怎樣進行Apache的配置-安全-PHP中文網

首頁

運維

安全

怎樣進行Apache的配置

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 12, 2023 am 11:13 AM

apache

Apache的設定由httpd.conf檔配置，因此下面的設定指令都是在httpd.conf檔中修改。
主網站的設定(基本設定)

(1) 基本設定:
ServerRoot "/mnt/software/apache2" #你的apache軟體安裝的位置。其它指定的目錄如果沒有指定絕對路徑，則目錄是相對於該目錄。

PidFile logs/httpd.pid #第一個httpd行程(所有其他行程的父行程)的行程編號檔案位置。

Listen 80 #伺服器監聽的連接埠號碼。

ServerName www.clusting.com:80 #主網站名稱（網站的主機名稱）。

ServerAdmin admin@clusting.com #管理員的郵件地址。

DocumentRoot "/mnt/web/clusting" #主網站的網頁儲存位置。

以下是對主網站的目錄進行存取控制：

Options FollowSymLinks
AllowOverride ##Order allow,deny
Allow from all

在上面本目錄屬性配置中，主要有下面的選項：

#Options：配置在特定目錄使用哪些特性，常用的值和基本意義如下：

ExecCGI: 在該目錄下允許執行CGI腳本。

FollowSymLinks: 在該目錄下允許檔案系統使用符號連接。

Indexes: 當使用者存取目錄時，如果使用者找不到DirectoryIndex指定的主頁檔案(例如index.html),則傳回該目錄下的檔案清單給使用者。

SymLinksIfOwnerMatch: 當使用符號連接時，只有當符號連接的文件擁有者與實際文件的擁有者相同時才可以存取。

其它可用值和意義請參閱：http://www.clusting.com/Apache/ApacheManual/mod/core.html#options

##AllowOverride：允許存在於. htaccess檔案中的指令類型(.htaccess檔案名稱是可以改變的，其檔案名稱由AccessFileName指令決定)：
None: 當AllowOverride設定為None。不搜尋該目錄下的.htaccess檔案（可以減少伺服器開銷）。

All: 在.htaccess檔案中可以使用所有的指令。

其他的可用值及意義(如：Options FileInfo AuthConfig Limit等)，請參考： http://www.clusting.com/Apache/ApacheManual/mod/core.html#AllowOverride

Order：控制在存取時Allow和Deny兩個存取規則哪一個優先：

Allow：允許存取的主機清單(可用網域名稱或子網，例如：Allow from 192.168.0.0/16)。

Deny：拒絕存取的主機清單。

更詳細的用法可參考：http://www.clusting.com/Apache/ApacheManual/mod/mod_access.html#order

DirectoryIndex index.html index.htm index.php #首頁檔案的設定（本範例設定首頁檔案為：index.html,index.htm和index.php）

(2) 伺服器的最佳化 (MPM: Multi-Processing Modules)
apache2主要的優點就是對多處理器的支援更好，在編譯時也曾經同過使用--with-mpm選項來決定apache2的工作模式。如果知道目前的apache2使用什麼運作機制，可以透過httpd -l指令列出apache的所有模組，就可以知道其運作方式：

prefork：如果httpd -l列出prefork.c，則需要對下面的段進行設定：

StartServers 5 #啟動apache時啟動的httpd進程個數。

MinSpareServers 5 #伺服器維持的最小空閒進程數。

MaxSpareServers 10 #伺服器維持的最大空閒進程數。

MaxClients 150 #最大同時連線數。

MaxRequestsPerChild 1000 #每個子程序被要求服務多少次後被kill掉。 0表示不限制，建議設定為1000。

在該工作模式下，伺服器啟動後啟動5個httpd進程(加父進程共6個，透過ps -ax|grep httpd命令可以看到)。當有使用者連線時，apache會使用一個空閒進程為此連線服務，同時父進程會fork一個子進程。直到記憶體中的空閒進程達到MaxSpareServers。該模式是為了相容於一些舊版本的程式。我缺省編譯時的選項。

worker：如果httpd -l列出worker.c，則需要設定下面的段落：

StartServers 2 #啟動啟動apache時啟動的httpd進程個數。

MaxClients 150 #最大同時連線數。

#MinSpareThreads 25 #伺服器保持的最小空閒執行緒數。

MaxSpareThreads 75 #伺服器保持的最大空閒執行緒數。

ThreadsPerChild 25 #每個子程序的產生的執行緒數。

MaxRequestsPerChild 0 #每個子程序被請求服務多少次後被kill掉。 0表示不限制，建議設定為1000。

#此模式是由執行緒來監聽客戶的連結。當有新客戶連線時，由其中的一個空閒線程接受連線。伺服器在啟動時啟動兩個進程，每個進程產生的執行緒數是固定的(ThreadsPerChild決定)，因此啟動時有50個執行緒。當50個執行緒不夠用時，伺服器自動fork一個行程，再產生25個執行緒。

perchild：如果httpd -l列出perchild.c，則需要設定下面的段落：

#NumServers 5 #伺服器啟動時啟動的子程序數

StartThreads 5 #每個子程序啟動時啟動的執行緒數

MinSpareThreads 5 #記憶體中的最小閒置執行緒數

##1 MaxSpareThreads 10 #最大空閒執行緒數

MaxThreadsPerChild 2000 #每個執行緒最多被要求幾次後退出。 0不受限制。

MaxRequestsPerChild 10000 #每個子程序服務多少次後重新fork。 0表示不受限制。

此模式下，子行程的數量是固定的，執行緒數不受限制。當客戶端連接到伺服器時，又空閒的執行緒提供服務。如果空閒執行緒數不夠，子行程會自動產生執行緒來為新的連線服務。此模式用於多站點伺服器。
(3) HTTP返頭回訊息設定:

ServerTokens Prod #此參數設定http頭部回傳的apache版本訊息，可用的值和意義如下：

Prod：僅軟體名稱，例如：apache
Major：包含主版本號，例如：apache/2
Minor：包含次版本號，例如：apache/2.0
Min：僅apache的完整版本號，例如： apache/ 2.0.54
OS：包含作業系統類型，例如：apache/2.0.54（Unix）
Full：包含apache支援的模組及模組版本號，例如：Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g
ServerSignature Off #在頁面產生錯誤時是否出現伺服器版本資訊。建議設定為Off

(4) 持久性連線設定

KeepAlive On #開啟持久性連線功能。即當客戶端連接到伺服器，下載完資料後仍保持連線狀態。

MaxKeepAliveRequests 100 #一個連線服務的最多請求次數。

KeepAliveTimeout 30 #持續連線多長時間，該連線沒有再要求數據，則中斷該連線。缺省為15秒。

別名設定
對於不在DocumentRoot指定的目錄內的頁面，既可以使用符號連接，也可以使用別名。別名的設定如下：

Alias /download/ "/var/www/download/" #造訪時可以輸入:http://www.custing.com/download/

#對該目錄進行存取控制設定
Options Indexes MultiViews
AllowOverride AuthConfig
Order allow,deny ##Allow AuthConfig
Order allow,deny ##Allow ;

CGI設定

ScriptAlias /cgi-bin/ "/mnt/software/apache2/cgi-bin/" # 存取時可以：http://www.clusting. com/cgi-bin/ 。但是該目錄下的CGI腳本檔案要加可執行權限！

#設定目錄屬性
AllowOverride None
Options None
Order allow,deny #
Options None
Order allow,deny #low

個人首頁的設定 (public_html) ######UserDir public_html (間使用者的首頁儲存在使用者主目錄下的public_html目錄下 URL http: //www.clusting.com/~bearzhang/file.html 將讀取 /home/bearzhang/public_html/file.html 檔案) ######chmod 755 /home/bearzhang #使其它使用者能夠讀取該檔案。 ######UserDir /var/html (the URL http://www.clusting.com/~bearzhang/file.html 將讀取 /var/html/bearzhang/file.html) ####### UserDir /var/www/*/docs (the URL http://www.clusting.com/~bearzhang/file.html 將讀取 /var/www/bearzhang/docs/file.html) ##########################################################################################################################################################日誌的設定 ######(1)錯誤日誌的設定 ####ErrorLog logs/error_log #日誌的保存位置
LogLevel warn #日誌的等級

顯示的格式日下：
#[Mon Oct 10 15:54:29 2005]#[Mon Oct 10 15:54:29 2005]#[Mon Oct 10 15:54:29 2005]#[Mon Oct 10 15:54:29 2005]#[Mon Oct 10 15:54:29 2005]#[Mon Oct. .10.22] access to /download/ failed, reason: user admin not allowed access

#(2)存取日誌設定

#20號%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
LogFormat "%{User-Agent}i"" combined
LogFormat "%h %l %u combined
LogFormat "%h %l %u%%t %u%%t %r" %>s %b" common #common為日誌格式名稱
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{ #CustomLog logs/access_log common

格式中的各個參數如下：

%h --客戶端的ip位址或主機名稱

%l --The##%l --The##%這是由客戶端 identd 判斷的RFC 1413身份，輸出中的符號 "-" 表示此處資訊無效。

%u --由HTTP認證系統所得到的造訪該網頁的客戶名稱。有認證時才有效，輸出中的符號 "-" 表示此處資訊無效。

%t --伺服器完成對請求的處理時的時間。

"%r" --引號中是客戶發出的包含了許多有用資訊的請求內容。

%>s --這個是伺服器回傳給客戶端的狀態碼。

%b --最後這項是回傳給客戶端的不包括回應頭的位元組數。

"%{Referer}i" --此項指明了該請求是從被哪個網頁提交過來的。

"%{User-Agent}i" --此項是客戶瀏覽器提供的瀏覽器識別資訊。

以下是一段訪問日誌的實例：
192.168.10.22 - bearzhang [10/Oct/2005:16:53:06 0800] "GETHT/download/ /1.1 192.168.10.22 - - [10/Oct/2005:16:53:06 0800] "GET /icons/blank.gif HTTP/1.1" 30410012192.gif 53:06 0800] "GET /icons/back.gif HTTP/1.1" 304 -

各參數的詳細解釋，請參閱：http://www.clusting.com/Apache/ApacheManual/logs. html

使用者認證的設定
(1)in the httpd.conf:
AccessFileName .htaccess
.........
Alias /download / "/var/www/download/"

Options Indexes
AllowOverride AuthConfig
create a password file:
/usr/local/apache2/bin/ht密碼allowed access.
vi /var/www/download/.htaccess:
AuthType Basic
AuthName "Restricted Files"
#AuthUserFile /var/httpuser/passwords Files"
AuthUserFile /var/httpuser/passwords Files Require valid-user #all valid user

虛擬主機的設定
(1)基於IP位址的虛擬主機設定
Listen 80
DocumentRoot /www/example1
ServerName www.example1.com

(2) 基於IP和多埠的虛擬主機設定
Listen 172.20.30.40:80
Listen 172.20.30.40:
# Listen 172.20.30.50:80
Listen 172.20.30.50:8080

DocumentRoot /www/example1-80
ServerName www.example1.com

DocumentRoot /www/example1-8080;
ServerName .
##
DocumentRoot /www/example2-80
ServerName www.example1.org
</Virtualualcost;
DocumentRoot /www/example2-8080
ServerName www.example2.org
</Virtualual#ServerName www.example2.org
#lt/VirtualualHost 上基於網域名稱的虛擬主機設定：
# Ensure that Apache listens on port 80
Listen 80

# Listen for virtual

DocumentRoot /www/example1
ServerName www.example1.com
ServerAlias example1.com.

DocumentRoot /www/example2
ServerName www.example2.org

(4)在多個IP位址的伺服器上設定以網域為基礎的虛擬主機：
Listen 80

# This is the "main" server running on 172.20.30.40
#ServerName server.domain.com
DocumentRoot /www/mainserver

# This is the other address
NameVirtualHost 172.20.30.50
NameVirtualHost 172.20.30.50
#085; #DocumentRoot /www/example1
ServerName www.example1.com
# Other directives here ...
>
##ServerName www.example2.org
# Other directives here ...

##(5)在不同的連接埠上運行不同的網站(基於多埠的伺服器上設定基於網域名稱的虛擬主機)：
Listen 80
Listen 8080

NameVirtualHost 172.20.30.##Listen 8080

NameVirtualHost 172.20.30.40:80

ServerName www.example1.com
DocumentRoot /www/domain-80
:8080>
ServerName www.example1.com
DocumentRoot /www/domain-8080

DocumentRoot /www/otherdomain-80

VirtualHost 172.20.30.40:8080> /www/otherdomain-8080

(6)基於網域名稱和基於IP的混合虛擬主機的設定:
Listen 80

NameVirtualHost 172.#Listen 80

NameVirtualHost 172.#Listen 80

NameVirtualHost 172.#Listen 80

NameVirtualHost 172.#Listen 80

NameVirtualHost 172.#Listen 80.40

DocumentRoot /www/example1
ServerName www.example1.com
30.40>
DocumentRoot /www/example2
ServerName www.example2.org

<VirtualHost 172.20.30.40>
ServerName www.example3.net

SSL加密的設定

#首先在設定之前先來了解一些基本概念：

證書的概念：首先要有一個根證書，然後用根證書來簽發伺服器證書和客戶證書，一般理解：伺服器證書和客戶證書是平級關係。 SSL必須安裝伺服器憑證來認證。因此：在此環境中，至少必須有三個證書：根證書，伺服器證書，客戶端證書。在產生憑證之前，一般會有一個私鑰，同時用私鑰產生憑證要求，再利用憑證伺服器的根證來簽發憑證。

SSL所使用的憑證可以自行生成，也可以透過一個商業性CA（如Verisign 或 Thawte）簽署憑證。

簽發證書的問題：如果使用的是商業證書，具體的簽署方法請查看相關銷售商的說明；如果是知己簽發的證書，可以使用openssl自帶的CA.sh腳本工具。

如果沒有為單獨的客戶端簽發證書，客戶端證書可以不用生成，客戶端與伺服器端使用相同的證書。
(1) conf/ssl.conf 設定檔中主要的參數設定如下：

Listen 443
SSLPassPhraseDialog buildin
##SSLPassPhraseDialog exec:/path/to/program
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex 檔案：/usr/local/apache2/logs/ssl_sl

虛擬主機的常規設定
DocumentRoot「/usr/local/apache2/htdocs」
ServerName www.example.com:443
ServerAdmin you@example.com
錯誤日誌/usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
##SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4 RSA: 高：中：低：SSLv2：EXP：eNULL

SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.##SSLCertificateKeyFile /usr/local/apache2/conf/ssl.
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

##(2) 建立並使用自簽署的憑證：
a.為您的 Apache 伺服器建立 RSA 私鑰
/usr/local/openssl/bin/openssl genrsa -des3 -out / usr/local/apache2/conf/ssl.key/server.key 1024

b。建立憑證簽章要求 (CSR)
/usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2 / conf/ssl.key/server.csr

c。使用 CA
/usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl 的 RSA 金鑰建立自簽署 CA 憑證（X509 結構）。key/server .key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt

/usr/ local/openssl /bin/openssl genrsa 1024 -out server.key
/usr/local/openssl/bin/openssl req -new -key server.key -out server.csr
/usr/local/openssl/ bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt

(3) 建立自己的CA（認證憑證），並使用該CA來簽署伺服器的憑證。
mkdir /CA
cd /CA
cp openssl-0.9.7g/apps/CA.sh /CA
./CA.sh -newca
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.csr newreq.pem
./CA.sh -sign

#cp newcert.pem /usr/local/apache2/conf/ssl.crt/server.crt