程為最初啟動的進程，它為其他進程的父進程，對這個進程發送信號將影響所有的httpd進程。pidfile定義的文件中就記錄httpd父進程的進程號。

scoreboardfile /var/run/httpd.scoreboard

httpd使用scoreboardfile來維護進程的內部數據，因此通常不需要改變這個參數，除非管理員想在一臺計算機上運行幾個apache服務器，這時每個apache服務器都需要獨立的設置文件htt pd.conf，并使用不同的scoreboardfile。

#resourceconfig conf/srm.conf

#accessconfig conf/access.conf

這兩個參數resourceconfig和accessconfig，就用于和使用 srm.conf 和 access.conf 設置文件的老版本apache兼容。如果沒有兼容的需要，可以將對應的設置文件指定為/dev/null，這將表示不存在其他設置文件，而僅使用httpd.conf 一個文件來保存所有的設置選項。

timeout 300

timeout定義客戶程序和服務器連接的超時間隔，超過這個時間間隔（秒）后服務器將斷開與客戶機的連接。如果服務器的負載較重，可適當把此數字調小。

keepalive on

在http 1.0中，一次連接只能作傳輸一次http請求，而keepalive參數用于支持http的一次連接、多次傳輸功能，這樣就可以在一次連接中傳遞多個http請求。

maxkeepaliverequests 100

maxkeepaliverequests為一次連接可以進行的http請求的最大請求次數。將其值設為0將支持在一次連接內進行無限次的傳輸請求。事實上沒有客戶程序在一次連接中請求太多的頁面，通常達不到這個上限就完成連接了。可以適當將此數字調小，以獲取最大速度。

keepalivetimeout 15

keepalivetimeout測試一次連接中的多次請求傳輸之間的時間，如果服務器已經完成了一次請求，但一直沒有接收到客戶程序的下一次請求，在間隔超過了這個參數設置的值之后，服務器就斷開連接?？梢赃m當調小這個數值，以盡快釋放空閑的連接。但也不可太小，不然多數客戶都要重新連接，將耗費 cpu時間。

minspareservers 5

maxspareservers 10

在使用子進程處理http請求的web服務器上，由于要首先生成子進程才能處理客戶的請求，因此反應時間就有一點延遲。但是，apache服務器使用了一個特殊技術來擺脫這個問題，這就是預先生成多個空余的子進程駐留在系統中，一旦有請求出現，就立即使用這些空余的子進程進行處理，這樣就不存在生成子進程造成的延遲了。在運行中隨著客戶請求的增多，啟動的子進程會隨之增多，但這些服務器副本在處理完一次http請求之后并不立即退出，而是停留在計算機中等待下次請求。但是空余的子進程副本不能光增加不減少，太多的空余子進程沒有處理任務，也占用服務器的處理能力，因此也要限制空余副本的數量，使其保持一個合適的數量，使得既能及時回應客戶請求，又能減少不必要的進程數量。

因此就可以使用參數minspareservers來設置最少的空余子進程數量，以及使用參數maxspareservers 來限制最多的空閑子進程數量，多余的服務器進程副本就會退出。根據服務器的實際情況來進行設置，如果服務器性能較高，并且也被頻繁訪問，就應該增大這兩個參數的設置。對于高負載的專業網站，這兩個值應該大致相同，并且等同于系統支持的最多服務器副本數量，也減少不必要的副本退出。

比如，當系統高負載時，可以這樣檢測：

[[email protected] iaspec]$ ps -ef|grep apache|wc

55 .. ..

[[email protected] iaspec]$

這表明，高負載時有55個運行子進程，如果此服務器為web專用服務器，就應該考慮將這兩個數值分別設為50、60，或者40、70，具體以速度測試結果為準。

startservers 5

startservers參數就是用來設置httpd啟動時啟動的子進程副本數量，這個參數與上面定義的minspareservers和 maxspareservers參數相關，都是用于啟動空閑子進程以提高服務器的反應速度的。這個參數應該設置為前兩個值之間的一個數值，小于 minspareservers和大于maxspareservers都沒有意義。

maxclients 150

在另一方面，服務器的能力畢竟是有限的，不可能同時處理無限多的連接請求，因此參數maxclients就用于規定服務器支持的最多并發訪問的客戶數，如果這個值設置得過大，系統在繁忙時不得不在過多的進程之間進行切換來為太多的客戶進行服務，這樣對每個客戶的反應就會減慢，并降低了整體的效率。如果這個值設置的較小，那么系統繁忙時就會拒絕一些客戶的連接請求。當服務器性能較高時，就可以適當增加這個值的設置。對于專業網站，應該使用提高服務器效率的策略，因此這個參數不能超過硬件本身的限制，如果頻繁出現拒絕訪問現象，就說明需要升級服務器硬件了。當不太在意對客戶瀏覽器的反應速度，或者認為反應速度較慢也比拒絕連接好，就也可以略微超過硬件條件來設置這個參數。

但具體這個數值以多少為宜呢？當對性能要求較高時，可以用下面的方法確定如何配置此參數。

首先，估計你的最大可能并發的連接數，或者在高負載時用ps -ef|grep apache|wc命令測得最大進程數，通常maxclients應該是這個數值的兩倍左右。如果當前網站在高負載時的訪問速度可以接受，但有拒絕服務現象，則應把此參數調大，如果無拒絕服務現象，但訪問速度緩慢，則應減低此數值。

這個參數同時限制了minspareservers和maxspareservers的設置，它們不應該大于這個參數的設置。

對于重負載的機器來說，僅僅這么做還是不夠的。

apache允許為請求開的最大進程數是256,maxclients的限制是256.如果用戶多了，用戶就只能看到waiting for reply....然后等到下一個可用進程的出現。這個最大數，是apache的程序決定的--它的nt版可以有1024，但unix版只有256，你可以在include/httpd.h中

看到：

#ifndef hard_server_limit

#ifdef win32

#define hard_server_limit 1024

#else

#define hard_server_limit 256

#endif

你可以把它調到1024，然后再編譯你的系統。記得在httpd.conf里也要更改相應配置。

maxrequestsperchild 30

使用子進程的方式提供服務的web服務，常用的方式是一個子進程為一次連接服務，這樣造成的問題就是每次連接都需要生成、退出子進程的系統操作，使得這些額外的處理過程占據了計算機的大量處理能力。因此最好的方式是一個子進程可以為多次連接請求服務，這樣就不需要這些生成、退出進程的系統消耗，apache就采用了這樣的方式，一次連接結束后，子進程并不退出，而是停留在系統中等待下一次服務請求，這樣就極大的提高了性能。

但由于在處理過程中子進程要不斷的申請和釋放內存，次數多了就會造成一些內存垃圾，就會影響系統的穩定性，并且影響系統資源的有效利用。因此在一個副本處理過一定次數的請求之后，就可以讓這個子進程副本退出，再從原始的 httpd進程中重新復制一個干凈的副本，這樣就能提高系統的穩定性。這樣，每個子進程處理服務請求次數由maxrequestperchild定義。缺省的設置值為30，這個值對于具備高穩定性特點的linux系統來講是過于保守的設置，可以設置為1000甚至更高，設置為0支持每個副本進行無限次的服務處理。

#listen 3000

#listen 12.34.56.78:80

#bindaddress *

listen參數可以指定服務器除了監視標準的80端口之外，還監視其他端口的http請求。由于系統可以同時擁有多個ip地址，因此也可以指定服務器只聽取對某個bindaddress< /b>的ip地址的http請求。如果沒有配置這一項，則服務器會回應對所有ip的請求。

即使使用了bindaddress參數，使得服務器只回應對一個ip地址的請求，但是通過使用擴展的listen參數，仍然可以讓http守護進程回應對其他ip地址的請求。此時listen參數的用法與上面的第二個例子相同。這種比較復雜的用法主要用于設置虛擬主機。此后可以用virtualhost 參數定義對不同ip的虛擬主機，然而這種用法是較早的http 1.0標準中設置虛擬主機的方法，每針對一個虛擬主機就需要一個ip地址，實際上用處并不大。在http 1.1中，增加了對單ip地址多域名的虛擬主機的支持，使得虛擬主機的設置具備更大的意義。

模塊變量

loadmodule mime_magic_module libexec/apache/mod_mime_magic.so

loadmodule info_module libexec/apache/mod_info.so

loadmodule speling_module libexec/apache/mod_speling.so

loadmodule proxy_module libexec/apache/libproxy.so

loadmodule rewrite_module libexec/apache/mod_rewrite.so

loadmodule anon_auth_module libexec/apache/mod_auth_anon.so

loadmodule db_auth_module libexec/apache/mod_auth_db.so

loadmodule digest_module libexec/apache/mod_digest.so

loadmodule cern_meta_module libexec/apache/mod_cern_meta.so

loadmodule expires_module libexec/apache/mod_expires.so

loadmodule headers_module libexec/apache/mod_headers.so

loadmodule usertrack_module libexec/apache/mod_usertrack.so

loadmodule unique_id_module libexec/apache/mod_unique_id.so

clearmodulelist

addmodule mod_env.c

addmodule mod_log_config.c

addmodule mod_mime_magic.c

addmodule mod_mime.c

addmodule mod_negotiation.c

addmodule mod_status.c

addmodule mod_info.c

addmodule mod_include.c

addmodule mod_autoindex.c

addmodule mod_dir.c

addmodule mod_cgi.c

addmodule mod_asis.c

addmodule mod_imap.c

addmodule mod_actions.c

addmodule mod_speling.c

addmodule mod_userdir.c

addmodule mod_proxy.c

addmodule mod_alias.c

addmodule mod_rewrite.c

addmodule mod_access.c

addmodule mod_auth.c

addmodule mod_auth_anon.c

addmodule mod_auth_db.c

addmodule mod_digest.c

addmodule mod_cern_meta.c

addmodule mod_expires.c

addmodule mod_headers.c

addmodule mod_usertrack.c

addmodule mod_unique_id.c

addmodule mod_so.c

addmodule mod_setenvif.c

apache服務器的一個重要特性就是其模塊化的結構，這不但表現為其能在編譯時能通過新的模塊加入新的功能，還表現為其模塊可以動態加載入http服務程序中，而不必載入不需要的模塊。使用apache的動態加載模塊只需要設置好load module和addmodule參數就可以了，這種特性就是apache的 dso（dynamic shared object）特性，然而要想充分使用dso特性仍然不是一個簡單的事情，不適當的改動這里的設置就可能造成服務器不能正常啟動。因此如果不是要增加或減少服務器提供的功能，就不要改動這里的設置。

上面這些列表就顯示了linux下的缺省apache服務器支持的模塊，事實上很多模塊是沒有必要的，不必要模塊不會被載入內存。模塊可以靜態連接到apache 服務器內部，也可以這樣動態加載，將apache的特性都編譯成動態可加載模塊是該port的做法，而不是apache的缺省做法，這樣就以犧牲很小的性能的同時，帶來極大的靈活性。

因而動態可加載的能力還是對性能有輕微的影響，因此可以重新編譯apache，將自己所需要的功能編譯進apache 服務器內部，可以讓系統顯得更為干凈，效率也有輕微的提高。通常僅僅為了這一個目的就重新編譯apache是沒有必要的，如果需要增加其他特性而重新編譯apache，不妨在增加其他模塊的同時將所有的模塊都靜態連接入apache 服務器。

這些模塊都被放置到/usr/local/apache/modules/目錄下，每個模塊對應apache服務器的一個特性。詳細解釋每個模塊的功能需要相當多的篇幅，其中比較重要的特性將在后面相應的地方中進行解釋。

#extendedstatus on

apache服務器可以通過特殊的http請求，來報告自身的運行狀態，在使用測試工具測試時，打開這個extendedstatus 參數可以讓服務器報告更全面的運行狀態信息.

主服務器設置

apache服務器需要各種設置，以定義自己使用各種參數以提供web服務。對于使用虛擬主機的情況，除了在虛擬主機的定義項中覆蓋的設置之外（有的設置必須重新定義），這里的設置也是虛擬主機的缺省設置。

port 80

port定義了standalone模式下httpd守護進程使用的端口，標準端口是80。這個選項只對于以獨立方式啟動的服務器才有效，對于以inetd方式啟動的服務器則在inetd.conf中定義使用哪個端口。

在unix下使用80端口需要root權限，一些管理員為了安全的原因，認為 httpd 服務器不可能沒有安全漏洞，因而更愿意使用普通用戶的權限來啟動服務器，這樣就不能使用80端口及其他小于1024的端口，而必須使用大于 1024的端口來啟動httpd，一般情況下8000或8080也是常用的端口。而apache httpd服務器本身可以在以root權限打開80端口后再改變為普通用戶身份進行運行，這樣就減少了危險性，因而就不需要考慮這個安全問題。但是如果普通用戶也想安裝配置自己的www服務器，那么就不得不使用大于1024的端口。

user nobody

group nogroup

user和group配置是apache的安全保證，apache在打開端口之后，就將其本身設置為這兩個選項設置的用戶和組權限進行運行，這樣就降低了服務器的危險性。這個選項也只用于 standalone模式，inetd模式在inetd.conf中指定運行apache的用戶。由于服務器必須執行改變身份的setuid()操作，因此初始進程應該具備root權限，如果是使用非root用戶來啟動aapche，這個配置就不會發揮作用。

缺省設置為nobody和nogroup，這個用戶和組在系統中不擁有文件，保證了服務器本身和由它啟動的cgi 進程沒有權限更改文件系統。在某些情況下，例如為了運行cgi與unix交互，也需要讓服務器來訪問服務器上的文件，如果仍然使用nobody和 nogroup，那么系統中將會出現屬于nobody的文件，這對于系統安全是不利的，因為其他程序也會以nobody和nogroup的權限執行某些操作，就有可能訪問這些nobody擁有的文件，造成安全問題。一般情況下要為web服務設定一個特定的用戶和組，同時在這里更改用戶和組設置。

serveradmin [email protected]

配置文件中應該改變的也許只有serveradmin，這一項用于配置www服務器的管理員的email地址，這將在http服務出現錯誤的條件下返回給瀏覽器，以便讓web使用者和管理員聯系，報告錯誤。習慣上使用服務器上的webmaster作為www服務器的管理員，通過郵件服務器的別名機制，將發送到webmaster 的電子郵件發送給真正的web管理員。

#servername new.host.name

缺省情況下，并不需要指定這個servername參數，服務器將自動通過名字解析過程來獲得自己的名字，但如果服務器的名字解析有問題（通常為反向解析不正確），或者沒有正式的dns名字，也可以在這里指定ip地址。當servername設置不正確的時候，服務器不能正常啟動。

通常一個 web服務器可以具有多個名字，客戶瀏覽器可以使用所有這些名字或ip地址來訪問這臺服務器，但在沒有定義虛擬主機的情況下，服務器總是以自己的正式名字回應瀏覽器。servername就定義了web服務器自己承認的正式名字，例如一臺服務器名字（在dns中定義了a類型）為 exmaple.org.cn，同時為了方便記憶還定義了一個別名（cname記錄）為www.exmaple.org.cn，那么apache自動解析得到的名字就為example.org.cn，這樣不管客戶瀏覽器使用哪個名字發送請求，服務器總是告訴客戶程序自己為 example.org.cn。雖然這一般并不會造成什么問題，但是考慮到某一天服務器可能遷移到其他計算機上，而只想通過更改dns中的www別名配置就完成遷移任務，所以不想讓客戶在其書簽中使用 linux 記錄下這個服務器的地址，就必須使用servername來重新指定服務器的正式名字。

documentroot "/www/"

documentroot定義這個服務器對外發布的超文本文檔存放的路徑，客戶程序請求的ur l就被映射為這個目錄下的網頁文件。這個目錄下的子目錄，以及使用符號連接指出的文件和目錄都能被瀏覽器訪問，只是要在url上使用同樣的相對目錄名。

注意，符號連接雖然邏輯上位于根文檔目錄之下，但實際上可以位于計算機上的任意目錄中，因此可以使客戶程序能訪問那些根文檔目錄之外的目錄，這在增加了靈活性的同時但減少了安全性。apache在目錄的訪問控制中提供了followsymlinks選項來打開或關閉支持符號連接的特性。

options followsymlinks

allowoverride none

apache服務器可以針對目錄進行文檔的訪問控制，然而訪問控制可以通過兩種方式來實現，一個是在設置文件 httpd.conf（或access.conf）中針對每個目錄進行設置，另一個方法是在每個目錄下設置訪問控制文件，通常訪問控制文件名字為. htaccess。雖然使用這兩個方式都能用于控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動后重新啟動httpd守護進程，比較不靈活，因此主要用于配置服務器系統的整體安全控制策略，而使用每個目錄下的.htaccess文件設置具體目錄的訪問控制更為靈活方便。

directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標準語法，為一個目錄定義訪問限制。上例的這個設置是針對系統的根目錄進行的，設置了允許符號連接的選項followsymlinks ，以及使用allowoverride none表示不允許這個目錄下的訪問控制文件來改變這里進行的配置，這也意味著不用查看這個目錄下的相應訪問控制文件。

由于apache對一個目錄的訪問控制設置是能夠被下一級目錄繼承的，因此對根目錄的設置將影響到它的下級目錄。注意由于allowoverride none的設置，使得apache服務器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級目錄下的訪問控制文件，直至httpd.conf（或access.conf ）中為某個目錄指定了允許alloworride，即允許查看訪問控制文件。由于apache對目錄訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么apache就必須一級一級的查看訪問控制文件，對系統性能會造成影響。而缺省關閉了根目錄的這個特性，就使得apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級數，增加了系統性能。因此對于系統根目錄設置allowoverride none不但對于系統安全有幫助，也有益于系統性能。

options indexes followsymlinks

allowoverride none

order allow,deny

allow from all

這里定義的是系統對外發布文檔的目錄的訪問設置，設置不同的 allowoverride選項，以定義配置文件中的目錄設置和用戶目錄下的安全控制文件的關系，而options選項用于定義該目錄的特性。

配置文件和每個目錄下的訪問控制文件都可以設置訪問限制，設置文件是由管理員設置的，而每個目錄下的訪問控制文件是由目錄的屬主設置的，因此管理員可以規定目錄的屬主是否能覆蓋系統在設置文件中的設置，這就需要使用啊allowoverride參數進行設置，通常可以設置的值為： allowoverride的設置對每個目錄訪問控制文件作用的影響all 缺省值，使訪問控制文件可以覆蓋系統配置。

none 服務器忽略訪問控制文件的設置。

options 允許訪問控制文件中可以使用options參數定義目錄的選項。

fileinfo 允許訪問控制文件中可以使用addtype等參數設置。

authconfig 允許訪問控制文件使用authname，authtype等針對每個用戶的認證機制，這使目錄屬主能用口令和用戶名來保護目錄 limit 允許對訪問目錄的客戶機的ip地址和名字進行限制。

每個目錄具備一定屬性，可以使用options來控制這個目錄下的一些訪問特性設置，以下為常用的特性選項：

options設置服務器特性設置。

all 所有的目錄特性都有效，這是缺省狀態。

none 所有的目錄特性都無效。

followsymlinks 允許使用符號連接，這將使瀏覽器有可能訪問文檔根目錄（documentroot）之外的文檔 symlinksifownermatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時，才允許訪問，這個設置將增加一些安全性。

execcgi 允許這個目錄下可以執行cgi程序 indexes 允許瀏覽器可以生成這個目錄下所有文件的索引，使得在這個目錄下沒有index.html（或其他索引文件）時，能向瀏覽器發送這個目錄下的文件列表

此外，上例中還使用了order、allow、deny等參數，這是limit語句中用來根據瀏覽器的域名和 ip地址來控制訪問的一種方式。其中order定義處理allow和deny的順序，而allow、deny則針對名字或ip進行訪問控制設置，上例使用 allowfrom all，表示允許所有的客戶機訪問這個目錄，而不進行任何限制。

userdir public_html

當在一臺linux上運行apache服務器時，這臺計算機上的所有用戶都可以有自己的網頁路徑，形如 http://example.org.cn/~user，使用波浪符號加上用戶名就可以映射到用戶自己的網頁目錄上。映射目錄為用戶個人主目錄下的一個子目錄，其名字就用usedir這個參數進行定義，缺省為public_html。如果不想為正式的用戶提供網頁服務，使用disabled作userdir的參數即可。

# allowoverride fileinfo authconfig limit

# options multiviews indexes symlinksifownermatch includesnoexec

# order allow,deny

# allow from all

# order deny,allow

# deny from all

這里可以看到directory的另一個用法，即可以通過簡單的模式匹配方法，針對分布在不同目錄下的子目錄定義訪問控制權限。這樣設置就需要apache服務器對每個路徑進行額外的處理，因此就會降低服務器的性能，所以缺省情況并沒有打開這種訪問限制。

這里可以看到另外一個語句limit，limit語句就是用來針對具體的請求方法來設定訪問控制的，其中可以使用get、post等各種服務器支持的請求方法做limit的參數，來設定對不同請求方法的訪問限制。一般可以打開對get、post、 head三種請求方法，而屏蔽其他的請求方法，以增加安全性。limit語句中，可以用order 、allow、deny，allow和deny中可以使用匹配的方法針對域名和ip進行限制，只是對于域名是從后向前匹配，對于ip地址則從前向后匹配。

directoryindex index.html

很多情況下，url中并沒有指定文檔的名字，而只是給出了一個目錄名。那么apache服務器就自動返回這個目錄下由directoryindex定義的文件，當然可以指定多個文件名字，系統會這個目錄下順序搜索。當所有由directoryindex指定的文件都不存在時，apache服務器可以根據系統設置，生成這個目錄下的所有文件列表，提供用戶選擇。此時該目錄的訪問控制選項中的indexes選項（options indexes ）必須打開，以使得服務器能夠生成目錄列表，否則apache將拒絕訪問。

accessfilename .htaccess

accessfilename定義每個目錄下的訪問控制文件的文件名，缺省為.htaccess，可以通過更改這個文件，來改變不同目錄的訪問控制限制。

order allow,deny

deny from all

除了可以針對目錄進行訪問控制之外，還可以根據文件來設置訪問控制，這就是file語句的任務。使用file 語句，不管文件處于哪個目錄，只要名字匹配，就必須接受相應的訪問控制。這個語句對于系統安全比較重要，例如上例將屏蔽所有的使用者不能訪問.htaccess文件，這樣就避免.htaccess中的關鍵安全信息不至于被客戶獲取。

#cachenegotiateddocs

缺省情況下如果代理服務器和apache服務器協商是否緩存其網頁，apache給予否定的回答，不希望自己的網頁被代理服務器緩存。然而這樣就不能有效的利用代理服務器的優勢，因此可以設置cachenegotiatiedocs 選項，使得代理服務器可以對網頁進行緩存。然而即使不設置這個選項，有的代理服務器（或通過調整設置）也能對網頁進行緩存。

usecanonicalname on

打開這個usecanonicalname是web服務器的標準做法，因為客戶發送的大部分請求都是對本服務器的引用，這樣服務器就能使用 servername和port選項的設置內容構建完整的url，并回應客戶，使瀏覽器能得到規范的url。如果將這個參數設置為off，那么apache將使用從客戶請求中獲得服務器的名字和端口值（支持http 1.1的客戶的請求中將會有這些信息），重新構建url。

typesconfig /etc/mime.types

typeconfig用于設置保存有不同的mime類型數據的文件名，在linux下缺省設置為/usr/local/apache/etc/mime.types 或者/etc/mime.types。

defaulttype text/plain

如果web服務器不能決定一個文檔的缺省類型，這通常表示文檔使用了非標準的后綴，那么服務器就使用 defaulttype定義的mime類型將文檔發送給客戶瀏覽器。這里的設置為text/plain，這樣設置的問題是，如果服務器不能判斷出文檔的 mime，那么大部分情況下這個文檔為一個二進制文檔，但使用 text/plain格式發送回去，瀏覽器將在內部打開它而不會提示保存。因此建議將這個設置更改為application/octet-stream，這樣瀏覽器將提示用戶進行保存。

mimemagicfile /usr/share/magic

除了從文件的后綴出發來判斷文件的mime類型之外，apache還可以進一步分析文件的一些特征，來判斷文件的真實mime類型。這個功能是由mod_mime_magic 模塊實現的，它需要一個記錄各種mime類型特征的文件，以進行分析判斷。上面的設置是一個條件語句，如果載入了這個模塊，就必須指定相應的標志文件 magic的位置。

hostnamelookups off

通常連接時，服務器僅僅可以得到客戶機的ip地址，如果要想獲得客戶機的主機名，以進行日志記錄和提供給 cgi程序使用，就需要使用這個hostnamelookups 選項，將其設置為on打開dns反查功能。但是這將使服務器對每次客戶請求都進行dns查詢，增加了系統開銷，使得反應變慢，因此缺省設置為使用off關閉此選項。關閉選項之后，服務器就不會獲得客戶機的主機名，而只能使用ip地址來記錄客戶。

errorlog /var/log/httpd-error.log

loglevel warn

logformat "%h %l %u %t "%r" %>s %b "%{referer}i" "%{user-agent} "" combined

logformat "%h %l %u %t "%r" %>s %b" common

logformat "%{referer}i -> %u" referer

logformat "%{user-agent}i" agent

#customlog /var/log/httpd-access.log common

#customlog /var/log/httpd-referer.log referer

#customlog /var/log/httpd-agent.log agent

customlog /var/log/httpd-access.log combined

這里定義了系統日志的形式，對于服務器錯誤記錄，由errorlog、 loglevel 來定義不同的錯誤日志文件及其記錄內容。

對于系統的訪問日志，缺省使用customlog參數定義日志的位置，缺省使用 combined 參數指定將所有的訪問日志放在一個文件中，然而也可以將不同種類的訪問日志放在不同的日志記錄文件中，這是通過在 customlog中指定不同的記錄類型來完成的。common表示普通的對單頁面請求訪問記錄，referer表示每個頁面的引用記錄，可以看出一個頁面中包含的請求數，agent表示對客戶機的類型記錄，顯然可以將現有的combined 定義的設置行注釋掉，并使用common、referer和agent作為customlog的參數，來為不同種類的日志分別指定日志記錄文件。

顯然，logformat是用于定義不同類型的日志進行記錄時使用的格式，這里使用了以%開頭的宏定義，以記錄不同的內容。如果這些參數指定的文件使用的是相對路徑，那么就是相對于serverroot的路徑。

serversignature on

一些情況下，例如當客戶請求的網頁并不存在時，服務器將產生錯誤文檔，缺省情況下由于打開了 serversignature選項，錯誤文檔的最后一行將包含服務器的名字、apache的版本等信息。有的管理員更傾向于不對外顯示這些信息，就可以將這個參數設置為off，或者設置為email，最后一行將替換為對 serveradmin 的email提示。

alias /icons/ "/www/icons/"

options indexes multiviews

allowoverride none

order allow,deny

allow from all

alias參數用于將url與服務器文件系統中的真實位置進行直接映射，一般的文檔將在documentroot 中進行查詢，然而使用alias定義的路徑將直接映射到相應目錄下，而不再到documentroot 下面進行查詢。因此alias可以用來映射一些公用文件的路徑，例如保存了各種常用圖標的icons路徑。這樣使得除了使用符號連接之外，文檔根目錄（documentroot）外的目錄也可以通過使用了alias映射，提供給瀏覽器訪問。定義好映射的路徑之后，應該需要使用directory語句設置訪問限制。

scriptalias /cgi-bin/ "/www/cgi-bin/"

allowoverride none

options none

order allow,deny

allow from all

scriptalias也是用于url路徑的映射，但與alias的不同在于，scriptalias 是用于映射cgi程序的路徑，這個路徑下的文件都被定義為cgi程序，通過執行它們來獲得結果，而非由服務器直接返回其內容。缺省情況下cgi程序使用 cgi-bin目錄作為虛擬路徑。

# redirect old-uri new-url

redirect參數是用來重寫url的，當瀏覽器訪問服務器上的一個已經不存在的資源的時候，服務器返回給瀏覽器新的url，告訴瀏覽器從該url中獲取資源。這主要用于原來存在于服務器上的文檔，改變了位置之后，而又希望能使用老url能訪問到，以保持與以前的url兼容。

indexoptions fancyindexing

addiconbyencoding (cmp,/icons/compressed.gif) x-compress x-gzip

addiconbytype (txt,/icons/text.gif) text/*

addiconbytype (img,/icons/image2.gif) image/*

addiconbytype (snd,/icons/sound2.gif) audio/*

addiconbytype (vid,/icons/movie.gif) video/*

addicon /icons/binary.gif .bin .exe

addicon /icons/binhex.gif .hqx

addicon /icons/tar.gif .tar

addicon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv

addicon /icons/compressed.gif .z .z .tgz .gz .zip

addicon /icons/a.gif .ps .ai .eps

addicon /icons/layout.gif .html .shtml .htm .pdf

addicon /icons/text.gif .txt

addicon /icons/c.gif .c

addicon /icons/p.gif .pl .py

addicon /icons/f.gif .for

addicon /icons/dvi.gif .dvi

addicon /icons/uuencoded.gif .uu

addicon /icons/script.gif .conf .sh .shar .csh .ksh .tcl

addicon /icons/tex.gif .tex

addicon /icons/bomb.gif core

addicon /icons/back.gif ..

addicon /icons/hand.right.gif readme

addicon /icons/folder.gif ^^directory^^

addicon /icons/blank.gif ^^blankicon^^

defaulticon /icons/unknown.gif

#adddescription "gzip compressed document" .gz

#adddescription "tar archive" .tar

#adddescription "gzip compressed tar archive" .tgz

readmename readme

headername header

indexignore .??* *~ *# header* readme* rcs cvs *,v *,t

當一個http請求的url為一個目錄的時候，服務器返回這個目錄中的索引文件。但如果一個目錄中不存在缺省的索引文件，并且該服務器又許可顯示目錄文件列表的時候，就會顯示出這個目錄中的文件列表，為了使得這個文件列表能具有可理解性，而不僅僅是一個簡單的列表，就需要前面的這些設置參數。如果使用了 indexoptions fancyindexing選項，可以讓服務器產生的目錄列表中針對各種不同類型的文檔引用各種圖標。而哪種文件使用哪種圖標，則使用下面的 addiconbyencoding、addiconbytype以及addicon來定義，分別依據mime 的編碼、類型以及文件的后綴來判斷使用何種圖標。如果不能確定文檔使用的圖標，就使用 defaulticon定義的缺省圖標。

同樣，使用adddescription可以為不同類型的文檔加入不同的描述。并且，服務器還在目錄下，查詢使用readmename和headername定義的文件（自動加上 .html后綴，如果沒有發現，再使用.txt后綴進行搜索），如果發現了這些文件，就在文件列表之前首先顯示這些文件的內容，以使得普通目錄列表具備更大的可理解性。

indexignore讓服務器在列出文件列表時忽略相應的文件，這里使用模式配置的方式定義文件名。

addencoding x-compress z

addencoding x-gzip gz

addencoding用于告訴一些使用壓縮的mime類型，這樣可以讓瀏覽器進行解壓縮操作。

addlanguage en .en

addlanguage fr .fr

addlanguage de .de

addlanguage da .da

addlanguage el .el

addlanguage it .it

languagepriority en fr de

一個html文檔可以同時具備多個語言的版本，如對于file1.html文檔可以具備file1.html.en、file1.html.fr 等不同的版本，每個語言后綴必須使用 addlanguage進行定義。這樣服務器可以針對不同國家的客戶，通過與瀏覽器進行協商，發送不同的語言版本。而languagepriority 定義不同語言的優先級，以便在瀏覽器沒有特殊要求時，按照順序使用不同的語言版本回應對file1.html 的請求。這個國際化的能力實際的應用并不多。

#addtype application/x-httpd-php .phtml

#addtype application/x-httpd-php-source .phps

addtype參數可以為特定后綴的文件指定mime類型，這里的設置將覆蓋 mime.types中的設置。

#addhandler cgi-script .cgi

addhandler是用于指定非靜態的處理類型，用于定義文檔為一個非靜態的文檔類型，需要進行處理，再向瀏覽器返回處理結果。例如上面注釋中的設置是將以.cgi結尾的文件設置為cgi-script類型，那么服務器將啟動這個cgi程序以進行處理。如果需要在前面aliasscript定義的路徑之外執行cgi程序，就需要使用這個參數進行設置，此后以.cgi結尾的文件將被當作cgi程序執行。在配置文件、這個目錄中的.htaccess以及其上級目錄的.htaccess中必須允許執行cgi程序，這需要通過options execcgi參數設定。

#addtype text/html .shtml

#addhandler server-parsed .shtml

另外一種動態進行處理的類型為server-parsed，由服務器自身預先分析網頁內的標記，將標記更改為正確的html標識。由于server- parsed需要對text/html 類型的文檔進行處理，因此首先定義了對應的.shtml為text/html類型。

然而要支持ssi，還要首先要在配置文件（或.htaccess）中使用options includes允許該目錄下的文檔可以為ssi類型，或使用options includesnoexec讓執行普通的ssi標志，但不執行其中引用的外部程序。

另一種指定server-parsed類型的方式為使用xbitback設置選項，如果將 xbithack設置為on，服務器將檢查所有text/html類型的文檔（包括.html后綴的文檔），如果發現文件屬性具備執行位 “x"，則服務器就認為它是服務器分析文檔，需要服務器進行處理。推薦使用addhandler進行設置，而將xbitback 設置為off，因為使用xbitback將對所有的html文檔都執行額外的檢查，降低了效率。

#addhandler send-as-is asis

#addhandler imap-file map

#addhandler type-map var

上面被注釋的addhandler用于支持apache服務器的asis、map和var處理能力

# action media/type /cgi-script/location

# action handler-name /cgi-script/location

因為apache內部提供的處理功能有限，因此可以使用action為服務器定義外部程序作為可處理的動態文檔類型，這些外部程序與標準cgi程序相同，都是對輸入的數據處理之后，再輸出不同mime類型的結果。例如要定義一個對特殊后綴wri都先執行wri2txt進行處理操作，再返回結果的操作，可以使用：

action windows-writer /bin/wri2txt

addhandler windows-writer wri

更進一步，可以直接使用action定義對某個mime類型預先進行處理操作，這需要例子中第一種格式的action 參數設置方式。這樣設置方式就不再需要額外的addhandler用來將處理操作與文件后綴聯系起來，而是使用action直接處理mime類型的文件。但如果文檔后綴沒有正式的mime類型，還需要先定義一個mime類型。

#metadir .web

#metasuffix .meta

meta 信息是在文檔發送給客戶之前，預先發送給客戶瀏覽器一些數據，因此瀏覽器可以通過head請求來訪問這些meta信息而不必真正通過get來返回全部文檔數據。服務器通常發送給瀏覽器的是一些標準的http頭信息，如果要想增加額外的信息，就需要使用metadir來定義meta數據存放的目錄，而metas uffix用于指定包含meta數據的文件后綴。

#errordocument 500 "the server made a boo boo.

#errordocument 404 /missing.html

#errordocument 404 /cgi-bin/missing_handler.pl

#errordocument 402

http://some.other_server.com/subscription_info.html

如果客戶請求的網頁不存在，或者沒有訪問權限等情況發生時，服務器將產生一個錯誤代碼，同時也將回應客戶瀏覽器一個標識錯誤的網頁。 errordocument就用于設置當出現哪個錯誤時應該回應客戶瀏覽器那些內容，errordocument的第一個參數為錯誤的序號，第二個參數為回應的數據，可以為簡單的文本，本地網頁，本地cgi程序，以及遠程主機上的網頁。

browsermatch "mozilla/2" nokeepalive

browsermatch "msie 4.0b2;" nokeepalive downgrade-1.0 force-response-1.0

browsermatch "realplayer 4.0" force-response-1.0

browsermatch "java/1.0" force-response-1.0

browsermatch "jdk/1.0" force-response-1.0

browsermatch命令為特定的客戶程序，設置特殊的參數，以保證對老版本瀏覽器的兼容性，并支持新瀏覽器的新特性。

# sethandler server-status

# order deny,allow

# deny from all

# allow from .your_domain.com

# sethandler server-info

# order deny,allow

# deny from all

# allow from .your_domain.com

## deny from all

# errordocument 403 http://phf.apache.org/phf_abuse_log.cgi

用于設置訪問控制的設置主要是針對目錄和文件進行設置的，然而也可以針對不同的url進行訪問控制的設置，這樣就不必擔心scriptalias、 alias是否將路徑設置到了受控制的目錄之外了。針對url進行控制的語句為 location語句，這樣不但能對服務器上的文件、cgi提供保護，此外，它還能保護不能找到對應文件，而是由服務器本身提供的特殊功能url。http://servername/server-status用于報告當前apache服務器的狀態，http://servername/server-info用于報告apache 服務器的統計信息。與此相關的設置還有extendedstatus參數，可以讓服務器輸出更詳細的的報告。

#proxyrequests on

# order deny,allow

# deny from all

# allow from .your_domain.com

#proxyvia on

#cacheroot "/www/proxy"

#cachesize 5

#cachegcinterval 4

#cachemaxexpire 24

#cachelastmodifiedfactor 0.1

#cachedefaultexpire 1

#nocache a_domain.com another_domain.edu joes.garage_sale.com

apache服務器本身就具備代理的功能，然而這要求加載入mod_proxy模塊。這能使用ifmodule語句進行判斷，如果存在mod_proxy模塊，就使用 proxyrequests打開代理支持。此后的directory用于設置對proxy功能的訪問權限設置，以及用于設置緩沖的各個參數設置。

虛擬主機

#namevirtualhost 12.34.56.78:80

#namevirtualhost 12.34.56.78

# serveradmin [email protected]_domain.com

# documentroot /www/docs/host.some_domain.com

# servername host.some_domain.com

# errorlog logs/host.some_domain.com-error_log

# customlog logs/host.some_domain.com-access_log common

缺省設置文件中的這些內容是用于設置命名基礎的虛擬主機服務器時使用。其中namevirtualhost 來指定虛擬主機使用的ip地址，這個ip地址將對應多個 dns名字，如果apache使用了listen 參數控制了多個端口，那么就可以在這里加上端口號以進一步進行區分對不同端口的不同連接請求。此后，使用 virtualhost 語句，使用namevirtualhost指定的ip地址作參數，對每個名字都定義對應的虛擬主機設置。

虛擬主機是在一臺web服務器上，可以為多個單獨域名提供web服務，并且每個域名都完全獨立，包括具有完全獨立的文檔目錄結構及設置，這樣域名之間完全獨立，不但使用每個域名訪問到的內容完全獨立，并且使用另一個域名無法訪問其他域名提供的網頁內容。

虛擬主機的概念非常有用，因為雖然一個組織可以將自己的網頁掛在具備其他域名的服務器上的下級往址上，但使用獨立的域名和根網址更為正式，易為眾人接受。傳統上，必須自己設立一臺服務器才能達到單獨域名的目的，然而這需要維護一個單獨的服務器，很多小單位缺乏足夠的維護能力，更為合適的方式是租用別人維護的服務器。沒有必要為一個機構提供一個單獨的服務器，完全可以使用虛擬主機能力，使服務器為多個域名提供web服務，而且不同的服務互不干擾，對外就表現為多個不同的服務器。

有兩種設定虛擬主機的方式，一種是基于http 1.0標準，需要一個具備多ip地址的服務器，再配置dns 服務器，給每個ip地址以不同的域名，最后才能配置apache的配置文件，使服務器對不同域名返回不同的web文檔。由于這需要使用額外的ip地址，對每個要提供服務的域名都要使用單獨的ip地址，因此這種方式實現起來問題較多?？梢栽谝粋€網絡界面上綁定多個ip地址，linux下需要使用ifconfig的 alias參數來進行這個配置，但此時會影響網絡性能。

http 1.1標準在協議中規定了對瀏覽器和服務器通信時，服務器能夠跟蹤瀏覽器請求的是哪個主機名字。因此可以利用這個新特性，使用更輕松的方式設定虛擬主機。這種方式不需要額外的ip地址，但需要新版本的瀏覽器支持。這種方式已經成為建立虛擬主機的標準方式。要建立非ip基礎的虛擬主機，多個域名是不可少的配置，因為每個域名就對應一個要服務的虛擬主機。因此需要更改dns服務器的配置，為服務器增加多個c name選項，如：

linux in a 192.168.1.64

vhost1 in cname linux

vhost2 in cname linux

基本的設置選項都是為了linux主機設定的，如果要為vhost1和vhost2設定虛擬主機，就要使用virtualhost語句定義不同的選項，在語句中可以使用配置文件前面中的大部分選項，而可以重新定義幾乎所有的針對服務器的設置。

namevirtualhost 192.168.1.64

documentroot /www/data

servername linux.example.org.cn

documentroot /vhost1

servername vhost1.example.org.cn

documentroot /vhost2

servername vhost2.example.org.cn

這里需要注意的是，virtualhost的參數地址一定要和namevirtualhost定義的地址相一致，必須保證所有的值嚴格一致，apache服務器才承認這些定義是為這個ip地址定義的虛擬主機。