1#
大 中
小 发表于 2008-2-29 10:23 只看该作者
第3章 搭建Web服务器
3.1 Apache服务器概述
Apache,是一种开放源码的HTTP服务器,可以在大多数计算机操作系统中运行,由于其具有良好的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,Perl/PHP等解释器可被编译到服务器中。
Apache起初由Illinois大学Urbana-Champaign的国家高级计算程序中心开发。此后,Apache被开放源代码团体的成员不断地发展和加强。Apache服务器拥有牢靠可信的美誉,已用在超过半数的因特网站中——特别是几乎所有最热门和访问量最大的网站。
开始,Apache只是Netscape网页服务器(现在是Sun ONE)之外的开放源代码选择。渐渐地,它开始在功能和速度等方面超越其他的基于UNIX的HTTP服务器。1996年4月以来,Apache一直是Internet上最流行的HTTP服务器,1999年5月它在57%的网页服务器上运行;2005年7月这个比例上升到了69%。
作者宣称因为这个名字好记才在最初选择它,但是流传最广的解释是(也是最显而易见的)这个名字来自这么一个事实:当Apache在1995年初开发的时候,它是由当时最流行的HTTP服务器NCSA HTTPd 1.3的代码修改而成的,因此是“一个修补的(a patchy)”服务器。然而在服务器官方网站的FAQ中是这么解释的:Apache这个名字是为了纪念名为Apache(印地语)的美洲印第安人土著的一支,众所周知他们拥有高超的作战策略和无穷的耐性。
Apache支持许多特性,大部分通过编译的模块实现。这些特性从服务器端的编程语言支持到身份认证方案。一些通用的语言接口支持Perl、Python、Tcl和PHP。流行的认证模块包括mod_access,mod_auth和mod_digest。其他的例子有SSL和TLS支持(mod_ssl)、proxy模块,很有用的URL重写(由mod_rewrite实现),定制日志文件(mod_log_config),以及过滤支持(mod_include和mod_ext_filter)。Apache日志可以通过网页浏览器使用免费的脚本AWStats或Visitors来进行分析。
Apache的2.x版本核心在Apache 1.x版本之上作出了重要的加强。这包括线程、更好地支持非UNIX平台(例如Windows)、新的Apache API及IPv6支持。
《PC Magazine》在2004年8月评出了近30年以来的10款最佳软件产品。他们其中或者是有过最辉煌的历史,或者是最具创意。其对Apache的评价是,第三名,Apache(阿帕奇,1995年推出),Apache目前已经演变成了“LAMP”,即Linux、Apache、MySQL和PHP的联合体。这是一个开放源代码软件项目,已经对微软的“.NET”战略构成严重威胁。尤其是Apache网络服务器,让用户充分体验到开发源码软件的稳定性、可靠性和可定制性。
Apple.com评价Apache时说:“Apache是服务器软件始终不断进化的产物,它免费但又是无价之宝。Apache是在资源开放运动中出现的绝对珍品,因为不属于个人专利而是对公共免费。一旦拥有这些源码,程序员能够自由完成所想——能在其他程序员接替工作时被赋予同样的权限来改变和修改自己的源代码。”
尽管不断有新的漏洞被发现,但由于其OpenSource的特点,漏洞总能被很快修补。因此总的来说,其安全性还是相当高的。
3.2 安装Apache服务器
首先,进入Apache源代码包存储目录:
[root@localhost root]# cd /usr/local/src
解开源代码包:
[root@localhost src]# tar xzvf httpd-2.0.59.tar.gz
进入解开的源代码树目录:
[root@localhost src]# cd httpd-2.0.59
进行configure编译前配置如下:
[root@localhost httpd-2.0.59]./configure \
"--prefix=/usr/local/apache2" \
"--mandir=/usr/share/man" \
"--enable-modules=most" \
"--enable-mods-shared=most"
编译Apache:
[root@localhost httpd-2.0.59]# make
安装Apache:
[root@localhost httpd-2.0.59]# make install
至此,Apache已经安装完毕。下面总结一下Apache的主要目录。
(1)程序及核心目录:/usr/local/apache2。
(2)默认网站根目录:/usr/local/apache2/htdocs。
(3)配置文件位置:/usr/local/apache2/conf/httpd.conf。
3.3 配置Apache服务器
Apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用3个配置文件httpd.conf、access.conf和srm.conf来配置Apache服务器的行为。
httpd.conf提供了最基本的服务器配置,是对守护程序httpd如何运行的技术描述;srm.conf是服务器的资源映射文件,告诉服务器各种文件的MIME类型,以及如何支持这些文件;access.conf用于配置服务器的访问权限,控制不同用户和计算机的访问限制。这三个配置文件控制着服务器的各个方面的特性,因此为了正常运行服务器便需要设置好这三个文件。
除了这三个配置文件之外,Apache还使用mime.types文件用于标志不同文件。对应的MIME类型,magic文件设置不同MIME类型文件的一些特殊标志,使得Apache服务器从文档后缀不能判断出文件的MIME类型时,能通过文件内容中的这些特殊标记来判断文档的MIME类型。
引用:bash-2.02$ ls -l /usr/local/apache/conf
total 100
-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf
-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default
-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf
-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default
-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic
-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default
-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types
-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf
-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default 引用:LoadModule mime_magic_module libexec/apache/mod_mime_magic.so
LoadModule info_module libexec/apache/mod_info.so
LoadModule speling_module libexec/apache/mod_speling.so
LoadModule proxy_module libexec/apache/libproxy.so
LoadModule rewrite_module libexec/apache/mod_rewrite.so
LoadModule anon_auth_module libexec/apache/mod_auth_anon.so
LoadModule db_auth_module libexec/apache/mod_auth_db.so
LoadModule digest_module libexec/apache/mod_digest.so
LoadModule cern_meta_module libexec/apache/mod_cern_meta.so
LoadModule expires_module libexec/apache/mod_expires.so
LoadModule headers_module libexec/apache/mod_headers.so
LoadModule usertrack_module libexec/apache/mod_usertrack.so
LoadModule unique_id_module libexec/apache/mod_unique_id.so
ClearModuleList
AddModule mod_env.c
AddModule mod_log_config.c
AddModule mod_mime_magic.c
AddModule mod_mime.c
AddModule mod_negotiation.c
AddModule mod_status.c
AddModule mod_info.c
AddModule mod_include.c
AddModule mod_autoindex.c
AddModule mod_dir.c
AddModule mod_cgi.c
AddModule mod_asis.c
AddModule mod_imap.c
AddModule mod_actions.c
AddModule mod_speling.c
AddModule mod_userdir.c
AddModule mod_proxy.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_auth_anon.c
AddModule mod_auth_db.c
AddModule mod_digest.c
AddModule mod_cern_meta.c
AddModule mod_expires.c
AddModule mod_headers.c
AddModule mod_usertrack.c
AddModule mod_unique_id.c
AddModule mod_so.c
AddModule mod_setenvif.c
Port定义了Standalone模式下httpd守护进程使用的端口,标准端口是80。这个选项只对于以独立方式启动的服务器才有效,对于以inetd方式启动的服务器则在inetd.conf中定义使用哪个端口。
在UNIX下使用80端口需要root权限,一些管理员为了安全的原因,认为httpd服务器不可能没有安全漏洞,因而更愿意使用普通用户的权限来启动服务器,这样就不能使用80端口及其他小于1024的端口,而必须使用大于1024的端口来启动httpd,一般情况下8000或8080也是常用的端口。而Apache httpd服务器本身可以在以root权限打开80端口后再改变为普通用户身份进行运行,这样就减少了危险性,因而就不需要考虑这个安全问题。但是如果普通用户也想安装配置自己的Web服务器,那么就不得不使用大于1024的端口。
2.User nobody和Group nogroupUser和Group配置是Apache的安全保证,Apache在打开端口之后,就将其本身设置为这两个选项设置的用户和组权限进行运行,这样降低了服务器的危险性。这个选项也只用于Standalone模式、inetd模式在inetd.conf中指定运行Apache的用户。由于服务器必须执行改变身份的setuid()操作,因此初始进程应该具备root权限,如果是使用非root用户来启动Aapche,这个配置就不会发挥作用。
默认设置为nobody和nogroup,这个用户和组在系统中不拥有文件,保证了服务器本身和由它启动的CGI进程没有权限更改文件系统。在某些情况下,如为了运行CGI与UNIX交互,也需要让服务器来访问服务器上的文件,如果仍然使用nobody和nogroup,那么系统中将会出现属于nobody的文件,这对于系统安全是不利的,因为其他程序也会以nobody和nogroup的权限执行某些操作,有可能访问这些nobody拥有的文件,造成安全问题。一般情况下,要为Web服务设定一个特定的用户和组,同时在这里更改用户和组设置。
3.ServerAdmin you@your.address配置文件中应该改变的也许只有ServerAdmin,这一项用于配置Web服务器的管理员的E-mail地址,将在HTTP服务出现错误的条件下返回给浏览器,以便让Web使用者和管理员联系,报告错误。习惯上使用服务器上的webmaster作为Web服务器的管理员,通过邮件服务器的别名机制,将发送到webmaster的电子邮件发送给真正的Web管理员。
4.#ServerName new.host.name默认情况下,并不需要指定ServerName参数,服务器将自动通过名字解析过程来获得自己的名字,但如果服务器的名字解析有问题(通常为反向解析不正确),或者没有正式的DNS名字,也可以在这里指定IP地址。当ServerName设置不正确的时候,服务器不能正常启动。
通常一个Web服务器可以具有多个名字,客户浏览器可以使用所有这些名字或IP地址来访问这台服务器,但在没有定义虚拟主机的情况下,服务器总是以自己的正式名字回应浏览器。ServerName定义了Web服务器自己承认的正式名字,如一台服务器名字(在DNS中定义了A类型)为exmaple.org.cn,同时为了方便记忆还定义了一个别名(CNAME记录)www.exmaple. org.cn,那么Apache自动解析得到的名字就为example.org.cn,这样不管客户浏览器使用哪个名字发送请求,服务器总是告诉客户程序自己为example.org.cn。虽然一般不会造成什么问题,但是考虑到某一天服务器可能迁移到其他计算机上,而只想通过更改DNS中的www别名配置就完成迁移任务,所以不想让客户在其书签中使用Linux记录下这个服务器的地址,就必须使用ServerName来重新指定服务器的正式名字。
5.DocumentRoot "/www/"DocumentRoot定义服务器对外发布的超文本文档存放的路径,客户程序请求的URL就被映射为这个目录下的网页文件。这个目录下的子目录,以及使用符号连接指出的文件和目录都能被浏览器访问,只是要在URL上使用同样的相对目录名。
注意,符号连接虽然逻辑上位于根文档目录之下,但实际上可以位于计算机上的任意目录中,因此可以使客户程序能访问那些根文档目录之外的目录,这在增加了灵活性的同时减少了安全性。Apache在目录的访问控制中提供了FollowSymLinks选项来打开或关闭支持符号连接的特性。
6.Options FollowSymLinks AllowOverride None
Apache服务器可以针对目录进行文档的访问控制,然而访问控制可以通过两种方式来实现,一个是在设置文件httpd.conf(或access.conf)中针对每个目录进行设置,另一个方法是在每个目录下设置访问控制文件,通常访问控制文件名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问,但是使用配置文件的方法要求每次改动后重新启动httpd守护进程,比较不灵活。因此,使用配置文件的方法主要用于配置服务器系统的整体安全控制策略,而使用每个目录下的.htaccess文件设置具体目录的访问控制。
Directory语句是用来定义目录的访问限制的,这里可以看出它的标准语法,为一个目录定义访问限制。本例的这个设置是针对系统的根目录进行的,设置了允许符号连接的选项FollowSymLinks,以及使用AllowOverride None表示不允许这个目录下的访问控制文件来改变这里进行的配置,这也意味着不用查看这个目录下的相应访问控制文件。
由于Apache对一个目录的访问控制设置是能够被下一级目录继承的,因此对根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置,使得Apache服务器不需要查看根目录下的访问控制文件,也不需要查看以下各级目录下的访问控制文件,直至httpd.conf(或access.conf)中为某个目录指定了允许Alloworride,即允许查看访问控制文件。由于Apache对目录访问控制是采用继承方式,如果从根目录就允许查看访问控制文件,那么Apache就必须一级一级地查看访问控制文件,对系统性能会造成影响。而默认关闭了根目录的这个特性,就使得Apache从httpd.conf中具体指定的目录向下搜寻,减少了搜寻的级数,增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助,也有益于系统性能。
7.Options Indexes FollowSymLinks AllowOverride None
Order allow,deny
Allow from all
这里定义的是系统对外发布文档的目录的访问设置,设置不同的 AllowOverride选项,以定义配置文件中的目录设置和用户目录下的安全控制文件的关系,而Options选项用于定义该目录的特性。
配置文件和每个目录下的访问控制文件都可以设置访问限制,设置文件是由管理员设置的,而每个目录下的访问控制文件是由目录的属主设置的,因此管理员可以规定目录的属主是否能覆盖系统在设置文件中的设置,这就需要使用AllowOverride参数进行设置,通常可以设置的值如下。
(1)AllowOverride的设置:对每个目录访问控制文件作用的影响。
(2)All默认值:使访问控制文件可以覆盖系统配置。
(3)None:服务器忽略访问控制文件的设置。
(4)Options:允许访问控制文件中可以使用Options参数定义目录的选项。
(5)FileInfo:允许访问控制文件中可以使用AddType等参数设置。
(6)AuthConfig:允许访问控制文件使用AuthName、AuthType等针对每个用户的认证机制,这使目录属主能使用口令和用户名来保护目录Limit,允许对访问目录的客户机的IP地址和名字进行限制。
每个目录具备一定属性,可以使用Options控制这个目录下的一些访问特性设置,以下为常用的特性选项。
(1)Options设置:服务器特性设置。
(2)All:所有的目录特性都有效,这是默认状态。
(3)None:所有的目录特性都无效。
(4)FollowSymLinks:允许使用符号连接,这将使浏览器有可能访问文档根目录(DocumentRoot)之外的文档。
(5)SymLinksIfOwnerMatch:只有符号连接的目的与符号连接本身为同一用户所拥有时,才允许访问,这个设置将增加一些安全性。
(6)ExecCGI:允许这个目录下可以执行CGI程序。
(7)Indexes:允许浏览器可以生成这个目录下所有文件的索引,使得在这个目录下没有index.html(或其他索引文件)时,能向浏览器发送这个目录下的文件列表。
此外,本例中还使用了Order、Allow、Deny等参数,这是Limit语句中用来根据浏览器的域名和IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序,而Allow、Deny则针对名字或IP进行访问控制设置,本例使用allowfrom all,表示允许所有的客户机访问这个目录,而不进行任何限制。
8.UserDir public_html 当在一台Linux上运行Apache服务器时,这台计算机上的所有用户都可以有自己的网页路径,如http://example.org.cn/~user,使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录,其名字就用UseDir参数进行定义,默认为public_html。如果不想为正式的用户提供网页服务,使用DISABLED作UserDir的参数即可。
9.# AllowOverride FileInfo AuthConfig Limit # Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
# Order allow,deny
# Allow from all
# Order deny,allow
# Deny from all
这里可以看到Directory的另一个用法,即可以通过简单的模式匹配方法,针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理,因此就会降低服务器的性能,所以默认情况并没有打开这种访问限制。
这里可以看到另外一个语句Limit,Limit语句就是用来针对具体的请求方法来设定访问控制的,其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数,来设定对不同请求方法的访问限制。一般可以打开对GET、POST、HEAD三种请求方法,而屏蔽其他的请求方法,以增加安全性。Limit语句中,可以用Order、Allow、Deny,Allow和Deny中可以使用匹配的方法针对域名和IP进行限制,只是对于域名是从后向前匹配,对于IP地址则从前向后匹配。
10.DirectoryIndex index.html 很多情况下,URL中并没有指定文档的名字,而只是给出了一个目录名。那么Apache服务器就自动返回这个目录下由DirectoryIndex定义的文件,当然可以指定多个文件名字,系统会在这个目录下顺序搜索。当所有由DirectoryIndex指定的文件都不存在时,Apache服务器可以根据系统设置,生成这个目录下的所有文件列表,提供用户选择。此时该目录的访问控制选项中的Indexes选项(Options Indexes)必须打开,以使得服务器能够生成目录列表,否则Apache将拒绝访问。
11.AccessFileName .htaccess AccessFileName定义每个目录下的访问控制文件的文件名,默认为.htaccess,可以通过更改这个文件,来改变不同目录的访问控制限制。
12.Order allow,deny Deny from all
除了可以针对目录进行访问控制之外,还可以根据文件来设置访问控制,这就是File语句的任务。使用File 语句,不管文件处于哪个目录,只要名字匹配,就必须接受相应的访问控制。这个语句对于系统安全比较重要,例如上例将屏蔽所有的使用者不能访问.htaccess文件,这样就避免.htaccess中的关键安全信息不至于被客户获取。
13.#CacheNegotiatedDocs 默认情况下如果代理服务器和Apache服务器协商是否缓存其网页,Apache给予否定的回答,不希望自己的网页被代理服务器缓存。然而这样就不能有效地利用代理服务器的优势,因此可以设置CacheNegotiatieDocs选项,使得代理服务器可以对网页进行缓存。然而即使不设置这个选项,有的代理服务器(或通过调整设置)也能对网页进行缓存。
14.UseCanonicalName On 打开这个UseCanonicalName是Web服务器的标准做法,因为客户发送的大部分请求都是对本服务器的引用,这样服务器就能使用ServerName和Port选项的设置内容构建完整的URL,并回应客户,使浏览器能得到规范的URL。如果将这个参数设置为Off,那么Apache将使用从客户请求中获得服务器的名字和端口值(支持HTTP 1.1的客户的请求中将会有这些信息)重新构建URL。
15.TypesConfig /usr/local/apache/etc/mime.types TypeConfig用于设置保存有不同的MIME类型数据的文件名,在Linux下默认设置为/usr/local/apache/etc/mime.types。
16.DefaultType text/plain 如果Web服务器不能决定一个文档的默认类型,这通常表示文档使用了非标准的后缀,那么服务器就使用DefaultType定义的MIME类型将文档发送给客户浏览器。这里的设置为text/plain,这样设置的问题是,如果服务器不能判断出文档的MIME,那么大部分情况下这个文档为一个二进制文档,但使用text/plain格式发送回去,浏览器将在内部打开它而不会提示保存。因此建议将这个设置更改为application/octet-stream,这样浏览器将提示用户进行保存。
17.MIMEMagicFile /usr/local/apache/etc/magic 除了从文件的后缀出发来判断文件的MIME类型之外,Apache还可以进一步分析文件的一些特征,来判断文件的真实MIME类型。这个功能是由mod_mime_magic模块实现的,它需要一个记录各种MIME类型特征的文件,以进行分析判断。上面的设置是一个条件语句,如果载入了这个模块,就必须指定相应的标志文件magic的位置。
通常连接时,服务器仅仅可以得到客户机的IP地址,如果要想获得客户机的主机名,以进行日志记录和提供给CGI程序使用,就需要使用这个HostnameLookups选项,将其设置为On,打开DNS反查功能。但是这将使服务器对每次客户请求都进行DNS查询,增加了系统开销,使得反应变慢,因此默认设置为使用“Off”关闭此选项。关闭选项之后,服务器就不会获得客户机的主机名,而只能使用IP地址来记录客户。
18.ErrorLog /var/log/httpd-error.log LogLevel warn
引用:LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent} "" combined
LogFormat "%h %l %u %t "%r" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
#CustomLog /var/log/httpd-access.log common
#CustomLog /var/log/httpd-referer.log referer
#CustomLog /var/log/httpd-agent.log agent
CustomLog /var/log/httpd-access.log combined
附件: 您所在的用户组无法下载或查看附件
技术不分高低,只分了解先后!PHPChina是个互助友爱的大家庭,谁都可以参与!
|
