義虛擬主機(jī)的情況下,服務(wù)器總是以自己的正式名字回應(yīng)瀏覽器。
ServerName就定義了Web服務(wù)器自己承認(rèn)的正式名字,例如一臺服務(wù)器名字(在DNS中定義了A類
型)為freebsd.exmaple.org.cn,同時(shí)為了方便記憶還定義了一個(gè)別名(CNAME記錄)為
www.exmaple.org.cn,那么Apache自動解析得到的名字就為linux.example.org.cn,這樣不管
客戶瀏覽器使用哪個(gè)名字發(fā)送請求,服務(wù)器總是告訴客戶程序自己為linux.example.org.cn。
雖然這一般并不會造成什么問題,但是考慮到某一天服務(wù)器可能遷移到其他計(jì)算機(jī)上,而只想通過更改DNS中的www別名配置就完成遷移任務(wù),所以不想讓客戶在其書簽中使用 linux記錄下這
個(gè)服務(wù)器的地址,就必須使用ServerName來重新指定服務(wù)器的正式名字。
DocumentRoot “/usr/local/www/data“
DocumentRoot定義這個(gè)服務(wù)器對外發(fā)布的超文本文檔存放的路徑,客戶程序請求的UR L就被映射為這個(gè)目錄下的網(wǎng)頁文件。這個(gè)目錄下的子目錄,以及使用符號連接指出的文件和目錄都能被瀏覽器訪問,只是要在URL上使用同樣的相對目錄名。
注意,符號連接雖然邏輯上位于根文檔目錄之下,但實(shí)際上可以位于計(jì)算機(jī)上的任意目錄中,因此可以使客戶程序能訪問那些根文檔目錄之外的目錄,這在增加了靈活性的同時(shí)但減少
了安全性。Apache在目錄的訪問控制中提供了FollowSymLinks選項(xiàng)來打開或關(guān)閉支持符號連接的
特性。
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
Apache服務(wù)器可以針對目錄進(jìn)行文檔的訪問控制,然而訪問控制可以通過兩種方式來實(shí)現(xiàn),一個(gè)是在設(shè)置件 httpd.conf(或access.conf)中針對每個(gè)目錄進(jìn)行設(shè)置,另一個(gè)方法是
在每個(gè)目錄下設(shè)置訪問控制文件,通常訪問控制文件名字為.htaccess。雖然使用這兩個(gè)方式都能用于控制瀏覽器的訪問,然而使用配置文件的方法要求每次改動后重新啟動httpd守護(hù)進(jìn)程,比較不靈活,因此主要用于配置服務(wù)器系統(tǒng)的整體安全控制策略,而使用每個(gè)目錄下的.htaccess文件設(shè)置具體目錄的訪問控制更為靈活方便。
<Directory “H:/web001“>
Directory語句就是用來定義目錄的訪問限制的,這里可以看出它的標(biāo)準(zhǔn)語法,為一個(gè)目錄定義訪問限制。上例的這個(gè)設(shè)置是針對系統(tǒng)的根目錄進(jìn)行的,設(shè)置了允許符號連接的選項(xiàng)
FollowSymLinks ,以及使用AllowOverride None表示不允許這個(gè)目錄下的訪問控制文件來改變這里進(jìn)行的配置,這也意味著不用查看這個(gè)目錄下的相應(yīng)訪問控制文件。
由于Apache對一個(gè)目錄的訪問控制設(shè)置是能夠被下一級目錄繼承的,因此對根目錄的設(shè)置將影響到它的下級目錄。注意由于AllowOverride None的設(shè)置,使得Apache服務(wù)器不需要查看
根目錄下的訪問控制文件,也不需要查看以下各級目錄下的訪問控制文件,直至httpd.conf(或access.conf )中為某個(gè)目錄指定了允許Alloworride,即允許查看訪問控制文件。由于Apache
對目錄訪問控制是采用的繼承方式,如果從根目錄就允許查看訪問控制文件,那么Apache就必須一級一級的查看訪問控制文件,對系統(tǒng)性能會造成影響。而缺省關(guān)閉了根目錄的這個(gè)特性,就使
得Apache從httpd.conf中具體指定的目錄向下搜尋,減少了搜尋的級數(shù),增加了系統(tǒng)性能。因此對于系統(tǒng)根目錄設(shè)置AllowOverride None不但對于系統(tǒng)安全有幫助,也有益于系統(tǒng)性能。
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
這里定義的是系統(tǒng)對外發(fā)布文檔的目錄的訪問設(shè)置,設(shè)置不同的AllowOverride選項(xiàng),以定義配置文件中的目錄設(shè)置和用戶目錄下的安全控制文件的關(guān)系,而Options選項(xiàng)用于定義該
目錄的特性。
配置文件和每個(gè)目錄下的訪問控制文件都可以設(shè)置訪問限制,設(shè)置文件是由管理員設(shè)置的,而每個(gè)目錄下的訪問控制文件是由目錄的屬主設(shè)置的,因此管理員可以規(guī)定目錄的屬主是否
能覆蓋系統(tǒng)在設(shè)置文件中的設(shè)置,這就需要使用 AllowOverride參數(shù)進(jìn)行設(shè)置,通?梢栽O(shè)置的
值為:
AllowOverride的設(shè)置 對每個(gè)目錄訪問控制文件作用的影響
All 缺省值,使訪問控制文件可以覆蓋系統(tǒng)配置
None 服務(wù)器忽略訪問控制文件的設(shè)置
Options 允許訪問控制文件中可以使用Options參數(shù)定義目錄的選項(xiàng)
FileInfo 允許訪問控制文件中可以使用AddType等參數(shù)設(shè)置
AuthConfig 允許訪問控制文件使用AuthName,AuthType等針對每個(gè)用戶的認(rèn)證機(jī)制,這使
目錄屬主能用口令和用戶名來保護(hù)目錄
Limit 允許對訪問目錄的客戶機(jī)的IP地址和名字進(jìn)行限制
每個(gè)目錄具備一定屬性,可以使用Options來控制這個(gè)目錄下的一些訪問特性設(shè)置,以下為
常用的特性選項(xiàng):
Options設(shè)置 服務(wù)器特性設(shè)置
All 所有的目錄特性都有效,這是缺省狀態(tài)
None 所有的目錄特性都無效
FollowSymLinks 允許使用符號連接,這將使瀏覽器有可能訪問文檔根目錄(DocumentRoot
。┲獾奈臋n
SymLinksIfOwnerMatch 只有符號連接的目的與符號連接本身為同一用戶所擁有時(shí),才允許
訪問,這個(gè)設(shè)置將增加一些安全性
ExecCGI 允許這個(gè)目錄下可以執(zhí)行CGI程序
Indexes 允許瀏覽器可以生成這個(gè)目錄下所有文件的索引,使得在這個(gè)目錄下沒有
index.html(或其他索引文件)時(shí),能向?yàn)g覽器發(fā)送這個(gè)目錄下的文件列表
此外,上例中還使用了Order、Allow、Deny等參數(shù),這是Limit語句中用來根據(jù)瀏覽器
的域名和 IP地址來控制訪問的一種方式。其中Order定義處理Allow和Deny的順序,而Allow、Deny則針對名字或IP進(jìn)行訪問控制設(shè)置,上例使用allow from all,表示允許所有的客戶機(jī)訪問
這個(gè)目錄,而不進(jìn)行任何限制。
UserDir public_html (Win32=“My Documents/My Website“)
當(dāng)在一臺linux上運(yùn)行Apache服務(wù)器時(shí),這臺計(jì)算機(jī)上的所有用戶都可以有自己的網(wǎng)頁路徑,形如 http://linux.example.org.cn/~user,使用波浪符號加上用戶名就可以映射到
用戶自己的網(wǎng)頁目錄上。映射目錄為用戶個(gè)人主目錄下的一個(gè)子目錄,其名字就用UseDir這個(gè)參
數(shù)進(jìn)行定義,缺省為public_html。如果不想為正式的用戶提供網(wǎng)頁服務(wù),使用DISABLED作UserDir的參數(shù)即可。
#
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
#
# Order allow,deny
# Allow from all
#
#
# Order deny,allow
# Deny from all
#
#
這里可以看到Directory的另一個(gè)用法,即可以通過簡單的模式匹配方法,針對分布在
不同目錄下的子目錄定義訪問控制權(quán)限。這樣設(shè)置就需要Apache服務(wù)器對每個(gè)路徑進(jìn)行額外的處
理,因此就會降低服務(wù)器的性能,所以缺省情況并沒有打開這種訪問限制。
這里可以看到另外一個(gè)語句Limit,Limit語句就是用來針對具體的請求方法來設(shè)定訪問控制的,其中可以使用GET、POST等各種服務(wù)器支持的請求方法做Limit的參數(shù),來設(shè)定對不同請求方法的訪問限制。一般可以打開對GET、POST、HEAD三種請求方法,而屏蔽其他的請求方法,以增加安全性。Limit語句中,可以使用Order 、Allow、Deny,Allow和Deny中可以使用匹配的方法針對域名和IP進(jìn)行限制,只是對于域名是從后向前匹配,對于IP地址則從前向后匹配。
DirectoryIndex index.html
很多情況下,URL中并沒有指定文檔的名字,而只是給出了一個(gè)目錄名。那么Apache服務(wù)器就自動返回這個(gè)目錄下由DirectoryIndex定義的文件,當(dāng)然可以指定多個(gè)文件名字,系統(tǒng)會這個(gè)目錄下順序搜索。當(dāng)所有由DirectoryIndex指定的文件都不存在時(shí),Apache服務(wù)器可以根據(jù)系統(tǒng)設(shè)置,生成這個(gè)目錄下的所有文件列表,提供用戶選擇。此時(shí)該目錄的訪問控制選項(xiàng)中的
Indexes選項(xiàng)(Options Indexes )必須打開,以使得服務(wù)器能夠生成目錄列表,否則Apache將拒絕訪問。
AccessFileName .htaccess
AccessFileName定義每個(gè)目錄下的訪問控制文件的文件名,缺省為.htaccess ,可以通過更改這個(gè)文件,來改變不同目錄的訪問控制限制。
Order allow,deny
Deny from all
除了可以針對目錄進(jìn)行訪問控制之外,還可以根據(jù)文件來設(shè)置訪問控制,這就是File語句的任務(wù)。使用File 語句,不管文件處于哪個(gè)目錄,只要名字匹配,就必須接受相應(yīng)的訪問控
制。這個(gè)語句對于系統(tǒng)安全比較重要,例如上例將屏蔽所有的使用者不能訪問.htaccess文件,這樣就避免.htaccess中的關(guān)鍵安全信息不至于被客戶獲取。
TypesConfig /usr/local/etc/apache/mime.types
TypeConfig用于設(shè)置保存有不同的MIME類型數(shù)據(jù)的文件名,在FreeBSD下缺省設(shè)置為/usr/local/etc/apache/mime.types。
DefaultType text/plain
如果Web服務(wù)器不能決定一個(gè)文檔的缺省類型,這通常表示文檔使用了非標(biāo)準(zhǔn)的后綴,那么服務(wù)器就使用 DefaultType定義的MIME類型將文檔發(fā)送給客戶瀏覽器。這里的設(shè)置為text/plain,這樣設(shè)置的問題是,如果服務(wù)器不能判斷出文檔的MIME,那么大部分情況下這個(gè)文
檔為一個(gè)二進(jìn)制文檔,但使用 text/plain格式發(fā)送回去,瀏覽器將在內(nèi)部打開它而不會提示保存。因此建議將這個(gè)設(shè)置更改為 application/octet-stream,這樣瀏覽器將提示用戶進(jìn)行保存
。
MIMEMagicFile /usr/local/etc/apache/magic
除了從文件的后綴出發(fā)來判斷文件的MIME類型之外,Apache還可以進(jìn)一步分析文件的一些特征,來判斷文件的真實(shí)MIME類型。這個(gè)功能是由mod_mime_magic模塊實(shí)現(xiàn)的,它需要一個(gè)記錄各種MIME類型特征的文件,以進(jìn)行分析判斷。上面的設(shè)置是一個(gè)條件語句,如果載入了這個(gè)模塊,就必須指定相應(yīng)的標(biāo)志文件magic的位置。
HostnameLookups Off
通常連接時(shí),服務(wù)器僅僅可以得到客戶機(jī)的IP地址,如果要想獲得客戶機(jī)的主機(jī)名,以進(jìn)行日志記錄和提供給 CGI程序使用,就需要使用這個(gè)HostnameLookups選項(xiàng),將其設(shè)置為On打
開DNS反查功能。但是這將使服務(wù)器對每次客戶請求都進(jìn)行DNS查詢,增加了系統(tǒng)開銷,使得反應(yīng)變慢,因此缺省設(shè)置為使用Off關(guān)閉此選項(xiàng)。關(guān)閉選項(xiàng)之后,服務(wù)器就不會獲得客戶機(jī)的主機(jī)名,而只能使用IP地址來記錄客戶。
ErrorLog /var/log/httpd-error.log
LogLevel warn
LogFormat “%h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-Agent}i\““
combined
LogFormat “%h %l %u %t \“%r\“ %>s %b“ common
LogFormat “%{Referer}i -> %U“ referer
LogFormat “%{User-agent}i“ agent
#CustomLog /var/log/httpd-access.log common
#CustomLog /var/log/httpd-referer.log referer
#CustomLog /var/log/httpd-agent.log agent
CustomLog /var/log/httpd-access.log combined
這里定義了系統(tǒng)日志的形式,對于服務(wù)器錯(cuò)誤記錄, 由ErrorLog、LogLevel 來定義不
同的錯(cuò)誤日志文件及其記錄內(nèi)容。
對于系統(tǒng)的訪問日志,缺省使用CustomLog參數(shù)定義日志的位置,缺省使用combined 參數(shù)指定將所有的訪問日志放在一個(gè)文件中,然而也可以將不同種類的訪問日志放在不同的日志記
錄文件中,這是通過在 CustomLog中指定不同的記錄類型來完成的。common表示普通的對單頁面請求訪問記錄,referer表示每個(gè)頁面的引用記錄,可以看出一個(gè)頁面中包含的請求數(shù),agent表示對客戶機(jī)的類型記錄,顯然可以將現(xiàn)有的combined 定義的設(shè)置行注釋掉,并使用common、referer和agent作為CustomLog的參數(shù),來為不同種類的日志分別指定日志記錄文件。
顯然,LogFormat是用于定義不同類型的日志進(jìn)行記錄時(shí)使用的格式, 這里使用了以%開頭
的宏定義,以記錄不同的內(nèi)容。
如果這些參數(shù)指定的文件使用的是相對路徑,那么就是相對于ServerRoot的路徑。
ServerSigna
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206 本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|