-
在ubuntu和debian中,apache2主要功能模块(Multi-Processing Module,多道处理模块,简称MPM)被分为了不同的软件包,它们分别是:
Apache2-mpm-event: 事件驱动的MPM;
Apache2-mpm-perchild:这只是个过渡的“假”软件包,依赖worker;
Apache2-mpm-prefork:传统MPM,兼容apache1.3,不使用线程;
Apache2-mpm-worker:支持多线程和多进程混合模型的高速MPM;
Ubuntu推荐使用apache2-mpm-worker。
$ sudo apt-get install apache2
Apache配置文件说明:
Apache2.conf:全局配置文件,不要轻易修改它;
Conf.d/:该目录存放一些一般性的配置;
Envvars:存放环境变量,一般不需要修改;
Httpd.conf:用户配置文件;
Mods-available/:该目录下是已经安装的可用模块;
Mods-enabled/:该目录下是已经启用的模块;
Ports.conf:httpd服务的端口;
Sites-available/该目录下是可用的虚拟主机;
Sites-enabled/:该目录下是已经启用的虚拟主机;
$ sudo a2enmod :查看可用模块
$ sudo a2dismod :查看已启用模块
$sudo apt-cache search libapache2-mod :搜索所有模块
Ubuntu的apache2 为提供虚拟主机支持做了很好的配置。如果你的服务器只有一个网站,基本上不需要修改配置,虚拟主机就可以用了;如果有多个网站,则可以复制default虚拟主机的配置文件进行修改,这样可以迅速架设多个网站。
默认的虚拟主机路径:/etc/apache2/sites-available/default
创建一个新的虚拟主机:假设我们要创建一个域名为www.lgmtest.com的虚拟主机:
1) 复制default :
$ sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.lgmtest.com
2) 编辑文件:
$ sudo vi /etc/apache2/sites-available/www.lgmtest.com
将第一行的NameVirtualHost指令删除(所有的虚拟主机只保留一个NameVirtualHost指令即可),然后,将DocumentRoot的路径修改为/var/www/www.lgmtest.com/(自己设置),将<Directory /var/www/>修改为<Directory /var/www/www.lgmtest.com />
如果你有很多虚拟主机,建议修改ErrorLog和CustomLog的路径。
禁用default虚拟主机,并启用新建的www.lgmtest.com虚拟主机,然后重新启动apache
$ sudo a2dissite default && a2ensite www.lgmtest.com
$ sudo /etc/init.d/apache2 restart
虚拟主机配置详解(以default虚拟主机为例)
1.NameVirtualHost : 用来指定服务器ip的地址
语法 NameVirtualHost 192.168.1.1:8080
2.VirtualHost : 针对当前的虚拟主机。
语法<VirtualHost IP地址[:端口号] [IP地址[:端口号]] …>…<VirtualHost />
3.ServerAdmin:用来指定站长email地址。
4.DocumentRoot :用来指定网站的根目录,一般设置绝对路径,否则,apache将认为它的父目录是ServerRoot所定义的路径。
5.<Directory></Directory>指令是一对,它们中间所包含的指令,仅对指定的目录有效。该目录可以是特指的某个目录,比如:
<Directory /var/www/www.lgmtest.com>
…
</Directory>
此外,还支持通配符和正则表达式,用来匹配很多目录。比如:
<Directory /var/www/*.lgmtest.com>……</Directory>
6.Options:用来配置指定目录的特性,比如是否允许该目录下有符号链接、是否使用CGI等。这些特性包括:
All-->除MultiViews之外的所有特性(默认设置);
ExecCGI-->允许该目录通过mod_cgi运行CGI脚本;
FollowSymLinks-->允许在此目录中使用符号连接;
Includes-->在该目录中允许使用mod_include进行服务器端包含;
IncludesNOEXEC-->允许服务器端包含,但禁用“#exec cmd”和“#exec cgi”;
Indexes-->允许列目录。如果某个被访问的目录中没有DirectoryIndex指定的文件(如index.html),服务器将生成并显示目录列表;
MultiViews-->允许“内容协商”的“多重视图”。“内容协商”由mod_negotiation模块生成;
SymLinksIfOwnerMatch-->只允许使用这样的符号链接:这些符号链接与目标目录(或文件)的拥有者具有相同的UserID。
在Options指令中,可以使用加减号(+|-)。一般来说,如果你在一个目录上设置了多次的Options,则最特殊的一个会被完全接收,而其他的则会被忽略;然而,如果所有作用于Options指令的选项前都加上“+”或者“-”号,则此可选项将被合并——所有带“+”号的选项将强制覆盖当前的设置,而所有带“-”号的选项将强制从当前设置中去除。
7.AllowOverride:针对.htaccess文件的;可以允许该文件的全部指令,也可以只允许某些类型的指令,或者全部禁止。
语法:AllowOverride All | None | directive-type [directive-type] …
Apache本来的默认值是AllowOverride All,但是出于安全考虑,Ubuntu将其改为了AllowOverride None(直接忽略.htaccess文件)。
提示:AllowOverride仅在不包含正则表达式的<Directory>配置段中才是有效的。
8.Order:用来控制默认访问状态,以及Allow和Deny的生效顺序。这些顺序可以是“Deny,Allow”或者“Allow,Deny”。如果是前者,那么Deny在Allow指令之前被评估,默认允许所有访问。任何不匹配Deny指令或者匹配Allow指令的访问者都被允许访问;如果是后者,那么Allow在Deny之前被评估,默认拒绝所有访问。任何不匹配Allow指令或者匹配Deny指令的访问者将被禁止访问。
9.Allow:用来控制哪些主机可以访问。可以根据主机名、ip地址、ip范围或其他环境变量的定义来进行控制。
语法:Allow from all | host | env=env-variable [host | env=env-variable] …
10.Deny:用来限制主机访问的,语法和Allow完全相同。
11.ErrorLog:定义错误日志的位置。
12.LogLevel:控制日志的详细程度的级别级别顺序有:
emerg:紧急(系统无法使用)
alert:必须立即采取措施
crit:致命情况
error:错误情况
warn:警告情况
notice:一般重要情况
info:普通信息
debug:调试信息
13.CustomLog:定义访问日志的路径和格式。
语法:CustomLog file|pipe format | nickname [env=[!]environment-variable]
CustomLog logs/access_log common
CustomLog logs/access_log “%h %l %u %t \”%r\” %>s %b ”
14.ServerSignature:用来定义服务器所生成页面的页脚。这些信息包括错误信息、mod_proxy的ftp目录列表、mod_info的输出等。
15.Alias:有点像Linux的ln命令,它提供路径别名,让你用起来更方便
语法:Alias URL-path file-path | directory-path
HTTPS的实现
1) 启用mod_ssl模块;
$ sudo a2enmod ssl
2) 生成证书、安装证书;
<1>使用CA签名的证书(要收费的):
a. 先安装openssl:$ sudo apt-get install openssl
b. 创建key:
$ openssl genrsa –des3 –out server.key 1024(这个是要设置密码的)
$ openssi genrsa –out server.key 1024(这个不要设置密码)
c. 创建CSR:
$ openssi req –new –key server.key –out server.csr
完成后,将CSR文件发给某家CA,CA将对其进行签名。
<2>使用自己签名的证书:
$ sudo openssl x509 –req –days 365 –in server.csr –signkey server.key –out server.crt
$ sudo cp server.crt /etc/ssl/certs
$ sudo cp server.key /etc/ssl/private
3) 修改虚拟主机配置文件,重启apache服务。
启用SSL。在VirtualHost段中,DocumentRoot一行的下方加入:
SSLEngine on
SSLOptions +StrictRequire
SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
注:上面两个路径是前面指定好的。
重启apache :$ sudo /etc/init.d/apache2 restart
Apache性能优化
1. 正确选择MPM
Event比较适合用户那些需要有大量持续连接(KeepAlive traffic)的情况。KeepAlive的好处是可以在同一个TCP连接中响应多次请求。这种方式,可以使一个包含大量图片的HTML文档加速50%.在配置文件中设置keepAlive为On即可启用KeepAlive.
Prefork实现另一个非线程的MPM,特点是很稳定。它能够隔离每个请求,如果某个请求出现故障,不会影响其他的请求。使用prefork最重要的是将MaxClients设置的恰当。这个MaxClients值要足够的大,但又不能太大,致使apache所需内存超出物理内存大小。
Worker,速度比prefork快很多,可以处理相对海量请求。Worker使用了多进程,每个进程又生成多个线程,这样可以获得基于进程服务器的稳定性。比较重要的两个配置是:ThreadPerChild(用来控制每个子进程允许建立的线程数)和MaxClients(控制允许建立的总线程数)。
2. 优化apache配置
a) 关闭DNS查询:将HostnameLookups设置为off;
b) 优化MaxClients:
修改apache.conf文件中IfModule mpm_worker_module(worker)、IfModule mpm_event_module(event)或者IfModule mpm_prefork_module(prefork)三个模块里面的数据。MaxClients如果设置要超过256的话,就要同步修改ServerLimit数值,因为ServerLimit的默认值是256
c) 优化KeepAlive:设置KeepAlive为Off或者将KeepAliveTimeout值改小。
d) 启用压缩:
$ sudo a2enmod deflate
$ sudo /etc/init.d/apache2 force-reload
配置要压缩的文件类型(修改/etc/apache2/mods-enabled/deflate.conf)
一般情况下,不对图片、pdf、mp3等文件进行压缩
e) 使用缓存(mod_cache):
一种基于硬盘缓存(mod_disk_cache),一种基于内存缓存(mod_mem_cache);
启用缓存命令:$ sudo a2enmod disk_cache。
在<VirtualHost>标签中添加:
<IfModule mod_disk_cache.c>
CacheEnable disk / #表示cache类型为disk,“/”指网站根目录,表示对整个网站进行缓存
CacheRoot /var/www/www.lgmtest.com/cache #cache目录必须手工创建,存放缓存的地方
CacheDefaultExpire 7200 #失效周期,单位秒
CacheMaxExpire 604800 #最大失效周期,单位秒
</IfModule>
如果你想某个目录不被缓存,添加:CacheDisable /不被缓存目录
Apache压力测试(ad)
$ sudo ab –n 20000 –c 200 http://www.lgmtest.com/
说明:向www.lgmtest.com发出20000个请求,每次发送200个。
Apache安全
1) 隐藏敏感信息:
在apache2.conf中添加:ServerTokens Prod(默认值为Full)。
2) DDOS攻击防范:
$sudo apt-get install libapache2-mod-evasive
安装后ubuntu自动会启动,我们自行创建一个配置文件:
$sudo vi /etc/apache2/conf.d/evasive,写入如下内容:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097 #哈希表大小,增大可以提高查找速度
DOSPageCount 2 #允许客户机访问同一页面的时间间隔,一旦小于该间隔,该客户机ip地址将被写入黑名单
DOSSiteCount 2 #允许客户机对全站同时进行的并发访问请求数目
DOSPageInterval 1 #定义网页访问计数的时间间隔
DOSSiteInterval 1 #定义全站访问计数的时间间隔
DOSBlockingPeriod 10 #定义了阻止客户机的时间长短,在该时间内,不允许加入黑名单的客户机访问,如果访问,阻止时间则再次刷新,默认10
DOSEmailNotify 277531070@qq.com
DOSSystemCommand “su – someuser –C ‘/sbin/… %s …’”
DOSLogDir “var/lock/mod_evasive”
DOSWhitelist 127.0.0.1 #白名单
DOSWhitelist 127.0.0.*
</IfModule>
或者在httpd.conf文件中加入:
LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
Apache日志分析
1) 安装Webalizer:$sudo apt-get install webalizer
2) 修改配置文件:
默认情况下,webalizer会安装一个每日cron任务,每天自动对上一天的apache日志进行分析。可以通过修改配置文件进行设置要分析的日志文件(修改/etc/webalizer/webalizer.conf):
LogFile /var/log/apache2/access.log.1 要分析的文件名
OutputDir /var/www/lgmtesta/webalizer 数据输出目录
LogType clf :日志类型,如果要分析ftp日志,改为ftp,如要分析Squid代理服务器日志,改为squid。
3)运行webalizer:$sudo webalizer
作者 lgm277531070