ubuntu-server下apache安装配置以及优化

 

在ubuntu和debian中,apache2主要功能模块(Multi-Processing Module,多道处理模块,简称MPM)被分为了不同的软件包,它们分别是:

      Apache2-mpm-event: 事件驱动的MPM;

      Apache2-mpm-perchild:这只是个过渡的“假”软件包,依赖worker;

      Apache2-mpm-prefork:传统MPM,兼容apache1.3,不使用线程;

     Apache2-mpm-worker:支持多线程和多进程混合模型的高速MPM;

 

Ubuntu推荐使用apache2-mpm-worker。

 

$ sudo apt-get install apache2

 

Apache配置文件说明:

Apache2.conf:全局配置文件,不要轻易修改它;

       Conf.d/:该目录存放一些一般性的配置;

       Envvars:存放环境变量,一般不需要修改;

       Httpd.conf:用户配置文件;

       Mods-available/:该目录下是已经安装的可用模块;

       Mods-enabled/:该目录下是已经启用的模块;

       Ports.conf:httpd服务的端口;

       Sites-available/该目录下是可用的虚拟主机;

       Sites-enabled/:该目录下是已经启用的虚拟主机;

 

$ sudo a2enmod :查看可用模块

$ sudo a2dismod :查看已启用模块

 

$sudo apt-cache search libapache2-mod :搜索所有模块

 

Ubuntu的apache2 为提供虚拟主机支持做了很好的配置。如果你的服务器只有一个网站,基本上不需要修改配置,虚拟主机就可以用了;如果有多个网站,则可以复制default虚拟主机的配置文件进行修改,这样可以迅速架设多个网站。

 

默认的虚拟主机路径: /etc/apache2/sites-available/default

 

创建一个新的虚拟主机:假设我们要创建一个域名为www.lgmtest.com的虚拟主机:

1)  复制default :

            $ sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.lgmtest.com

2)  编辑文件:

            $ sudo vi /etc/apache2/sites-available/www.lgmtest.com

将第一行的NameVirtualHost指令删除(所有的虚拟主机只保留一个NameVirtualHost指令即可),然后,将DocumentRoot的路径修改为/var/www/www.lgmtest.com/(自己设置),将<Directory /var/www/>修改为<Directory /var/www/www.lgmtest.com />

如果你有很多虚拟主机,建议修改ErrorLog和CustomLog的路径。

 

禁用default虚拟主机,并启用新建的www.lgmtest.com虚拟主机,然后重新启动apache

          $ sudo a2dissite default && a2ensite www.lgmtest.com

          $ sudo /etc/init.d/apache2 restart

 

虚拟主机配置详解(以default虚拟主机为例)

       1.NameVirtualHost : 用来指定服务器ip的地址  

       语法  NameVirtualHost 192.168.1.1:8080

       2.VirtualHost :  针对当前的虚拟主机。

        语法 <VirtualHost IP地址[:端口号] [IP地址[:端口号]] … >…<VirtualHost />

       3.ServerAdmin:用来指定站长email地址。

       4.DocumentRoot :用来指定网站的根目录,一般设置绝对路径,否则,apache将认为它的父目录是ServerRoot所定义的路径。

       5.<Directory></Directory>指令是一对,它们中间所包含的指令,仅对指定的目录有效。该目录可以是特指的某个目录,比如:

       <Directory /var/www/www.lgmtest.com>

       …

       </Directory>

       此外,还支持通配符和正则表达式,用来匹配很多目录。比如:

       <Directory /var/www/*.lgmtest.com>……</Directory>

       6.Options:用来配置指定目录的特性,比如是否允许该目录下有符号链接、是否使用CGI等。这些特性包括:

       All-->除MultiViews之外的所有特性(默认设置);

       ExecCGI-->允许该目录通过mod_cgi运行CGI脚本;

       FollowSymLinks-->允许在此目录中使用符号连接;

       Includes-->在该目录中允许使用mod_include进行服务器端包含;

       IncludesNOEXEC-->允许服务器端包含,但禁用“#exec cmd”和“#exec cgi”;

       Indexes-->允许列目录。如果某个被访问的目录中没有DirectoryIndex指定的文件(如index.html),服务器将生成并显示目录列表;

       MultiViews-->允许“内容协商”的“多重视图”。“内容协商”由mod_negotiation模块生成;

       SymLinksIfOwnerMatch-->只允许使用这样的符号链接:这些符号链接与目标目录(或文件)的拥有者具有相同的UserID。

       在Options指令中,可以使用加减号(+|-)。一般来说,如果你在一个目录上设置了多次的Options,则最特殊的一个会被完全接收,而其他的则会被忽略;然而,如果所有作用于Options指令的选项前都加上“+”或者“-”号,则此可选项将被合并——所有带“+”号的选项将强制覆盖当前的设置,而所有带“-”号的选项将强制从当前设置中去除。

       7.AllowOverride:针对.htaccess文件的;可以允许该文件的全部指令,也可以只允许某些类型的指令,或者全部禁止。

       语法:AllowOverride All | None | directive-type [directive-type] …

        Apache本来的默认值是AllowOverride All,但是出于安全考虑,Ubuntu将其改为了AllowOverride None(直接忽略.htaccess文件)。

       提示:AllowOverride仅在不包含正则表达式的<Directory>配置段中才是有效的。

       8.Order:用来控制默认访问状态,以及Allow和Deny的生效顺序。这些顺序可以是“Deny,Allow”或者“Allow,Deny”。如果是前者,那么Deny在Allow指令之前被评估,默认允许所有访问。任何不匹配Deny指令或者匹配Allow指令的访问者都被允许访问;如果是后者,那么Allow在Deny之前被评估,默认拒绝所有访问。任何不匹配Allow指令或者匹配Deny指令的访问者将被禁止访问。

       9.Allow:用来控制哪些主机可以访问。可以根据主机名、ip地址、ip范围或其他环境变量的定义来进行控制。

       语法:Allow from all | host | env=env-variable [host | env=env-variable] …

       10.Deny:用来限制主机访问的,语法和Allow完全相同。

       11.ErrorLog:定义错误日志的位置。

       12.LogLevel:控制日志的详细程度的级别级别顺序有:

              emerg:紧急(系统无法使用)

              alert:必须立即采取措施

              crit:致命情况

              error:错误情况

              warn:警告情况

              notice:一般重要情况

              info:普通信息

              debug:调试信息

       13.CustomLog:定义访问日志的路径和格式。

       语法:CustomLog file|pipe format | nickname [env=[!]environment-variable]

                  CustomLog logs/access_log common

                  CustomLog logs/access_log “%h %l %u %t \”%r\” %>s %b ”

       14.ServerSignature:用来定义服务器所生成页面的页脚。这些信息包括错误信息、mod_proxy的ftp目录列表、mod_info的输出等。

       15.Alias:有点像Linux的ln命令,它提供路径别名,让你用起来更方便

       语法:Alias URL-path file-path | directory-path

 

HTTPS的实现

1)  启用mod_ssl模块

          $ sudo a2enmod ssl

2)  生成证书、安装证书;

          <1>使用CA签名的证书(要收费的):

                   a.       先安装openssl:$ sudo apt-get install openssl

                   b.       创建key:

                         $ openssl genrsa –des3 –out server.key 1024(这个是要设置密码的)

                         $ openssi genrsa –out server.key 1024(这个不要设置密码)

                   c.       创建CSR:

                        $ openssi req –new –key server.key –out server.csr

                         完成后,将CSR文件发给某家CA,CA将对其进行签名。

          <2>使用自己签名的证书:

                   $ sudo openssl x509 –req –days 365 –in server.csr –signkey server.key –out server.crt

                   $ sudo cp server.crt /etc/ssl/certs

                   $ sudo cp server.key /etc/ssl/private

3)  修改虚拟主机配置文件,重启apache服务。

          启用SSL。在VirtualHost段中,DocumentRoot一行的下方加入:

         SSLEngine on
         SSLOptions +StrictRequire
         SSLCertificateFile /etc/ssl/certs/server.crt
         SSLCertificateKeyFile /etc/ssl/private/server.key

注:上面两个路径是前面指定好的。

重启apache :$ sudo /etc/init.d/apache2 restart

 

Apache性能优化

1.       正确选择MPM

Event比较适合用户那些需要有大量持续连接(KeepAlive traffic)的情况。KeepAlive的好处是可以在同一个TCP连接中响应多次请求。这种方式,可以使一个包含大量图片的HTML文档加速50%.在配置文件中设置keepAlive为On即可启用KeepAlive.

Prefork实现另一个非线程的MPM,特点是很稳定。它能够隔离每个请求,如果某个请求出现故障,不会影响其他的请求。使用prefork最重要的是将MaxClients设置的恰当。这个MaxClients值要足够的大,但又不能太大,致使apache所需内存超出物理内存大小。

Worker,速度比prefork快很多,可以处理相对海量请求。Worker使用了多进程,每个进程又生成多个线程,这样可以获得基于进程服务器的稳定性。比较重要的两个配置是:ThreadPerChild(用来控制每个子进程允许建立的线程数)和MaxClients(控制允许建立的总线程数)。

 

2.       优化apache配置

          a)         关闭DNS查询:将HostnameLookups设置为off;

          b)        优化MaxClients:

修改apache.conf文件中IfModule mpm_worker_module(worker)、IfModule mpm_event_module(event)或者IfModule mpm_prefork_module(prefork)三个模块里面的数据。MaxClients如果设置要超过256的话,就要同步修改ServerLimit数值,因为ServerLimit的默认值是256

          c)         优化KeepAlive:设置KeepAlive为Off或者将KeepAliveTimeout值改小。

          d)        启用压缩:

                    $ sudo a2enmod deflate

                    $ sudo /etc/init.d/apache2 force-reload

          配置要压缩的文件类型(修改/etc/apache2/mods-enabled/deflate.conf)

          一般情况下,不对图片、pdf、mp3等文件进行压缩

         e)         使用缓存(mod_cache):

          一种基于硬盘缓存(mod_disk_cache),一种基于内存缓存(mod_mem_cache);

          启用缓存命令:$ sudo a2enmod disk_cache。

          在<VirtualHost>标签中添加:

          <IfModule mod_disk_cache.c>
               CacheEnable disk /   #表示cache类型为disk,“/”指网站根目录,表示对整个网站进行缓存
                 CacheRoot /var/www/www.lgmtest.com/cache   #cache目录必须手工创建,存放缓存的地方
                 CacheDefaultExpire 7200    #失效周期,单位秒
                 CacheMaxExpire 604800      #最大失效周期,单位秒
            </IfModule>

          如果你想某个目录不被缓存,添加:CacheDisable /不被缓存目录

          Apache压力测试(ad)

                    $ sudo ab –n 20000 –c 200 http://www.lgmtest.com/

          说明:向www.lgmtest.com发出20000个请求,每次发送200个。

 

Apache安全

1)  隐藏敏感信息:

          在apache2.conf中添加:ServerTokens Prod(默认值为Full)。

2)  DDOS攻击防范:

          $sudo apt-get install libapache2-mod-evasive

          安装后ubuntu自动会启动,我们自行创建一个配置文件:

          $sudo vi /etc/apache2/conf.d/evasive,写入如下内容:

          <IfModule mod_evasive20.c>
                 DOSHashTableSize 3097 #哈希表大小,增大可以提高查找速度
                    DOSPageCount 2   #允许客户机访问同一页面的时间间隔,一旦小于该间隔,该客户机ip地址将被写入黑名单
                    DOSSiteCount 2    #允许客户机对全站同时进行的并发访问请求数目
                    DOSPageInterval 1        #定义网页访问计数的时间间隔
                    DOSSiteInterval 1         #定义全站访问计数的时间间隔
                    DOSBlockingPeriod 10  #定义了阻止客户机的时间长短,在该时间内,不允许加入黑名单的客户机访问,如果访问,阻止时间则再次刷新,默认10
                 DOSEmailNotify [email protected]
                 DOSSystemCommand “su – someuser –C ‘/sbin/… %s …’”
                    DOSLogDir “var/lock/mod_evasive” 
                    DOSWhitelist  127.0.0.1   #白名单
                    DOSWhitelist  127.0.0.*
          </IfModule>

          或者在httpd.conf文件中加入:

          LoadModule evasive20_module  /usr/lib/apache2/modules/mod_evasive20.so
          <IfModule mod_evasive20.c>
                    DOSHashTableSize    3097
                    DOSPageCount        2
                    DOSSiteCount        50
                    DOSPageInterval     1
                    DOSSiteInterval     1
                    DOSBlockingPeriod   10
          </IfModule>

Apache日志分析

1)  安装Webalizer:$sudo apt-get install webalizer

2)  修改配置文件:

              默认情况下,webalizer会安装一个每日cron任务,每天自动对上一天的apache日志进行分析。可以通过修改配置文件进行设置要分析的日志文件(修改/etc/webalizer/webalizer.conf):

              LogFile /var/log/apache2/access.log.1 要分析的文件名

              OutputDir /var/www/lgmtesta/webalizer  数据输出目录

              LogType clf :日志类型,如果要分析ftp日志,改为ftp,如要分析Squid代理服务器日志,改为squid。

 3)运行webalizer:$sudo webalizer

 

你可能感兴趣的:(apache,正则表达式,服务器,Module,cgi,.htaccess)