<tr><td>&nbsp;</td></tr>
<tr><td align=left><i>作者:</i>王波</td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td><font color=white>FreeBSD連載(85)：配置Apache服務(wù)器(2)<br><br><br>--------------------------------------------------------------------------------<br><br>http://www.sina.com.cn 2000年1月26日 15:03 王波<br><br>配置Apache服務(wù)器(2)<br><br>主服務(wù)器設(shè)置<br><br>　　Apache服務(wù)器需要各種設(shè)置，以定義自己使用各種參數(shù)以提供Web服務(wù)。對于使用虛擬主機的情況，除了在虛擬主機的定義項中覆蓋的設(shè)置之外（有的設(shè)置必須重新定義），這里的設(shè)置也是虛擬主機的缺省設(shè)置。<br><br>　　Port 80<br><br>　　Port定義了Standalone模式下httpd守護進(jìn)程使用的端口，標(biāo)準(zhǔn)端口是80。這個選項只對于以獨立方式啟動的服務(wù)器才有效，對于以inetd方式啟動的服務(wù)器則在inetd.conf中定義使用哪個端口。<br><br>　　在Unix下使用80端口需要root權(quán)限，一些管理員為了安全的原因，認(rèn)為httpd服務(wù)器不可能沒有安全漏洞，因而更愿意使用普通用戶的權(quán)限來啟動服務(wù)器，這樣就不能使用80端口及其他小于1024的端口，而必須使用大于 1024的端口來啟動httpd，一般情況下8000或8080也是常用的端口。而Apache httpd服務(wù)器本身可以在以root權(quán)限打開80端口后再改變?yōu)槠胀ㄓ脩羯矸葸M(jìn)行運行，這樣就減少了危險性，因而就不需要考慮這個安全問題。但是如果普通用戶也想安裝配置自己的WWW服務(wù)器，那么就不得不使用大于1024的端口，當(dāng)然普通用戶不能使用 Ports Collection進(jìn)行編譯安裝，而必須手工編譯安裝。<br><br>　　User nobody<br><br>　　Group nogroup<br><br>　　User和Group配置是Apache的安全保證，Apache在打開端口之后，就將其本身設(shè)置為這兩個選項設(shè)置的用戶和組權(quán)限進(jìn)行運行，這樣就降低了服務(wù)器的危險性。這個選項也只用于 Standalone模式，inetd模式在inetd.conf中指定運行Apache的用戶。由于服務(wù)器必須執(zhí)行改變身份的setuid()操作，因此初始進(jìn)程應(yīng)該具備root權(quán)限，如果是使用非root用戶來啟動Aapche，這個配置就不會發(fā)揮作用。<br><br>　　缺省設(shè)置為nobody和nogroup，這個用戶和組在系統(tǒng)中不擁有文件，保證了服務(wù)器本身和由它啟動的CGI 進(jìn)程沒有權(quán)限更改文件系統(tǒng)。在某些情況下，例如為了運行CGI與Unix交互，也需要讓服務(wù)器來訪問服務(wù)器上的文件，如果仍然使用nobody和nogroup，那么系統(tǒng)中將會出現(xiàn)屬于nobody的文件，這對于系統(tǒng)安全是不利的，因為其他程序也會以nobody和nogroup的權(quán)限執(zhí)行某些操作，就有可能訪問這些nobody擁有的文件，造成安全問題。一般情況下要為Web服務(wù)設(shè)定一個特定的用戶和組，同時在這里更改用戶和組設(shè)置。<br><br>　　ServerAdmin you@your.address<br><br>　　配置文件中應(yīng)該改變的也許只有ServerAdmin， 這一項用于配置WWW服務(wù)器的管理員的email地址，這將在HTTP服務(wù)出現(xiàn)錯誤的條件下返回給瀏覽器，以便讓W(xué)eb使用者和管理員聯(lián)系，報告錯誤。習(xí)慣上使用服務(wù)器上的webmaster作為WWW服務(wù)器的管理員，通過郵件服務(wù)器的別名機制，將發(fā)送到webmaster 的電子郵件發(fā)送給真正的Web管理員。<br><br>　　#ServerName new.host.name<br><br>　　缺省情況下，并不需要指定這個ServerName參數(shù)，服務(wù)器將自動通過名字解析過程來獲得自己的名字，但如果服務(wù)器的名字解析有問題（通常為反向解析不正確），或者沒有正式的DNS名字，也可以在這里指定I P地址。當(dāng)ServerName設(shè)置不正確的時候，服務(wù)器不能正常啟動。<br><br>　　通常一個Web服務(wù)器可以具有多個名字，客戶瀏覽器可以使用所有這些名字或IP地址來訪問這臺服務(wù)器，但在沒有定義虛擬主機的情況下，服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器。ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字，例如一臺服務(wù)器名字（在DNS中定義了A類型）為freebsd.exmaple.org.cn，同時為了方便記憶還定義了一個別名（CNAME記錄）為www.exmaple.org.cn，那么Apache自動解析得到的名字就為freebsd.example.org.cn，這樣不管客戶瀏覽器使用哪個名字發(fā)送請求，服務(wù)器總是告訴客戶程序自己為freebsd.example.org.cn。雖然這一般并不會造成什么問題，但是考慮到某一天服務(wù)器可能遷移到其他計算機上，而只想通過更改DNS中的www別名配置就完成遷移任務(wù)，所以不想讓客戶在其書簽中使用 freebsd記錄下這個服務(wù)器的地址，就必須使用ServerName來重新指定服務(wù)器的正式名字。<br><br>　　DocumentRoot "/usr/local/www/data"<br><br>　　DocumentRoot定義這個服務(wù)器對外發(fā)布的超文本文檔存放的路徑，客戶程序請求的UR L就被映射為這個目錄下的網(wǎng)頁文件。這個目錄下的子目錄，以及使用符號連接指出的文件和目錄都能被瀏覽器訪問，只是要在URL上使用同樣的相對目錄名。<br><br>　　注意，符號連接雖然邏輯上位于根文檔目錄之下，但實際上可以位于計算機上的任意目錄中，因此可以使客戶程序能訪問那些根文檔目錄之外的目錄，這在增加了靈活性的同時但減少了安全性。Apache在目錄的訪問控制中提供了Fol lowSymLinks選項來打開或關(guān)閉支持符號連接的特性。<br><br><br>    Options FollowSymLinks<br>    AllowOverride None<br><br> <br> <br><br>　　Apache服務(wù)器可以針對目錄進(jìn)行文檔的訪問控制，然而訪問控制可以通過兩種方式來實現(xiàn)，一個是在設(shè)置文件 httpd.conf（或access.conf）中針對每個目錄進(jìn)行設(shè)置，另一個方法是在每個目錄下設(shè)置訪問控制文件，通常訪問控制文件名字為.htaccess。雖然使用這兩個方式都能用于控制瀏覽器的訪問，然而使用配置文件的方法要求每次改動后重新啟動httpd守護進(jìn)程，比較不靈活，因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略，而使用每個目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便。<br><br>　　Directory語句就是用來定義目錄的訪問限制的，這里可以看出它的標(biāo)準(zhǔn)語法，為一個目錄定義訪問限制。上例的這個設(shè)置是針對系統(tǒng)的根目錄進(jìn)行的，設(shè)置了允許符號連接的選項FollowSymLinks ，以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這里進(jìn)行的配置，這也意味著不用查看這個目錄下的相應(yīng)訪問控制文件。<br><br>　　由于Apache對一個目錄的訪問控制設(shè)置是能夠被下一級目錄繼承的，因此對根目錄的設(shè)置將影響到它的下級目錄。注意由于AllowOverride None的設(shè)置，使得Apache服務(wù)器不需要查看根目錄下的訪問控制文件，也不需要查看以下各級目錄下的訪問控制文件，直至httpd.conf（或access.conf ）中為某個目錄指定了允許Alloworride，即允許查看訪問控制文件。由于Apache對目錄訪問控制是采用的繼承方式，如果從根目錄就允許查看訪問控制文件，那么Apache就必須一級一級的查看訪問控制文件，對系統(tǒng)性能會造成影響。而缺省關(guān)閉了根目錄的這個特性，就使得Apache從httpd.conf中具體指定的目錄向下搜尋，減少了搜尋的級數(shù)，增加了系統(tǒng)性能。因此對于系統(tǒng)根目錄設(shè)置AllowOverride None不但對于系統(tǒng)安全有幫助，也有益于系統(tǒng)性能。<br><br><br>    Options Indexes FollowSymLinks<br>    AllowOverride None<br>    Order allow,deny<br>    Allow from all<br><br> <br> <br><br>　　這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設(shè)置，設(shè)置不同的AllowOverride選項，以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系，而Options選項用于定義該目錄的特性。<br><br>　　配置文件和每個目錄下的訪問控制文件都可以設(shè)置訪問限制，設(shè)置文件是由管理員設(shè)置的，而每個目錄下的訪問控制文件是由目錄的屬主設(shè)置的，因此管理員可以規(guī)定目錄的屬主是否能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置，這就需要使用 AllowOverride參數(shù)進(jìn)行設(shè)置，通常可以設(shè)置的值為：<br><br>AllowOverride的設(shè)置 對每個目錄訪問控制文件作用的影響 <br>All 缺省值，使訪問控制文件可以覆蓋系統(tǒng)配置 <br>None 服務(wù)器忽略訪問控制文件的設(shè)置 <br>Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項 <br>FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置 <br>AuthConfig 允許訪問控制文件使用AuthName，AuthType等針對每個用戶的認(rèn)證機制，這使目錄屬主能用口令和用戶名來保護目錄 <br>Limit 允許對訪問目錄的客戶機的IP地址和名字進(jìn)行限制 <br><br>　　每個目錄具備一定屬性，可以使用Options來控制這個目錄下的一些訪問特性設(shè)置，以下為常用的特性選項：<br><br>Options設(shè)置 服務(wù)器特性設(shè)置 <br>All 所有的目錄特性都有效，這是缺省狀態(tài) <br>None 所有的目錄特性都無效 <br>FollowSymLinks 允許使用符號連接，這將使瀏覽器有可能訪問文檔根目錄（DocumentRoot）之外的文檔 <br>SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時，才允許訪問，這個設(shè)置將增加一些安全性 <br>ExecCGI 允許這個目錄下可以執(zhí)行CGI程序 <br>Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引，使得在這個目錄下沒有index.html（或其他索引文件）時，能向瀏覽器發(fā)送這個目錄下的文件列表 <br><br>　　此外，上例中還使用了Order、Allow、Deny等參數(shù)，這是Limit語句中用來根據(jù)瀏覽器的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序，而Allow、Deny則針對名字或IP進(jìn)行訪問控制設(shè)置，上例使用allow from all，表示允許所有的客戶機訪問這個目錄，而不進(jìn)行任何限制。<br><br>　　UserDir public_html<br><br>　　當(dāng)在一臺FreeBSD上運行Apache服務(wù)器時，這臺計算機上的所有用戶都可以有自己的網(wǎng)頁路徑，形如 http://freebsd.example.org.cn/~user，使用波浪符號加上用戶名就可以映射到用戶自己的網(wǎng)頁目錄上。映射目錄為用戶個人主目錄下的一個子目錄，其名字就用UseDir這個參數(shù)進(jìn)行定義，缺省為public_html。如果不想為正式的用戶提供網(wǎng)頁服務(wù)，使用DISABLED作UserDir的參數(shù)即可。<br><br>#<br>#    AllowOverride FileInfo AuthConfig Limit<br>#    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec<br>#    <br>#        Order allow,deny<br>#        Allow from all<br>#    <br>#    <br>#        Order deny,allow<br>#        Deny from all<br>#    <br>#<br> <br> <br><br>　　這里可以看到Directory的另一個用法，即可以通過簡單的模式匹配方法，針對分布在不同目錄下的子目錄定義訪問控制權(quán)限。這樣設(shè)置就需要Apache服務(wù)器對每個路徑進(jìn)行額外的處理，因此就會降低服務(wù)器的性能，所以缺省情況并沒有打開這種訪問限制。<br><br>　　這里可以看到另外一個語句Limit，Limit語句就是用來針對具體的請求方法來設(shè)定訪問控制的，其中可以使用GET、POST等各種服務(wù)器支持的請求方法做Limit的參數(shù)，來設(shè)定對不同請求方法的訪問限制。一般可以打開對GET、POST、HEAD三種請求方法，而屏蔽其他的請求方法，以增加安全性。Limit語句中，可以使用Order 、Allow、Deny，Allow和Deny中可以使用匹配的方法針對域名和IP進(jìn)行限制，只是對于域名是從后向前匹配，對于IP地址則從前向后匹配。<br><br>　　DirectoryIndex index.html<br><br>　　很多情況下，URL中并沒有指定文檔的名字，而只是給出了一個目錄名。那么Apache服務(wù)器就自動返回這個目錄下由DirectoryIndex定義的文件，當(dāng)然可以指定多個文件名字，系統(tǒng)會這個目錄下順序搜索。當(dāng)所有由DirectoryIndex指定的文件都不存在時，Apache服務(wù)器可以根據(jù)系統(tǒng)設(shè)置，生成這個目錄下的所有文件列表，提供用戶選擇。此時該目錄的訪問控制選項中的Indexes選項（Options Indexes ）必須打開，以使得服務(wù)器能夠生成目錄列表，否則Apache將拒絕訪問。<br><br>　　AccessFileName .htaccess<br><br>　　AccessFileName定義每個目錄下的訪問控制文件的文件名，缺省為.htaccess ，可以通過更改這個文件，來改變不同目錄的訪問控制限制。<br><br><br>    Order allow,deny<br>    Deny from all<br><br> <br> <br><br>　　除了可以針對目錄進(jìn)行訪問控制之外，還可以根據(jù)文件來設(shè)置訪問控制，這就是File語句的任務(wù)。使用File 語句，不管文件處于哪個目錄，只要名字匹配，就必須接受相應(yīng)的訪問控制。這個語句對于系統(tǒng)安全比較重要，例如上例將屏蔽所有的使用者不能訪問.htaccess文件，這樣就避免.htaccess中的關(guān)鍵安全信息不至于被客戶獲取。<br><br>　　#CacheNegotiatedDocs<br><br>　　缺省情況下如果代理服務(wù)器和Apache服務(wù)器協(xié)商是否緩存其網(wǎng)頁，Apache給予否定的回答，不希望自己的網(wǎng)頁被代理服務(wù)器緩存。然而這樣就不能有效的利用代理服務(wù)器的優(yōu)勢，因此可以設(shè)置CacheNegotiatieDocs 選項， 使得代理服務(wù)器可以對網(wǎng)頁進(jìn)行緩存。然而即使不設(shè)置這個選項，有的代理服務(wù)器（或通過調(diào)整設(shè)置）也能對網(wǎng)頁進(jìn)行緩存。<br><br>　　UseCanonicalName On<br><br>　　打開這個UseCanonicalName是Web服務(wù)器的標(biāo)準(zhǔn)做法，因為客戶發(fā)送的大部分請求都是對本服務(wù)器的引用，這樣服務(wù)器就能使用ServerName和Port選項的設(shè)置內(nèi)容構(gòu)建完整的URL，并回應(yīng)客戶，使瀏覽器能得到規(guī)范的URL。如果將這個參數(shù)設(shè)置為Off，那么Apache將使用從客戶請求中獲得服務(wù)器的名字和端口值（支持HTTP 1.1的客戶的請求中將會有這些信息），重新構(gòu)建URL。<br><br>　　TypesConfig /usr/local/etc/apache/mime.types<br><br>　　TypeConfig用于設(shè)置保存有不同的MIME類型數(shù)據(jù)的文件名，在FreeBSD下缺省設(shè)置為/usr/local/etc/apache/mime.types。<br><br>　　DefaultType text/plain<br><br>　　如果Web服務(wù)器不能決定一個文檔的缺省類型，這通常表示文檔使用了非標(biāo)準(zhǔn)的后綴，那么服務(wù)器就使用 DefaultType定義的MIME類型將文檔發(fā)送給客戶瀏覽器。這里的設(shè)置為text/plain，這樣設(shè)置的問題是，如果服務(wù)器不能判斷出文檔的MIME，那么大部分情況下這個文檔為一個二進(jìn)制文檔，但使用 text/plain格式發(fā)送回去，瀏覽器將在內(nèi)部打開它而不會提示保存。因此建議將這個設(shè)置更改為 application/octet-stream，這樣瀏覽器將提示用戶進(jìn)行保存。<br><br><br>    MIMEMagicFile /usr/local/etc/apache/magic<br><br> <br> <br><br>　　除了從文件的后綴出發(fā)來判斷文件的MIME類型之外，Apache還可以進(jìn)一步分析文件的一些特征，來判斷文件的真實MIME類型。這個功能是由mod_mime_magic模塊實現(xiàn)的，它需要一個記錄各種MIME類型特征的文件，以進(jìn)行分析判斷。上面的設(shè)置是一個條件語句，如果載入了這個模塊，就必須指定相應(yīng)的標(biāo)志文件magic的位置。 <br><br>　　HostnameLookups Off<br><br>　　通常連接時，服務(wù)器僅僅可以得到客戶機的IP地址，如果要想獲得客戶機的主機名，以進(jìn)行日志記錄和提供給 CGI程序使用，就需要使用這個HostnameLookups選項，將其設(shè)置為On打開DNS反查功能。但是這將使服務(wù)器對每次客戶請求都進(jìn)行DNS查詢，增加了系統(tǒng)開銷，使得反應(yīng)變慢，因此缺省設(shè)置為使用Off關(guān)閉此選項。關(guān)閉選項之后，服務(wù)器就不會獲得客戶機的主機名，而只能使用IP地址來記錄客戶。<br><br>ErrorLog /var/log/httpd-error.log<br>LogLevel warn<br>LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined<br>LogFormat "%h %l %u %t \"%r\" %>s %b" common<br>LogFormat "%{Referer}i -> %U" referer<br>LogFormat "%{User-agent}i" agent<br>#CustomLog /var/log/httpd-access.log common<br>#CustomLog /var/log/httpd-referer.log referer<br>#CustomLog /var/log/httpd-agent.log agent<br>CustomLog /var/log/httpd-access.log combined<br> <br> <br><br>　　這里定義了系統(tǒng)日志的形式，對于服務(wù)器錯誤記錄， 由ErrorLog、LogLevel 來定義不同的錯誤日志文件及其記錄內(nèi)容。 <br><br>　　對于系統(tǒng)的訪問日志，缺省使用CustomLog參數(shù)定義日志的位置，缺省使用combined 參數(shù)指定將所有的訪問日志放在一個文件中，然而也可以將不同種類的訪問日志放在不同的日志記錄文件中，這是通過在 CustomLog中指定不同的記錄類型來完成的。common表示普通的對單頁面請求訪問記錄，referer表示每個頁面的引用記錄，可以看出一個頁面中包含的請求數(shù)，agent表示對客戶機的類型記錄，顯然可以將現(xiàn)有的combined 定義的設(shè)置行注釋掉，并使用common、referer和agent作為CustomLog的參數(shù)，來為不同種類的日志分別指定日志記錄文件。<br><br>　　顯然，LogFormat是用于定義不同類型的日志進(jìn)行記錄時使用的格式， 這里使用了以%開頭的宏定義，以記錄不同的內(nèi)容。<br><br>　　如果這些參數(shù)指定的文件使用的是相對路徑，那么就是相對于ServerRoot的路徑。<br><br>　　ServerSignature On<br><br>　　一些情況下，例如當(dāng)客戶請求的網(wǎng)頁并不存在時，服務(wù)器將產(chǎn)生錯誤文檔，缺省情況下由于打開了 ServerSignature選項，錯誤文檔的最后一行將包含服務(wù)器的名字、Apache的版本等信息。有的管理員更傾向于不對外顯示這些信息，就可以將這個參數(shù)設(shè)置為Off，或者設(shè)置為Email，最后一行將替換為對ServerAdmin 的Email提示。</font></td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td align=right><i>來源:</i><a href="javascript:if(confirm('http://freebsd.online.ha.cn/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://freebsd.online.ha.cn/'" tppabs="http://freebsd.online.ha.cn/">http://freebsd.online.ha.cn/</a></td></tr>
</table>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
聲明：本站的文章和軟件是本人從網(wǎng)上收集整理的（除本人的作品之外），所有版權(quán)屬于作者，<br>
如有侵犯您的權(quán)益，請指出，本站將立即改正，謝謝.
<hr  width=500>
<br>
<font color=#ffffff>Copyright 2000 <a href="javascript:if(confirm('http://www.newok.com/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.newok.com/'" tppabs="http://www.newok.com/" class=t1>www.newok.com</a></font>
</div>
</body>
</html>