LAMP之配置apache

ooioiiuu

在实际的生产环境中我们对网站的安全机制要求较高，这就需要我们对apache
进行一些设置，用来限制客户端对服务端的不必要的请求。

1.设置apache用户认证

apache用户认证可通过为apache下的某些目录设置密码的方式，限制用户访问
这些目录

配置如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置中加入如下配置： <Directory /data/bbs/admin.php>   # 指定要验证的目录         AllowOverride AuthConfig              AuthName "xiaoyuan"   # 自定义         AuthType Basic         AuthUserFile /data/.htpasswd     # 指定用户密码文件在哪里         require valid-user </Directory> # /usr/local/apache2/bin/htpasswd -cm  /data/.htpasswd  xiaoyuan   这一步是要创建进行验证的用户，第一次要-c选项，目的是为了创建/data/.htpasswd密码文件，回车后 输入要设定的密码即可。从第二次创建用户开始就不用-c选项了。 # /usr/local/apache2/bin/apachectl -t # /usr/local/apache2/bin/apachectl graceful

2.默认虚拟主机


  默认虚拟主机其实就是配置文件里的第一个虚拟主机。关于默认虚拟主机有个特
点，凡是解析到这台机器的域名，只要在配置文件中没有配置，那么都会访问到
这个机器上来。所以为了防止出现这种情况，我们通常会将默认虚拟主机禁掉。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 把下面的配置： <VirtualHost *:80>    ServerAdmin webmaster@dummy-host.example.com    DocumentRoot "/usr/local/apache2/docs/dummy-host.example.com"    ServerName dummy-host.example.com    ServerAlias www.dummy-host.example.com    ErrorLog "logs/dummy-host.example.com-error_log"    CustomLog "logs/dummy-host.example.com-access_log" common </VirtualHost> 修改为： <VirtualHost *:80>     DocumentRoot "/tmp/tmp"     ServerName tmp.com <Directory /tmp/tmp>     Order allow,deny     Deny from all </Directory> </VirtualHost> 创建配置中提到的目录： # mkdir /tmp/tmp

3.域名301跳转


  当一个站点有多个域名时，总得给这些域名分一个主次，比如现在有一个网站，
该网站有三个域名：bbs.xiaoyuan.com、bbs.xiaojie.com、bbs.xiaoxue.com,无
论用哪个域名访问，最终都会跳转到bbs.xiaoyuan.com。那么，这个行为就叫做
域名跳转，这里的301只是一个状态码，除了301以外还有302。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置文件中加入： <IfModule mod_rewrite.c>         RewriteEngine on         RewriteCond %{HTTP_HOST} ^bbs.xiaoxue.com$         RewriteRule ^/(.*)$ http://bbs.xiaoyuan.com/$1 [R=301,L] </IfModule> 如果是多个域名，可以这样设置： <VirtualHost *:80>         DocumentRoot "/data/bbs"         ServerName bbs.xiaoyuan.com         ServerAlias bbs.xiaojie.com         ServerAlias bbs.xiaoxue.com <IfModule mod_rewrite.c>         RewriteEngine on         RewriteCond %{HTTP_HOST} ^bbs.xiaojie.com [OR]         RewriteCond %{HTTP_HOST} ^bbs.xiaoxue.com$         RewriteRule ^/(.*)$ http://bbs.xiaoyuan.com/$1 [R=301,L] </IfModule> </VirtualHost> 重启apache后进行测试，用curl命令测试更加直观。 # curl -x127.0.0.1:80 bbs.xiaojie.com -I 结果如下： HTTP/1.1 301 Moved Permanently Date: Tue, 27 Sep 2016 01:11:13 GMT Server: Apache/2.2.27 (Unix) DAV/2 PHP/5.3.28 Location: http://bbs.xiaoyuan.com/ Content-Type: text/html; charset=iso-8859-1

4.apache不记录指定文件类型日志及日志切割


   这里的日志指的是访问日志，我们每访问一次网站系统就会记录若干条日志，
如果长时间不去管理日志，那么日志文件就会越来越大，当我们需要查看日志的
时候就会有诸多的不方便。那我们如何避免产生这么大的日志文件呢？apache就
有相关的配置（rotatelogs），使日志按照我们的需求进行归档，比如每天一个
新日志或每小时一个新日志，日志可以按照日期来命名。

   如果一个站点访问量特别大，那么它的访问日志也就会很多，但是有一些访问
日志是可以忽略掉的，比如网站的一些图片，还有js、css等静态对象，而这些文
件的访问日志往往是巨大的，即使记录了这些对象的访问日志也没什么用。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置文件中加入： ErrorLog "|/usr/local/apache/bin/rotatelogs -l /usr/local/apache/logs/oem.discuz.qq.com- error_%Y%m%d.log 86400"   #错误日志         SetEnvIf Request_URI ".*\.gif$" image-request      SetEnvIf Request_URI ".*\.jpg$" image-request      SetEnvIf Request_URI ".*\.png$" image-request      SetEnvIf Request_URI ".*\.bmp$" image-request      SetEnvIf Request_URI ".*\.swf$" image-request      SetEnvIf Request_URI ".*\.js$" image-request      SetEnvIf Request_URI ".*\.css$" image-request CustomLog "|/usr/local/apache/bin/rotatelogs -l /usr/local/apache/logs/oem.discuz.qq.com- access_%Y%m%d.log 86400" combined env=!image-request     #访问日志 说明：最前面的竖线是管道符，意思是把产生的日志交给rotatelogs这个工具，-l的作用是校准时区是 UTC，也就是北京时间。最后面是86400，单位是秒，也就是一天。最后的combined为日志格式，关于日 志格式是在/usr/local/apache2/conf/httpd.conf中定义的。env=!image-request表示忽略以上这些变 量，即达到不记录指定文件类型日志的目的。

5.apache配置静态缓存

   这里的静态文件指的是图片、js、css等，经过配置后，客户端的浏览器第一
次请求后会将这些静态文件缓存在浏览器上，如果下次还需要请求，则不用再去
服务器上下载了，这样不仅提高了访问速度，还大大提高了用户体验。但是静态
文件的缓存是有一个时间限度的，这个是在配置文件中可以实现的。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置文件中加入： <IfModule mod_expires.c> ExpiresActive on      ExpiresByType image/gif  "access plus 1 days"      ExpiresByType image/jpeg "access plus 24 hours"      ExpiresByType image/png "access plus 24 hours"      ExpiresByType text/css "now plus 2 hour"      ExpiresByType application/x-javascript "now plus 2 hours"         ExpiresByType application/javascript "now plus 2 hours"      ExpiresByType application/x-shockwave-flash "now plus 2 hours"      ExpiresDefault "now plus 0 min" </IfModule> 或者使用mod_headers模块实现 # htm,html,txt类的文件缓存一个小时   header set cache-control "max-age=3600"   # css, js, swf类的文件缓存一个星期   header set cache-control "max-age=604800"   # jpg,gif,jpeg,png,ico,flv,pdf等文件缓存一年   header set cache-control "max-age=29030400"

6.apache配置防盗链


   如果你的网站是一个图片网站，有很多非常好看的图片，那么你就必须要考虑
一个问题：时间久了，会有很多人发现你网站上的图片资源，他们中有的人会直
接把你的图片下载走，还有的人直接会取走图片的地址，并把地址放在自己网站
上，这样他的用户就可以通过图片地址从你的网站上浏览图片，这样，这个图片
产生的带宽开销对你来说没有任何意义，毕竟看这个图片的人不是你的客户。所
以我们应该想到把这些图片限制一下，凡是在第三方站点上，严禁访问你站点的
图片。

1 2 3 4 5 6 7 8 9 10 11 12 13

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置文件中加入： SetEnvIfNoCase Referer "^http://.*\.xiaoyuan\.com" local_ref SetEnvIfNoCase Referer ".*\.xiaojie\.com" local_ref SetEnvIfNoCase Referer "^$" local_ref Order Allow,Deny Allow from env=local_ref

7.apache禁止指定user_agent


   在实际生产环境中，通常有许多非法请求通过爬虫访问，对服务器造成很大的
压力，为了缓解这一压力，我们可以禁止指定的user_agent（浏览器）。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

# vim /usr/local/apache2/conf/extra/http-vhosts.conf 在对应的虚拟主机配置文件中加入： <IfModule mod_rewrite.c>        RewriteEngine on        RewriteCond %{HTTP_USER_AGENT}  ^.*Edge* [NC,OR]        RewriteCond %{HTTP_USER_AGENT}  ^.*Tomato Bot/1.0* [NC]        RewriteCond   %{REQUEST_URI} !^/404*        RewriteRule  .*  /404.html </IfModule> 测试结果： # curl -x127.0.0.1:80 bbs.xiaoyuan.com -I HTTP/1.1 404 Not Found Date: Tue, 27 Sep 2016 03:38:00 GMT Server: Apache/2.2.27 (Unix) DAV/2 PHP/5.3.28 Content-Type: text/html; charset=iso-8859-1