1、HTTPD服务的相关信息

●服务脚本:/etc/rc.d/init.d/httpd

●运行目录:/etc/httpd

●主配置文件:/etc/httpd/conf/httpd.conf

●扩展配置:/etc/httpd/conf.d/*.conf

●网页文件根目录:/var/www/html

●CGI:./var/www/cgi-bin/

2、配置文件的构成

全局配置

(1)配置监听的地址和端口:

  Listen [IP:] PORT

(2)配置所选用的MPM模块(多道处理模块)

★prefork.c模块(一个非线程型的、预派生的MPM)

prefork模式使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接。在大多数平台上,Prefork MPM在效率上要比Worker MPM要高,但是内存使用大得多。prefork的无线程序设计在某些情况下将比worker更有优势:他能够是哟哦那个那些没有处理好线程安全的第三方模块,并且对于那些线程调试困难的平台而言,他也更容易调试一些。      

主进程绑定特权端口;

派发或或回收子进程;

读取分析主配置文件;

# httpd -l
Compiled in modules:
  core.c
  prefork.c
  http_core.c
  mod_so.c

工作方式:一个单独的控制进程(父进程)负责产生子进程,这些子进程用于监听请求并作出应答。Apache总是试图保持一些备用的(spare)或是空闲的子进程用于迎接即将到来的请求。这样客户端就无需在得到服务前等候子进程的产生。在Unix系统中,父进程通常以root身份运行以便绑定80端口,而Apache产生的子进程通常以一个低特权的用于运行。User和Group指令用于配置子进程的低特权用户。运行子进程的用户必须要对他所服务的内容有读取的权限,但是对服务内容之外的其他资源必须拥有尽可能少的权限。

ServerLimit   20000
StartServers   5
MinSpareServers   5
MaxSpareServers   10
MaxClients   1000
MaxRequestsPerChild 0
ServerLimit     2000
//默认的MaxClient最大是256个线程,假如想配置更大的值,就的加上ServerLimit这个参数。20000是ServerLimit这个参数的最大值。假如需要更大,则必须编译apache,此前都是无需重新编译Apache。
生效前提:必须放在其他指令的前面
StartServers   5
//指定服务器启动时建立的子进程数量,prefork默认为5。
MinSpareServers   5
//指定空闲子进程的最小数量,默认为5。假如当前空闲子进程数少于MinSpareServers ,那么Apache将以最大每秒一个的速度产生新的子进程。此参数不要设的太大。
MaxSpareServers   10
//配置空闲子进程的最大数量,默认为10。假如当前有超过MaxSpareServers数量 的空闲子进程,那么父进程将杀死多余的子进程。此参数不要 设的太大。假如您将该指令的值配置为比MinSpareServers小,Apache将会自动将其修改成"MinSpareServers+1"。
MaxClients   256
//限定同一时间客户端最大接入请求的数量(单个进程并发线程数),默认为256。任何超过MaxClients限制的请求都将进入等候队列,一旦一个链接被释放,队列中的请求将得到服务。要增大这个值,您必须同时增大ServerLimit 。
MaxRequestsPerChild 10000
//每个子进程在其生存期内允许伺服的最大请求数量,默认为10000.到达MaxRequestsPerChild的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。
将MaxRequestsPerChild配置成非零值有两个好处:
1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。
2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。

worker.c模块(支持混合的多线程多进程的多路处理模块)
   worker MPM 使用多个子进程,每个子进程有多个线程。每个线程在某个确定的时间只能维持一个连接。通常来说,在一个高流量的HTTP服务器上,Worker MPM是个比较好的选择,因为Worker MPM的内存使用比Prefork MPM要低得多。但worker MPM也由不完善的地方,假如一个线程崩溃,整个进程就会连同其任何线程一起"死掉".由于线程共享内存空间,所以一个程式在运行时必须被系统识别为"每 个线程都是安全的"。

# httpd.worker -l
Compiled in modules:
  core.c
  worker.c
  http_core.c
  mod_so.c

httpd默认情况是以prefork为模块的,要以work模型则需要编辑配置文件,打开httpd.worker模型

vim /etc/sysconfig/httpd
# The service must be stopped before changing this variable.
#
HTTPD=/usr/sbin/httpd.worker
#
# To pass additional options (for instance, -D definitions) to the
# httpd binary at startup, set OPTIONS here.
#
#OPTIONS=


ServerLimit   50
ThreadLimit   200
StartServers   5
MaxClients   5000
MinSpareThreads   25
MaxSpareThreads   500
ThreadsPerChild   100
MaxRequestsPerChild 0
ServerLimit 16
//服务器允许配置的进程数上限。这个指令和ThreadLimit结合使用配置了MaxClients最大允许配置的数值。任何在重启期间对这个指令的改变都将被忽略,但对MaxClients的修改却会生效。
ThreadLimit 64
//每个子进程可配置的线程数上限。这个指令配置了每个子进程可配置的线程数ThreadsPerChild上限。任何在重启期间对这个指令的改变都将被忽略,但对ThreadsPerChild的修改却会生效。默认值是"64".
StartServers 3
//服务器启动时建立的子进程数,默认值是"3"。
MinSpareThreads 75
//最小空闲线程数,默认值是"75"。这个MPM将基于整个服务器监控空闲线程数。假如服务器中总的空闲线程数太少,子进程将产生新的空闲线程。
MaxSpareThreads 250
//配置最大空闲线程数。默认值是"250"。这个MPM将基于整个服务器监控空闲线程数。假如服 务器中总的空闲线程数太多,子进程将杀死多余的空闲线 程。MaxSpareThreads的取值范围是有限制的。Apache将按照如下限制自动修正您配置的值:worker需要其大于等于 MinSpareThreads加上ThreadsPerChild的和
MaxClients 400
//允许同时伺服的最大接入请求数量(最大线程数量)。任何超过MaxClients限制的请求都将进入等候 队列。默认值是"400",16 (ServerLimit)乘以25(ThreadsPerChild)的结果。因此要增加MaxClients的时候,您必须同时增加 ServerLimit的值。
ThreadsPerChild 25
//每个子进程建立的常驻的执行线程数。默认值是25。子进程在启动时建立这些线程后就不再建立新的线程了。
MaxRequestsPerChild 0
//配置每个子进程在其生存期内允许伺服的最大请求数量。到达MaxRequestsPerChild的限制后,子进程将会结束。假如MaxRequestsPerChild为"0",子进程将永远不会结束。
将MaxRequestsPerChild配置成非零值有两个好处:
1.能够防止(偶然的)内存泄漏无限进行,从而耗尽内存。
2.给进程一个有限寿命,从而有助于当服务器负载减轻的时候减少活动进程的数量。
注意
对于KeepAlive链接,只有第一个请求会被计数。事实上,他改变了每个子进程限制最大链接数量的行为。
工作方式:
每个进程能够拥有的线程数量是固定的。服务器会根据负载情况增加或减少进程数量。一个单独的控制进程(父进程)负责子进程的建 立。每个子进程能够建立 ThreadsPerChild数量的服务线程和一个监听线程,该监听线程监听接入请求并将其传递给服务线程处理和应答。Apache总是试图维持一个备 用(spare)或是空闲的服务线程池。这样,客户端无须等待新线程或新进程的建立即可得到处理。在Unix中,为了能够绑定80端口,父进程一般都是以 root身份启动,随后,Apache以较低权限的用户建立子进程和线程。User和Group指令用于配置Apache子进程的权限。虽然子进程必须对 其提供的内容拥有读权限,但应该尽可能给予他较少的特权。另外,除非使用了suexec ,否则,这些指令配置的权限将被CGI脚本所继承。

(3)配置服务器支持长连接

#
# KeepAlive: Whether or not to allow persistent connections (more than
# one request per connection). Set to "Off" to deactivate.
#
KeepAlive ON       #将长连接选项打开keep

(4)加载模块配置

# Example:
# LoadModule foo_module modules/mod_foo.so
#
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authn_alias_module modules/mod_authn_alias.so
LoadModule authn_anon_module modules/mod_authn_anon.so


●主服务器

(1)站点目录配置

#ServerName www.example.com:80  #主机名定义
DocumentRoot           #配置站点目录
<Directory "">
</Directory>
<Location "URL">

(2)配置页面文件访问属性

<Directory "FS_PATH">
   Option
      Indexes:是否允许索引页面文件
</Directory>

注:在生产线上非下载站点,不允许使用索引页面,非常的不安全

FollowSynlinks:是否跟随链接文件:
SymlinksifOwnerMatch :
ExecCGI:是否运行执行CGI脚本;

(3)APACHE访问控制

利用Apache实现访问控制的配置指令包括如下3种.

1.Order指令

Order指令用于指定允许访问控制或者拒绝访问控制规则的顺序。

Order只能设置为“Order Allow,Deny"或Order Deny ,Allow",分别用来表明用户先设置允许的访问地址还是先设置禁止访问的地址。

Order选项用于定义默认的访问权限与Allow和Deny语句的处理顺序,而Allow和Deny语句可以针对客户机的域名或IP地址进行设置,以决定哪些客户机能够访问服务器。

Order语句设置的两种值的具体含义如下.

★Allow,Deny

默认禁止所有客户机的访问,且Allow语句在Deny语句之前被匹配。如果某条件即配Deny语句,又匹配Allow语句,则Deny语句会起作用(因为Deny语句覆盖了Allow语句)。

★Deny,Allow

默认允许所有客户机访问,且Deyn语句在Allow语句之前被匹配。如果某条件即匹配Deny语句,又匹配Allow语句,则Allow语句会起作用(因为Allow语句覆盖了Deny语句)。

2、Allow指令

Allow指令指明运行访问的地址或地址序列。例如Allow from all指令表明允许所有IP来的访问请求。

3、Deny指令

Deny指令指明禁止访问的地址或地址序列。例如Deny from all指令表明禁止所有的IP来的范围请求。

4、userdir配置让每个用户拥有自己的站点


<IfModule mod_userdir.c>
    #
    #
    UserDir disabled          #禁用
    #
    # To enable requests to /~user/ to serve the user's public_html
    # directory, remove the "UserDir disabled" line above, and uncomment
    # the following line instead:
    #
    #UserDir public_html      #启用

5、定义默认主页面

DirectoryIndex   index.php index.jsp  index.html  #优先找到的话放在最左侧

6、配置日志功能

日志有两类,访问日志和错误日志。

错误日志:

ErrorLog logs/error_log
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common                                      
LogFormat "%{Referer}i -> %U" referer                                             
LogFormat "%{User-agent}i" agent

访问日志

CustomLog logs/access_log combined
#
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated详细日志:

7、设置虚拟目录和目录权限

要从主目录以外的其他目录中进行发布,就必须创建虚拟目录。虚拟目录是一个为于Apache主目录外的目录,它不包含在Apache主目录中,但在访问Web站点的用户看来,它与位于主目录中的子目录是一样的。每个虚拟目录有一个别名,用户在Web浏览器中可以通过此名来访问虚拟目录,如http://Server IP //Alias文件名,就可以访问虚拟目录下的任何文件里。

使用Alias选项可以创建虚拟目录,在主配置文件中,Apache默认已经创建了两个虚拟目录,这两条语句分别建立了"/icons/"和“/manual"两个虚拟目录,它们对应的物理路径分别是”/var/www/icons"和“/var/www/manual"两个虚拟目录,它们对用的物理路径分别是”/var/www/icons/"和“/var/www/manual"

Alias /icons "/var/wwwicons/"
Alias /manual "/var/www/manual"

在实际使用过程中,用户可以自己创建虚拟目录,比如创建名为/test的虚拟目录,它所对应的路径为上面几个例子中常用的/var/www/html/rhel5:


Alias  /test  "/var/www.html/rhel5"

如果需要对其机型进行权限设置,可以加入以下语句:

<Directory "/var/www/html/rhel5">
  AllowOverride  None
Options Indexes
Order allow,deny
Allow from all
</Directory>

8、脚本路径别名,必须要装载CGI模块

  CGI:协议

ScriptAlias /PATH /PAHT/TO/SOMEDIR
CGI测试脚本
#!/bin/bash
cat <<EOF
Content-Type:test/html
<pre>
The hostname is: `/bin/hostname`.
The time is:`date`.
</pre>

9、认证和授权使用实例

(1)使用主配置文件配置用户认证及授权

在本例中,用户可以在Apache的主配置文件httpd.conf中加入以下语句,建立对目录/var/www/html/rhel5访问的用户认证和授权机制:

<Directory ”/var/www/html/rhel5"
AllowOverride None
AuthType Basic
AuthName "rhel5"
AuthUserFile /etc/httpd/passwd_auth
Require user rhel5 cgweb
</Directory>

●AllowOveride:该选项定义了不使用htaccess文件

●AuthType Basic:AuthType 选项定义了对用户实施认证的类型,最常用的是由mod_auth提供的Basic

●AuthName:定义了Web浏览器显示输入用户/密码对话框时的领域内容。

●AuthUserFile:定义了口令文件的路径,即使用htpasswd建立的口令文件。

●Require user:定义了允许那些用户访问,各用户之间用空格分开。

需要注意的是,在AuthFile选项定义中,还要使用语句事先建立认证用户rhel5和cgweb,该选项中的定义才能生效。

具体语句如下:

#htpasswd -c /etc/httpd/passwd_auth rhel5
#htpasswd -c /etc/httpd/passwd_auth cgweb

(2)使用.htaccess文件配置用户认证和授权

在本例中,为了完成如上述例子统一的功能,需要先在主配置文件中加入以下语句:

<Directory "/var/www/html/rhel5">
AllowOverride AuthConfig
</Directory>

上述语句中的AllowOverride选项允许在.htaccess文件中使用认证和授权指令。

然后,在.htaccess文件中添加以下语句即可:


AuthType Basic
AuthName "Please Login:"
AuthUserFile /etc/httpd/passwd_auth
Require user rhel5 cgweb

在AuthUserFile选项定义中,也要使用如下语句事先建立认证用户rhel5和cgweb,该选项中定义才能生效:

#htpasswd -c /etc/httpd/passwd_auth rhel5
#htpasswd /etc/httpd/passwd_authcgweb

●虚拟主机

虚拟主机和主服务器不能同时使用,关闭主服务器,首先注释掉DocumentRoot主目录

(1)基于端口的虚拟主机

<VirtualHost 192.168.2.221:80>
  ServerName 123.com
  DocumentRoot "/web/host1"
  DirectoryIndex index.html
</VirtualHost>
<VirtualHost 192.168.2.221:8080>
  ServerName 456.com
  DocumentRoot "/web/host2"
  DirectoryIndex index.html
</VirtualHost>

(2)基于IP地址的虚拟主机

<VirtualHost 192.168.2.221:80>
  ServerName 123.com
  DocumentRoot "/web/host1"
  DirectoryIndex index.html
</VirtualHost>
<VirtualHost 192.168.2.225:80>
  ServerName 456.com
  DocumentRoot "/web/host2"
  DirectoryIndex index.html
</VirtualHost>

(3)基于主机名的虚拟主机。首先开启NameVirtualHost 192.168.2.221:80

<VirtualHost 192.168.2.221:80>
  ServerName www.abc.com
  DocumentRoot "/web/host1"
  DirectoryIndex index.html
</VirtualHost>
<VirtualHost 192.168.2.225:80>
  ServerName www.cba.org
  DocumentRoot "/web/host2"
  DirectoryIndex index.html
</VirtualHost>

在主机hosts中绑定这两个域名,用elinks测试

[root@node1 ~]# elinks -dump http://www.abc.com
     node1
[root@node1 ~]# elinks -dump http://www.cba.org
     node2