Apache服務器配置攻略2
2024-08-27 18:30:20
供稿:網(wǎng)友
Apache服務器配置全攻略(三)
主服務器設置
Apache服務器需要各種設置,以定義自己使用各種參數(shù)以提供Web服務。對于使用虛擬主機的情況�,除了在虛擬主機的定義項中覆蓋的設置之外(有的設置必須重新定義)�,這里的設置也是虛擬主機的缺省設置。
Port 80
Port定義了Standalone模式下httpd守護進程使用的端口����,標準端口是80����。這個選項只對于以獨立方式啟動的服務器才有效,對于以inetd方式啟動的服務器則在inetd.conf中定義使用哪個端口����。
在Unix下使用80端口需要root權(quán)限,一些管理員為了安全的原因��,認為 httpd 服務器不可能沒有安全漏洞���,因而更愿意使用普通用戶的權(quán)限來啟動服務器,這樣就不能使用80端口及其他小于1024的端口�����,而必須使用大于 1024的端口來啟動httpd�����,一般情況下8000或8080也是常用的端口���。而Apache httpd服務器本身可以在以root權(quán)限打開80端口后再改變?yōu)槠胀ㄓ脩羯矸葸M行運行,這樣就減少了危險性��,因而就不需要考慮這個安全問題�。但是如果普通用戶也想安裝配置自己的WWW服務器��,那么就不得不使用大于1024的端口���。
User nobody
Group nogroup
User和Group配置是Apache的安全保證���,Apache在打開端口之后���,就將其本身設置為這兩個選項設置的用戶和組權(quán)限進行運行,這樣就降低了服務器的危險性����。這個選項也只用于 Standalone模式����,inetd模式在inetd.conf中指定運行Apache的用戶���。由于服務器必須執(zhí)行改變身份的setuid()操作,因此初始進程應該具備root權(quán)限�����,如果是使用非root用戶來啟動Aapche�,這個配置就不會發(fā)揮作用��。
缺省設置為nobody和nogroup��,這個用戶和組在系統(tǒng)中不擁有文件����,保證了服務器本身和由它啟動的CGI 進程沒有權(quán)限更改文件系統(tǒng)�����。在某些情況下,例如為了運行CGI與Unix交互�,也需要讓服務器來訪問服務器上的文件,如果仍然使用nobody和nogroup��,那么系統(tǒng)中將會出現(xiàn)屬于nobody的文件�,這對于系統(tǒng)安全是不利的���,因為其他程序也會以nobody和nogroup的權(quán)限執(zhí)行某些操作����,就有可能訪問這些nobody擁有的文件�����,造成安全問題�。一般情況下要為Web服務設定一個特定的用戶和組����,同時在這里更改用戶和組設置�����。
ServerAdmin you@your.address
配置文件中應該改變的也許只有ServerAdmin, 這一項用于配置WWW服務器的管理員的email地址,這將在HTTP服務出現(xiàn)錯誤的條件下返回給瀏覽器���,以便讓Web使用者和管理員聯(lián)系,報告錯誤��。習慣上使用服務器上的webmaster作為WWW服務器的管理員���,通過郵件服務器的別名機制,將發(fā)送到webmaster 的電子郵件發(fā)送給真正的Web管理員���。
#ServerName new.host.name
缺省情況下�����,并不需要指定這個ServerName參數(shù),服務器將自動通過名字解析過程來獲得自己的名字����,但如果服務器的名字解析有問題(通常為反向解析不正確),或者沒有正式的DNS名字�,也可以在這里指定IP地址。當ServerName設置不正確的時候�,服務器不能正常啟動。
通常一個Web服務器可以具有多個名字���,客戶瀏覽器可以使用所有這些名字或IP地址來訪問這臺服務器�,但在沒有定義虛擬主機的情況下�,服務器總是以自己的正式名字回應瀏覽器。ServerName就定義了Web服務器自己承認的正式名字�����,例如一臺服務器名字(在DNS中定義了A類型)為exmaple.org.cn���,同時為了方便記憶還定義了一個別名(CNAME記錄)為,那么Apache自動解析得到的名字就為example.org.cn�,這樣不管客戶瀏覽器使用哪個名字發(fā)送請求,服務器總是告訴客戶程序自己為 example.org.cn���。雖然這一般并不會造成什么問題�,但是考慮到某一天服務器可能遷移到其他計算機上�����,而只想通過更改DNS中的www別名配置就完成遷移任務���,所以不想讓客戶在其書簽中使用 Linux 記錄下這個服務器的地址����,就必須使用ServerName來重新指定服務器的正式名字����。
DocumentRoot "/www/"
DocumentRoot定義這個服務器對外發(fā)布的超文本文檔存放的路徑����,客戶程序請求的UR L就被映射為這個目錄下的網(wǎng)頁文件�����。這個目錄下的子目錄����,以及使用符號連接指出的文件和目錄都能被瀏覽器訪問�����,只是要在URL上使用同樣的相對目錄名。
注意�����,符號連接雖然邏輯上位于根文檔目錄之下����,但實際上可以位于計算機上的任意目錄中����,因此可以使客戶程序能訪問那些根文檔目錄之外的目錄,這在增加了靈活性的同時但減少了安全性���。Apache在目錄的訪問控制中提供了FollowSymLinks選項來打開或關(guān)閉支持符號連接的特性。
Apache服務器配置全攻略(四)
Options FollowSymLinks
AllowOverride None
Apache服務器可以針對目錄進行文檔的訪問控制���,然而訪問控制可以通過兩種方式來實現(xiàn)�,一個是在設置文件 httpd.conf(或access.conf)中針對每個目錄進行設置���,另一個方法是在每個目錄下設置訪問控制文件��,通常訪問控制文件名字為.htaccess��。雖然使用這兩個方式都能用于控制瀏覽器的訪問����,然而使用配置文件的方法要求每次改動后重新啟動httpd守護進程�����,比較不靈活����,因此主要用于配置服務器系統(tǒng)的整體安全控制策略���,而使用每個目錄下的.htaccess文件設置具體目錄的訪問控制更為靈活方便�。
Directory語句就是用來定義目錄的訪問限制的,這里可以看出它的標準語法�����,為一個目錄定義訪問限制���。上例的這個設置是針對系統(tǒng)的根目錄進行的�����,設置了允許符號連接的選項FollowSymLinks ���,以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這里進行的配置,這也意味著不用查看這個目錄下的相應訪問控制文件��。
由于Apache對一個目錄的訪問控制設置是能夠被下一級目錄繼承的����,因此對根目錄的設置將影響到它的下級目錄。注意由于AllowOverride None的設置����,使得Apache服務器不需要查看根目錄下的訪問控制文件,也不需要查看以下各級目錄下的訪問控制文件�����,直至httpd.conf(或access.conf )中為某個目錄指定了允許Alloworride���,即允許查看訪問控制文件�。由于Apache對目錄訪問控制是采用的繼承方式���,如果從根目錄就允許查看訪問控制文件��,那么Apache就必須一級一級的查看訪問控制文件����,對系統(tǒng)性能會造成影響����。而缺省關(guān)閉了根目錄的這個特性����,就使得Apache從httpd.conf中具體指定的目錄向下搜尋����,減少了搜尋的級數(shù),增加了系統(tǒng)性能�����。因此對于系統(tǒng)根目錄設置AllowOverride None不但對于系統(tǒng)安全有幫助�,也有益于系統(tǒng)性能�。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設置,設置不同的 AllowOverride選項�����,以定義配置文件中的目錄設置和用戶目錄下的安全控制文件的關(guān)系��,而Options選項用于定義該目錄的特性���。
配置文件和每個目錄下的訪問控制文件都可以設置訪問限制,設置文件是由管理員設置的�,而每個目錄下的訪問控制文件是由目錄的屬主設置的����,因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設置文件中的設置,這就需要使用 啊AllowOverride參數(shù)進行設置���,通?�?梢栽O置的值為:
AllowOverride的設置 對每個目錄訪問控制文件作用的影響
All 缺省值�,使訪問控制文件可以覆蓋系統(tǒng)配置
None 服務器忽略訪問控制文件的設置
Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項
FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設置
AuthConfig 允許訪問控制文件使用AuthName���,AuthType等針對每個用戶的認證機制���,這使目錄屬主能用口令和用戶名來保護目錄 Limit 允許對訪問目錄的客戶機的IP地址和名字進行限制每個目錄具備一定屬性,可以使用Options來控制這個目錄下的一些訪問特性設置�����,以下為常用的特性選項:
Options設置 服務器特性設置
All 所有的目錄特性都有效���,這是缺省狀態(tài)
None 所有的目錄特性都無效
FollowSymLinks 允許使用符號連接,這將使瀏覽器有可能訪問文檔根目錄 (DocumentRoot)之外的文檔 SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時�����,才允許訪問�,這個設置將增加一些安全性ExecCGI 允許這個目錄下可以執(zhí)行CGI程序 Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引�����,使得在這個目錄下沒有index.html(或其他索引文件)時�,能向瀏覽器發(fā)送這個目錄下的文件列表
此外�����,上例中還使用了Order�����、Allow��、Deny等參數(shù)��,這是Limit語句中用來根據(jù)瀏覽器的域名和 IP地址來控制訪問的一種方式�。其中Order定義處理Allow和Deny的順序,而Allow���、Deny則針對名字或IP進行訪問控制設置����,上例使用allowfrom all����,表示允許所有的客戶機訪問這個目錄,而不進行任何限制���。
UserDir public_html
當在一臺Linux上運行Apache服務器時���,這臺計算機上的所有用戶都可以有自己的網(wǎng)頁路徑,形如 ~user���,使用波浪符號加上用戶名就可以映射到用戶自己的網(wǎng)頁目錄上����。映射目錄為用戶個人主目錄下的一個子目錄�,其名字就用UseDir這個參數(shù)進行定義���,缺省為public_html����。如果不想為正式的用戶提供網(wǎng)頁服務�����,使用DISABLED作UserDir的參數(shù)即可�����。
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
# Order allow,deny
# Allow from all
# Order deny,allow
# Deny from all
這里可以看到Directory的另一個用法����,即可以通過簡單的模式匹配方法�,針對分布在不同目錄下的子目錄定義訪問控制權(quán)限�����。這樣設置就需要Apache服務器對每個路徑進行額外的處理���,因此就會降低服務器的性能�����,所以缺省情況并沒有打開這種訪問限制。
Apache服務器配置全攻略(五)
這里可以看到另外一個語句Limit��,Limit語句就是用來針對具體的請求方法來設定訪問控制的�,其中可以使用GET、POST等各種服務器支持的請求方法做Limit的參數(shù)����,來設定對不同請求方法的訪問限制。一般可以打開對GET、POST����、 HEAD三種請求方法����,而屏蔽其他的請求方法,以增加安全性��。Limit語句中�����,可以用Order ��、Allow�、Deny�,Allow和Deny中可以使用匹配的方法針對域名和IP進行限制,只是對于域名是從后向前匹配����,對于IP地址則從前向后匹配。
DirectoryIndex index.html
很多情況下�����,URL中并沒有指定文檔的名字�,而只是給出了一個目錄名�。那么Apache服務器就自動返回這個目錄下由DirectoryIndex定義的文件�����,當然可以指定多個文件名字����,系統(tǒng)會這個目錄下順序搜索�����。當所有由DirectoryIndex指定的文件都不存在時����,Apache服務器可以根據(jù)系統(tǒng)設置,生成這個目錄下的所有文件列表��,提供用戶選擇�。此時該目錄的訪問控制選項中的Indexes選項(Options Indexes )必須打開�,以使得服務器能夠生成目錄列表�����,否則Apache將拒絕訪問����。
AccessFileName .htaccess
AccessFileName定義每個目錄下的訪問控制文件的文件名�����,缺省為.htaccess�����,可以通過更改這個文件����,來改變不同目錄的訪問控制限制�。
Order allow,deny
Deny from all
除了可以針對目錄進行訪問控制之外���,還可以根據(jù)文件來設置訪問控制����,這就是File語句的任務�����。使用File 語句���,不管文件處于哪個目錄,只要名字匹配�����, 就必須接受相應的訪問控制�。這個語句對于系統(tǒng)安全比較重要���,例如上例將屏蔽所有的使用者不能訪問.htaccess文件���,這樣就避免.htaccess中的關(guān)鍵安全信息不至于被客戶獲取。
#CacheNegotiatedDocs
缺省情況下如果代理服務器和Apache服務器協(xié)商是否緩存其網(wǎng)頁���,Apache給予否定的回答���,不希望自己的網(wǎng)頁被代理服務器緩存。然而這樣就不能有效的利用代理服務器的優(yōu)勢�����,因此可以設置CacheNegotiatieDocs 選項����, 使得代理服務器可以對網(wǎng)頁進行緩存。然而即使不設置這個選項��,有的代理服務器(或通過調(diào)整設置)也能對網(wǎng)頁進行緩存�����。
UseCanonicalName On
打開這個UseCanonicalName是Web服務器的標準做法����,因為客戶發(fā)送的大部分請求都是對本服務器的引用����,這樣服務器就能使用ServerName和Port選項的設置內(nèi)容構(gòu)建完整的URL,并回應客戶��,使瀏覽器能得到規(guī)范的URL。如果將這個參數(shù)設置為Off���,那么Apache將使用從客戶請求中獲得服務器的名字和端口值(支持HTTP 1.1的客戶的請求中將會有這些信息)�����,重新構(gòu)建URL。
TypesConfig /usr/local/apache/etc/mime.types
TypeConfig用于設置保存有不同的MIME類型數(shù)據(jù)的文件名���,在Linux下缺省設置為/usr/local/apache/etc/mime.types�。
DefaultType text/plain
如果Web服務器不能決定一個文檔的缺省類型,這通常表示文檔使用了非標準的后綴�����,那么服務器就使用 DefaultType定義的MIME類型將文檔發(fā)送給客戶瀏覽器�。這里的設置為text/plain,這樣設置的問題是���,如果服務器不能判斷出文檔的MIME,那么大部分情況下這個文檔為一個二進制文檔�,但使用 text/plain格式發(fā)送回去���,瀏覽器將在內(nèi)部打開它而不會提示保存。因此建議將這個設置更改為 application/octet-stream���,這樣瀏覽器將提示用戶進行保存��。
MIMEMagicFile /usr/local/apache/etc/magic
除了從文件的后綴出發(fā)來判斷文件的MIME類型之外�,Apache還可以進一步分析文件的一些特征�����,來判斷文件的真實MIME類型��。這個功能是由mod_mime_magic 模塊實現(xiàn)的��,它需要一個記錄各種MIME類型特征的文件�����,以進行分析判斷���。上面的設置是一個條件語句,如果載入了這個模塊����,就必須指定相應的標志文件magic的位置。
