Apache服务以及httpd.conf配置详解 (2)

义虚拟主机的情况下，服务器总是以自己的正式名字回应浏览器。
　　ServerName就定义了Web服务器自己承认的正式名字，例如一台服务器名字（在DNS中定义了A类
　　型）为freebsd.exmaple.org.cn，同时为了方便记忆还定义了一个别名（CNAME记录）为
　　www.exmaple.org.cn，那么Apache自动解析得到的名字就为linux.example.org.cn，这样不管
　　客户浏览器使用哪个名字发送请求，服务器总是告诉客户程序自己为linux.example.org.cn。
　　虽然这一般并不会造成什么问题，但是考虑到某一天服务器可能迁移到其他计算机上，而只想通过更改DNS中的www别名配置就完成迁移任务，所以不想让客户在其书签中使用 linux记录下这
　　个服务器的地址，就必须使用ServerName来重新指定服务器的正式名字。
　　DocumentRoot “/usr/local/www/data“
　　DocumentRoot定义这个服务器对外发布的超文本文档存放的路径，客户程序请求的UR L就被映射为这个目录下的网页文件。这个目录下的子目录，以及使用符号连接指出的文件和目录都能被浏览器访问，只是要在URL上使用同样的相对目录名。
　　注意，符号连接虽然逻辑上位于根文档目录之下，但实际上可以位于计算机上的任意目录中，因此可以使客户程序能访问那些根文档目录之外的目录，这在增加了灵活性的同时但减少
　　了安全性。Apache在目录的访问控制中提供了FollowSymLinks选项来打开或关闭支持符号连接的
　　特性。
　　<Directory />
　　Options FollowSymLinks
　　AllowOverride None
　　</Directory>
　　Apache服务器可以针对目录进行文档的访问控制，然而访问控制可以通过两种方式来实现，一个是在设置件 httpd.conf（或access.conf）中针对每个目录进行设置，另一个方法是
　　在每个目录下设置访问控制文件，通常访问控制文件名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问，然而使用配置文件的方法要求每次改动后重新启动httpd守护进程，比较不灵活，因此主要用于配置服务器系统的整体安全控制策略，而使用每个目录下的.htaccess文件设置具体目录的访问控制更为灵活方便。
　　<Directory “H:/web001“>
　　Directory语句就是用来定义目录的访问限制的，这里可以看出它的标准语法，为一个目录定义访问限制。上例的这个设置是针对系统的根目录进行的，设置了允许符号连接的选项
　　FollowSymLinks ，以及使用AllowOverride None表示不允许这个目录下的访问控制文件来改变这里进行的配置，这也意味着不用查看这个目录下的相应访问控制文件。
　　由于Apache对一个目录的访问控制设置是能够被下一级目录继承的，因此对根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置，使得Apache服务器不需要查看
　　根目录下的访问控制文件，也不需要查看以下各级目录下的访问控制文件，直至httpd.conf（或access.conf ）中为某个目录指定了允许Alloworride，即允许查看访问控制文件。由于Apache
　　对目录访问控制是采用的继承方式，如果从根目录就允许查看访问控制文件，那么Apache就必须一级一级的查看访问控制文件，对系统性能会造成影响。而缺省关闭了根目录的这个特性，就使
　　得Apache从httpd.conf中具体指定的目录向下搜寻，减少了搜寻的级数，增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助，也有益于系统性能。
　　Options Indexes FollowSymLinks
　　AllowOverride None
　　Order allow,deny
　　Allow from all
　　</Directory>
　　这里定义的是系统对外发布文档的目录的访问设置，设置不同的AllowOverride选项，以定义配置文件中的目录设置和用户目录下的安全控制文件的关系，而Options选项用于定义该
　　目录的特性。
　　配置文件和每个目录下的访问控制文件都可以设置访问限制，设置文件是由管理员设置的，而每个目录下的访问控制文件是由目录的属主设置的，因此管理员可以规定目录的属主是否
　　能覆盖系统在设置文件中的设置，这就需要使用 AllowOverride参数进行设置，通常可以设置的
　　值为：
　　AllowOverride的设置 对每个目录访问控制文件作用的影响
　　All 缺省值，使访问控制文件可以覆盖系统配置
　　None 服务器忽略访问控制文件的设置
　　Options 允许访问控制文件中可以使用Options参数定义目录的选项
　　FileInfo 允许访问控制文件中可以使用AddType等参数设置
　　AuthConfig 允许访问控制文件使用AuthName，AuthType等针对每个用户的认证机制，这使
　　目录属主能用口令和用户名来保护目录
　　Limit 允许对访问目录的客户机的IP地址和名字进行限制
　　每个目录具备一定属性，可以使用Options来控制这个目录下的一些访问特性设置，以下为
　　常用的特性选项：
　　Options设置 服务器特性设置
　　All 所有的目录特性都有效，这是缺省状态
　　None 所有的目录特性都无效
　　FollowSymLinks 允许使用符号连接，这将使浏览器有可能访问文档根目录（DocumentRoot
　　）之外的文档
　　SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时，才允许
　　访问，这个设置将增加一些安全性
　　ExecCGI 允许这个目录下可以执行CGI程序
　　Indexes 允许浏览器可以生成这个目录下所有文件的索引，使得在这个目录下没有
　　index.html（或其他索引文件）时，能向浏览器发送这个目录下的文件列表
　　此外，上例中还使用了Order、Allow、Deny等参数，这是Limit语句中用来根据浏览器
　　的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序，而Allow、Deny则针对名字或IP进行访问控制设置，上例使用allow from all，表示允许所有的客户机访问
　　这个目录，而不进行任何限制。
　　UserDir public_html (Win32=“My Documents/My Website“)
　　当在一台linux上运行Apache服务器时，这台计算机上的所有用户都可以有自己的网页路径，形如 http://linux.example.org.cn/~user，使用波浪符号加上用户名就可以映射到
　　用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录，其名字就用UseDir这个参
　　数进行定义，缺省为public_html。如果不想为正式的用户提供网页服务，使用DISABLED作UserDir的参数即可。
　　#
　　# AllowOverride FileInfo AuthConfig Limit
　　# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
　　#
　　# Order allow,deny
　　# Allow from all
　　#
　　#
　　# Order deny,allow
　　# Deny from all
　　#
　　#
　　这里可以看到Directory的另一个用法，即可以通过简单的模式匹配方法，针对分布在
　　不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处
　　理，因此就会降低服务器的性能，所以缺省情况并没有打开这种访问限制。
　　这里可以看到另外一个语句Limit，Limit语句就是用来针对具体的请求方法来设定访问控制的，其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数，来设定对不同请求方法的访问限制。一般可以打开对GET、POST、HEAD三种请求方法，而屏蔽其他的请求方法，以增加安全性。Limit语句中，可以使用Order 、Allow、Deny，Allow和Deny中可以使用匹配的方法针对域名和IP进行限制，只是对于域名是从后向前匹配，对于IP地址则从前向后匹配。
　　DirectoryIndex index.html
　　很多情况下，URL中并没有指定文档的名字，而只是给出了一个目录名。那么Apache服务器就自动返回这个目录下由DirectoryIndex定义的文件，当然可以指定多个文件名字，系统会这个目录下顺序搜索。当所有由DirectoryIndex指定的文件都不存在时，Apache服务器可以根据系统设置，生成这个目录下的所有文件列表，提供用户选择。此时该目录的访问控制选项中的
　　Indexes选项（Options Indexes ）必须打开，以使得服务器能够生成目录列表，否则Apache将拒绝访问。
　　AccessFileName .htaccess
　　AccessFileName定义每个目录下的访问控制文件的文件名，缺省为.htaccess ，可以通过更改这个文件，来改变不同目录的访问控制限制。
　　Order allow,deny
　　Deny from all
　　除了可以针对目录进行访问控制之外，还可以根据文件来设置访问控制，这就是File语句的任务。使用File 语句，不管文件处于哪个目录，只要名字匹配，就必须接受相应的访问控
　　制。这个语句对于系统安全比较重要，例如上例将屏蔽所有的使用者不能访问.htaccess文件，这样就避免.htaccess中的关键安全信息不至于被客户获取。
　　TypesConfig /usr/local/etc/apache/mime.types
　　TypeConfig用于设置保存有不同的MIME类型数据的文件名，在FreeBSD下缺省设置为/usr/local/etc/apache/mime.types。
　　DefaultType text/plain
　　如果Web服务器不能决定一个文档的缺省类型，这通常表示文档使用了非标准的后缀，那么服务器就使用 DefaultType定义的MIME类型将文档发送给客户浏览器。这里的设置为text/plain，这样设置的问题是，如果服务器不能判断出文档的MIME，那么大部分情况下这个文
　　档为一个二进制文档，但使用 text/plain格式发送回去，浏览器将在内部打开它而不会提示保存。因此建议将这个设置更改为 application/octet-stream，这样浏览器将提示用户进行保存
　　。
　　MIMEMagicFile /usr/local/etc/apache/magic
　　除了从文件的后缀出发来判断文件的MIME类型之外，Apache还可以进一步分析文件的一些特征，来判断文件的真实MIME类型。这个功能是由mod_mime_magic模块实现的，它需要一个记录各种MIME类型特征的文件，以进行分析判断。上面的设置是一个条件语句，如果载入了这个模块，就必须指定相应的标志文件magic的位置。
　　HostnameLookups Off
　　通常连接时，服务器仅仅可以得到客户机的IP地址，如果要想获得客户机的主机名，以进行日志记录和提供给 CGI程序使用，就需要使用这个HostnameLookups选项，将其设置为On打
　　开DNS反查功能。但是这将使服务器对每次客户请求都进行DNS查询，增加了系统开销，使得反应变慢，因此缺省设置为使用Off关闭此选项。关闭选项之后，服务器就不会获得客户机的主机名，而只能使用IP地址来记录客户。
　　ErrorLog /var/log/httpd-error.log
　　LogLevel warn
　　LogFormat “%h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-Agent}i\““
　　combined
　　LogFormat “%h %l %u %t \“%r\“ %>s %b“ common
　　LogFormat “%{Referer}i -> %U“ referer
　　LogFormat “%{User-agent}i“ agent
　　#CustomLog /var/log/httpd-access.log common
　　#CustomLog /var/log/httpd-referer.log referer
　　#CustomLog /var/log/httpd-agent.log agent
　　CustomLog /var/log/httpd-access.log combined
　　这里定义了系统日志的形式，对于服务器错误记录， 由ErrorLog、LogLevel 来定义不
　　同的错误日志文件及其记录内容。
　　对于系统的访问日志，缺省使用CustomLog参数定义日志的位置，缺省使用combined 参数指定将所有的访问日志放在一个文件中，然而也可以将不同种类的访问日志放在不同的日志记
　　录文件中，这是通过在 CustomLog中指定不同的记录类型来完成的。common表示普通的对单页面请求访问记录，referer表示每个页面的引用记录，可以看出一个页面中包含的请求数，agent表示对客户机的类型记录，显然可以将现有的combined 定义的设置行注释掉，并使用common、referer和agent作为CustomLog的参数，来为不同种类的日志分别指定日志记录文件。
　　显然，LogFormat是用于定义不同类型的日志进行记录时使用的格式， 这里使用了以%开头
　　的宏定义，以记录不同的内容。
　　如果这些参数指定的文件使用的是相对路径，那么就是相对于ServerRoot的路径。
　　ServerSigna

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]