|
義虛擬主機的情況下���,服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器�����。
ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字��,例如一臺服務(wù)器名字(在DNS中定義了A類
型)為freebsd.exmaple.org.cn�,同時為了方便記憶還定義了一個別名(CNAME記錄)為
www.exmaple.org.cn,那么Apache自動解析得到的名字就為linux.example.org.cn�,這樣不管
客戶瀏覽器使用哪個名字發(fā)送請求,服務(wù)器總是告訴客戶程序自己為linux.example.org.cn�。
雖然這一般并不會造成什么問題,但是考慮到某一天服務(wù)器可能遷移到其他計算機上�����,而只想通過更改DNS中的www別名配置就完成遷移任務(wù)���,所以不想讓客戶在其書簽中使用 linux記錄下這
個服務(wù)器的地址,就必須使用ServerName來重新指定服務(wù)器的正式名字�����。
DocumentRoot “/usr/local/www/data“
DocumentRoot定義這個服務(wù)器對外發(fā)布的超文本文檔存放的路徑�,客戶程序請求的UR L就被映射為這個目錄下的網(wǎng)頁文件。這個目錄下的子目錄�����,以及使用符號連接指出的文件和目錄都能被瀏覽器訪問,只是要在URL上使用同樣的相對目錄名��。
注意����,符號連接雖然邏輯上位于根文檔目錄之下,但實際上可以位于計算機上的任意目錄中����,因此可以使客戶程序能訪問那些根文檔目錄之外的目錄,這在增加了靈活性的同時但減少
了安全性���。Apache在目錄的訪問控制中提供了FollowSymLinks選項來打開或關(guān)閉支持符號連接的
特性���。
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
Apache服務(wù)器可以針對目錄進行文檔的訪問控制,然而訪問控制可以通過兩種方式來實現(xiàn)����,一個是在設(shè)置件 httpd.conf(或access.conf)中針對每個目錄進行設(shè)置,另一個方法是
在每個目錄下設(shè)置訪問控制文件�,通常訪問控制文件名字為.htaccess。雖然使用這兩個方式都能用于控制瀏覽器的訪問�,然而使用配置文件的方法要求每次改動后重新啟動httpd守護進程�����,比較不靈活���,因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略,而使用每個目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便�����。
<Directory “H:/web001“>
Directory語句就是用來定義目錄的訪問限制的�,這里可以看出它的標(biāo)準(zhǔn)語法,為一個目錄定義訪問限制���。上例的這個設(shè)置是針對系統(tǒng)的根目錄進行的���,設(shè)置了允許符號連接的選項
FollowSymLinks ,以及使用AllowOverride None表示不允許這個目錄下的訪問控制文件來改變這里進行的配置�,這也意味著不用查看這個目錄下的相應(yīng)訪問控制文件。
由于Apache對一個目錄的訪問控制設(shè)置是能夠被下一級目錄繼承的�����,因此對根目錄的設(shè)置將影響到它的下級目錄���。注意由于AllowOverride None的設(shè)置���,使得Apache服務(wù)器不需要查看
根目錄下的訪問控制文件,也不需要查看以下各級目錄下的訪問控制文件�����,直至httpd.conf(或access.conf )中為某個目錄指定了允許Alloworride��,即允許查看訪問控制文件�。由于Apache
對目錄訪問控制是采用的繼承方式,如果從根目錄就允許查看訪問控制文件����,那么Apache就必須一級一級的查看訪問控制文件,對系統(tǒng)性能會造成影響��。而缺省關(guān)閉了根目錄的這個特性���,就使
得Apache從httpd.conf中具體指定的目錄向下搜尋�����,減少了搜尋的級數(shù)����,增加了系統(tǒng)性能。因此對于系統(tǒng)根目錄設(shè)置AllowOverride None不但對于系統(tǒng)安全有幫助����,也有益于系統(tǒng)性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設(shè)置��,設(shè)置不同的AllowOverride選項�,以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系,而Options選項用于定義該
目錄的特性�。
配置文件和每個目錄下的訪問控制文件都可以設(shè)置訪問限制,設(shè)置文件是由管理員設(shè)置的���,而每個目錄下的訪問控制文件是由目錄的屬主設(shè)置的���,因此管理員可以規(guī)定目錄的屬主是否
能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置,這就需要使用 AllowOverride參數(shù)進行設(shè)置�����,通�����?梢栽O(shè)置的
值為:
AllowOverride的設(shè)置 對每個目錄訪問控制文件作用的影響
All 缺省值�����,使訪問控制文件可以覆蓋系統(tǒng)配置
None 服務(wù)器忽略訪問控制文件的設(shè)置
Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項
FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置
AuthConfig 允許訪問控制文件使用AuthName����,AuthType等針對每個用戶的認(rèn)證機制,這使
目錄屬主能用口令和用戶名來保護目錄
Limit 允許對訪問目錄的客戶機的IP地址和名字進行限制
每個目錄具備一定屬性�����,可以使用Options來控制這個目錄下的一些訪問特性設(shè)置����,以下為
常用的特性選項:
Options設(shè)置 服務(wù)器特性設(shè)置
All 所有的目錄特性都有效,這是缺省狀態(tài)
None 所有的目錄特性都無效
FollowSymLinks 允許使用符號連接���,這將使瀏覽器有可能訪問文檔根目錄(DocumentRoot
��。┲獾奈臋n
SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時���,才允許
訪問,這個設(shè)置將增加一些安全性
ExecCGI 允許這個目錄下可以執(zhí)行CGI程序
Indexes 允許瀏覽器可以生成這個目錄下所有文件的索引�,使得在這個目錄下沒有
index.html(或其他索引文件)時��,能向瀏覽器發(fā)送這個目錄下的文件列表
此外�����,上例中還使用了Order����、Allow����、Deny等參數(shù),這是Limit語句中用來根據(jù)瀏覽器
的域名和 IP地址來控制訪問的一種方式��。其中Order定義處理Allow和Deny的順序��,而Allow��、Deny則針對名字或IP進行訪問控制設(shè)置����,上例使用allow from all,表示允許所有的客戶機訪問
這個目錄�,而不進行任何限制。
UserDir public_html (Win32=“My Documents/My Website“)
當(dāng)在一臺linux上運行Apache服務(wù)器時,這臺計算機上的所有用戶都可以有自己的網(wǎng)頁路徑���,形如 http://linux.example.org.cn/~user�����,使用波浪符號加上用戶名就可以映射到
用戶自己的網(wǎng)頁目錄上。映射目錄為用戶個人主目錄下的一個子目錄����,其名字就用UseDir這個參
數(shù)進行定義,缺省為public_html����。如果不想為正式的用戶提供網(wǎng)頁服務(wù),使用DISABLED作UserDir的參數(shù)即可�。
#
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
#
# Order allow,deny
# Allow from all
#
#
# Order deny,allow
# Deny from all
#
#
這里可以看到Directory的另一個用法,即可以通過簡單的模式匹配方法��,針對分布在
不同目錄下的子目錄定義訪問控制權(quán)限�����。這樣設(shè)置就需要Apache服務(wù)器對每個路徑進行額外的處
理��,因此就會降低服務(wù)器的性能,所以缺省情況并沒有打開這種訪問限制�����。
這里可以看到另外一個語句Limit����,Limit語句就是用來針對具體的請求方法來設(shè)定訪問控制的,其中可以使用GET�����、POST等各種服務(wù)器支持的請求方法做Limit的參數(shù)����,來設(shè)定對不同請求方法的訪問限制。一般可以打開對GET��、POST�、HEAD三種請求方法,而屏蔽其他的請求方法��,以增加安全性�����。Limit語句中,可以使用Order �����、Allow����、Deny,Allow和Deny中可以使用匹配的方法針對域名和IP進行限制�,只是對于域名是從后向前匹配�,對于IP地址則從前向后匹配。
DirectoryIndex index.html
很多情況下��,URL中并沒有指定文檔的名字���,而只是給出了一個目錄名�。那么Apache服務(wù)器就自動返回這個目錄下由DirectoryIndex定義的文件�����,當(dāng)然可以指定多個文件名字����,系統(tǒng)會這個目錄下順序搜索。當(dāng)所有由DirectoryIndex指定的文件都不存在時,Apache服務(wù)器可以根據(jù)系統(tǒng)設(shè)置����,生成這個目錄下的所有文件列表,提供用戶選擇�����。此時該目錄的訪問控制選項中的
Indexes選項(Options Indexes )必須打開���,以使得服務(wù)器能夠生成目錄列表�����,否則Apache將拒絕訪問���。
AccessFileName .htaccess
AccessFileName定義每個目錄下的訪問控制文件的文件名,缺省為.htaccess �,可以通過更改這個文件,來改變不同目錄的訪問控制限制���。
Order allow,deny
Deny from all
除了可以針對目錄進行訪問控制之外����,還可以根據(jù)文件來設(shè)置訪問控制,這就是File語句的任務(wù)��。使用File 語句�����,不管文件處于哪個目錄���,只要名字匹配�����,就必須接受相應(yīng)的訪問控
制����。這個語句對于系統(tǒng)安全比較重要����,例如上例將屏蔽所有的使用者不能訪問.htaccess文件�����,這樣就避免.htaccess中的關(guān)鍵安全信息不至于被客戶獲取����。
TypesConfig /usr/local/etc/apache/mime.types
TypeConfig用于設(shè)置保存有不同的MIME類型數(shù)據(jù)的文件名�,在FreeBSD下缺省設(shè)置為/usr/local/etc/apache/mime.types����。
DefaultType text/plain
如果Web服務(wù)器不能決定一個文檔的缺省類型,這通常表示文檔使用了非標(biāo)準(zhǔn)的后綴�,那么服務(wù)器就使用 DefaultType定義的MIME類型將文檔發(fā)送給客戶瀏覽器。這里的設(shè)置為text/plain�,這樣設(shè)置的問題是,如果服務(wù)器不能判斷出文檔的MIME�����,那么大部分情況下這個文
檔為一個二進制文檔�����,但使用 text/plain格式發(fā)送回去���,瀏覽器將在內(nèi)部打開它而不會提示保存�。因此建議將這個設(shè)置更改為 application/octet-stream�,這樣瀏覽器將提示用戶進行保存
。
MIMEMagicFile /usr/local/etc/apache/magic
除了從文件的后綴出發(fā)來判斷文件的MIME類型之外�����,Apache還可以進一步分析文件的一些特征,來判斷文件的真實MIME類型�����。這個功能是由mod_mime_magic模塊實現(xiàn)的��,它需要一個記錄各種MIME類型特征的文件���,以進行分析判斷���。上面的設(shè)置是一個條件語句,如果載入了這個模塊�����,就必須指定相應(yīng)的標(biāo)志文件magic的位置���。
HostnameLookups Off
通常連接時,服務(wù)器僅僅可以得到客戶機的IP地址����,如果要想獲得客戶機的主機名��,以進行日志記錄和提供給 CGI程序使用�����,就需要使用這個HostnameLookups選項�����,將其設(shè)置為On打
開DNS反查功能�����。但是這將使服務(wù)器對每次客戶請求都進行DNS查詢�,增加了系統(tǒng)開銷�����,使得反應(yīng)變慢�,因此缺省設(shè)置為使用Off關(guān)閉此選項。關(guān)閉選項之后����,服務(wù)器就不會獲得客戶機的主機名,而只能使用IP地址來記錄客戶����。
ErrorLog /var/log/httpd-error.log
LogLevel warn
LogFormat “%h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-Agent}i\““
combined
LogFormat “%h %l %u %t \“%r\“ %>s %b“ common
LogFormat “%{Referer}i -> %U“ referer
LogFormat “%{User-agent}i“ agent
#CustomLog /var/log/httpd-access.log common
#CustomLog /var/log/httpd-referer.log referer
#CustomLog /var/log/httpd-agent.log agent
CustomLog /var/log/httpd-access.log combined
這里定義了系統(tǒng)日志的形式����,對于服務(wù)器錯誤記錄�����, 由ErrorLog�����、LogLevel 來定義不
同的錯誤日志文件及其記錄內(nèi)容���。
對于系統(tǒng)的訪問日志��,缺省使用CustomLog參數(shù)定義日志的位置�����,缺省使用combined 參數(shù)指定將所有的訪問日志放在一個文件中�,然而也可以將不同種類的訪問日志放在不同的日志記
錄文件中�����,這是通過在 CustomLog中指定不同的記錄類型來完成的���。common表示普通的對單頁面請求訪問記錄�����,referer表示每個頁面的引用記錄�����,可以看出一個頁面中包含的請求數(shù)�����,agent表示對客戶機的類型記錄��,顯然可以將現(xiàn)有的combined 定義的設(shè)置行注釋掉�����,并使用common�、referer和agent作為CustomLog的參數(shù)�����,來為不同種類的日志分別指定日志記錄文件。
顯然��,LogFormat是用于定義不同類型的日志進行記錄時使用的格式�, 這里使用了以%開頭
的宏定義,以記錄不同的內(nèi)容�。
如果這些參數(shù)指定的文件使用的是相對路徑,那么就是相對于ServerRoot的路徑��。
ServerSigna
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
