设为首页 收藏本站
查看: 1669|回复: 0

[经验分享] LAMP之配置apache

[复制链接]

尚未签到

发表于 2018-11-19 10:29:37 | 显示全部楼层 |阅读模式
   在实际的生产环境中我们对网站的安全机制要求较高,这就需要我们对apache
  行一些设置,用来限制客户端对服务端的不必要的请求。
  

  1.设置apache用户认证
  

   apache用户认证可通过为apache下的某些目录设置密码的方式,限制用户访问
  这些目录
  

  配置如下:
# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置中加入如下配置:
   # 指定要验证的目录
        AllowOverride AuthConfig     
        AuthName "xiaoyuan"   # 自定义
        AuthType Basic
        AuthUserFile /data/.htpasswd     # 指定用户密码文件在哪里
        require valid-user

# /usr/local/apache2/bin/htpasswd -cm  /data/.htpasswd  xiaoyuan  
这一步是要创建进行验证的用户,第一次要-c选项,目的是为了创建/data/.htpasswd密码文件,回车后
输入要设定的密码即可。从第二次创建用户开始就不用-c选项了。
# /usr/local/apache2/bin/apachectl -t
# /usr/local/apache2/bin/apachectl graceful  

  2.默认虚拟主机

  
  默认虚拟主机其实就是配置文件里的第一个虚拟主机。关于默认虚拟主机有个
  点,凡是解析到这台机器的域名,只要在配置文件中没有配置,那么都会访问
  这个机器上来。所以为了防止出现这种情况,我们通常会将默认虚拟主机禁掉。
  
# vim /usr/local/apache2/conf/extra/http-vhosts.conf
把下面的配置:

   ServerAdmin webmaster@dummy-host.example.com
   DocumentRoot "/usr/local/apache2/docs/dummy-host.example.com"
   ServerName dummy-host.example.com
   ServerAlias www.dummy-host.example.com
   ErrorLog "logs/dummy-host.example.com-error_log"
   CustomLog "logs/dummy-host.example.com-access_log" common

修改为:

    DocumentRoot "/tmp/tmp"
    ServerName tmp.com

    Order allow,deny
    Deny from all


创建配置中提到的目录:
# mkdir /tmp/tmp  

  3.域名301跳转

  

    当一个站点有多个域名时,总得给这些域名分一个主次,比如现在有一个网站,
  该网站有三个域名:bbs.xiaoyuan.com、bbs.xiaojie.com、bbs.xiaoxue.com,无
  论用哪个域名访问,最终都会跳转到bbs.xiaoyuan.com。那么,这个行为就叫做
  域名跳转,这里的301只是一个状态码,除了301以外还有302。
  

# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置文件中加入:

        RewriteEngine on
        RewriteCond %{HTTP_HOST} ^bbs.xiaoxue.com$
        RewriteRule ^/(.*)$ http://bbs.xiaoyuan.com/$1 [R=301,L]

如果是多个域名,可以这样设置:

        DocumentRoot "/data/bbs"
        ServerName bbs.xiaoyuan.com
        ServerAlias bbs.xiaojie.com
        ServerAlias bbs.xiaoxue.com

        RewriteEngine on
        RewriteCond %{HTTP_HOST} ^bbs.xiaojie.com [OR]
        RewriteCond %{HTTP_HOST} ^bbs.xiaoxue.com$
        RewriteRule ^/(.*)$ http://bbs.xiaoyuan.com/$1 [R=301,L]


重启apache后进行测试,用curl命令测试更加直观。
# curl -x127.0.0.1:80 bbs.xiaojie.com -I
结果如下:
HTTP/1.1 301 Moved Permanently
Date: Tue, 27 Sep 2016 01:11:13 GMT
Server: Apache/2.2.27 (Unix) DAV/2 PHP/5.3.28
Location: http://bbs.xiaoyuan.com/
Content-Type: text/html; charset=iso-8859-1  

  4.apache不记录指定文件类型日志及日志切割

  

     这里的日志指的是访问日志,我们每访问一次网站系统就会记录若干条日志,
  如果长时间不去管理日志,那么日志文件就会越来越大,当我们需要查看日志的
  时候就会有诸多的不方便。那我们如何避免产生这么大的日志文件呢?apache就
  有相关的配置(rotatelogs),使日志按照我们的需求进行归档,比如每天一个
  新日志或每小时一个新日志,日志可以按照日期来命名。
  

     如果一个站点访问量特别大,那么它的访问日志也就会很多,但是有一些访问
  日志是可以忽略掉的,比如网站的一些图片,还有js、css等静态对象,而这些文
  件的访问日志往往是巨大的,即使记录了这些对象的访问日志也没什么用。
  

# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置文件中加入:
ErrorLog "|/usr/local/apache/bin/rotatelogs -l /usr/local/apache/logs/oem.discuz.qq.com-
error_%Y%m%d.log 86400"   #错误日志   
     SetEnvIf Request_URI ".*\.gif$" image-request
     SetEnvIf Request_URI ".*\.jpg$" image-request
     SetEnvIf Request_URI ".*\.png$" image-request
     SetEnvIf Request_URI ".*\.bmp$" image-request
     SetEnvIf Request_URI ".*\.swf$" image-request
     SetEnvIf Request_URI ".*\.js$" image-request
     SetEnvIf Request_URI ".*\.css$" image-request
CustomLog "|/usr/local/apache/bin/rotatelogs -l /usr/local/apache/logs/oem.discuz.qq.com-
access_%Y%m%d.log 86400" combined env=!image-request     #访问日志
说明:最前面的竖线是管道符,意思是把产生的日志交给rotatelogs这个工具,-l的作用是校准时区是
UTC,也就是北京时间。最后面是86400,单位是秒,也就是一天。最后的combined为日志格式,关于日
志格式是在/usr/local/apache2/conf/httpd.conf中定义的。env=!image-request表示忽略以上这些变
量,即达到不记录指定文件类型日志的目的。  

  5.apache配置静态缓存
  

     这里的静态文件指的是图片、js、css等,经过配置后,客户端的浏览器第一
  次请求后会将这些静态文件缓存在浏览器上,如果下次还需要请求,则不用再去
  服务器上下载了,这样不仅提高了访问速度,还大大提高了用户体验。但是静态
  文件的缓存是有一个时间限度的,这个是在配置文件中可以实现的。
  

# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置文件中加入:

ExpiresActive on
     ExpiresByType image/gif  "access plus 1 days"
     ExpiresByType image/jpeg "access plus 24 hours"
     ExpiresByType image/png "access plus 24 hours"
     ExpiresByType text/css "now plus 2 hour"
     ExpiresByType application/x-javascript "now plus 2 hours"   
     ExpiresByType application/javascript "now plus 2 hours"
     ExpiresByType application/x-shockwave-flash "now plus 2 hours"
     ExpiresDefault "now plus 0 min"

或者使用mod_headers模块实现
# htm,html,txt类的文件缓存一个小时  
header set cache-control "max-age=3600"  
# css, js, swf类的文件缓存一个星期  
header set cache-control "max-age=604800"  
# jpg,gif,jpeg,png,ico,flv,pdf等文件缓存一年  
header set cache-control "max-age=29030400"  

  6.apache配置防盗链

  
  如果你的网站是一个图片网站,有很多非常好看的图片,那么你就必须要考虑
  一个问题:时间久了,会有很多人发现你网站上的图片资源,他们中有的人会直
  接把你的图片下载走,还有的人直接会取走图片的地址,并把地址放在自己网站
  上,这样他的用户就可以通过图片地址从你的网站上浏览图片,这样,这个图片
  产生的带宽开销对你来说没有任何意义,毕竟看这个图片的人不是你的客户。所
  以我们应该想到把这些图片限制一下,凡是在第三方站点上,严禁访问你站点的
  图片。
  
# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置文件中加入:
SetEnvIfNoCase Referer "^http://.*\.xiaoyuan\.com" local_ref
SetEnvIfNoCase Referer ".*\.xiaojie\.com" local_ref
SetEnvIfNoCase Referer "^$" local_ref
Order Allow,Deny
Allow from env=local_ref  

  7.apache禁止指定user_agent

  
     在实际生产环境中,通常有许多非法请求通过爬虫访问,对服务器造成很大的
  压力,为了缓解这一压力,我们可以禁止指定的user_agent(浏览器)。
  
# vim /usr/local/apache2/conf/extra/http-vhosts.conf
在对应的虚拟主机配置文件中加入:

       RewriteEngine on
       RewriteCond %{HTTP_USER_AGENT}  ^.*Edge* [NC,OR]
       RewriteCond %{HTTP_USER_AGENT}  ^.*Tomato Bot/1.0* [NC]
       RewriteCond   %{REQUEST_URI} !^/404*
       RewriteRule  .*  /404.html

测试结果:
# curl -x127.0.0.1:80 bbs.xiaoyuan.com -I
HTTP/1.1 404 Not Found
Date: Tue, 27 Sep 2016 03:38:00 GMT
Server: Apache/2.2.27 (Unix) DAV/2 PHP/5.3.28
Content-Type: text/html; charset=iso-8859-1  

  





运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-636902-1-1.html 上篇帖子: LAMP 之 Apache 用户认证 下篇帖子: svn结合apache实现web也访问SVN
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表