来源: 互联网  发布时间: 2013-12-24

经常上网的读者会遇到这种情况：访问一些网站的某些资源时，浏览器弹出一个对话框，要求输入用户名和密码来获取对资源的访问。这就是用户认证的一种技术。用户认证是保护网络系统资源的第一道防线，它控制着所有登录并检查访问用户的合法性，其目标是仅让合法用户以合法的权限访问网络系统的资源。基本的用户认证技术是“用户名＋密码”。 


Apache是目前流行的Web服务器，可运行在Linux、Unix、Windows等操作系统下，它可以很好地解决“用户名＋密码”的认证问题。Apache用户认证所需要的用户名和密码有两种不同的存贮方式：一种是文本文件；另一种是MSQL、Oracle、MySQL等数据库。下面以Linux的Apache为例，就这两种存贮方式，分别介绍如何实现用户认证功能，同时对Windows的Apache用户认证作简要的说明。 

采用文本文件存储 

这种认证方式的基本思想是：Apache启动认证功能后，就可以在需要限制访问的目录下建立一个名为.htaccess的文件，指定认证的配置命令。当用户第一次访问该目录的文件时，浏览器会显示一个对话框，要求输入用户名和密码，进行用户身份的确认。若是合法用户，则显示所访问的页面内容，此后访问该目录的每个页面，浏览器自动送出用户名和密码，不用再输入了，直到关闭浏览器为止。以下是实现的具体步骤： 

以超级用户root进入Linux，假设Apache 1.3.12已经编译、安装到了/usr/local/apache目录中。缺省情况下，编译Apache时自动加入mod_auth模块，利用此模块可以实现“用户名+密码”以文本文件为存储方式的认证功能。 

1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf，对认证资源所在的目录设定配置命令。下例是对/usr/local/apache/htdocs/members目录的配置： 

＜Directory /usr/local/apache/htdocs /members＞ 

Options Indexes FollowSymLinks 

allowoverride authconfig 

order allow,deny 

allow from all 

＜/Directory＞ 

其中，allowoverride authconfig一行表示允许对/usr/local/apache/htdocs/ members目录下的文件进行用户认证。 

2.在限制访问的目录/usr/local/apache/htdocs/members下建立一个文件.htaccess，其内容如下： 

AuthName "会员区" 

AuthType basic 

AuthUserFile/usr/local/apache/members.txt 

require valid-user 

说明：文件.htaccess中常用的配置命令有以下几个： 

1) AuthName命令：指定认证区域名称。区域名称是在提示要求认证的对话框中显示给用户的(见附图)。 

2)AuthType命令：指定认证类型。在HTTP1.0中，只有一种认证类型：basic。在HTTP1.1中有几种认证类型，如：MD5。 

3) AuthUserFile命令：指定一个包含用户名和密码的文本文件，每行一对。 

4) AuthGroupFile命令：指定包含用户组清单和这些组的成员清单的文本文件。组的成员之间用空格分开，如： 

managers:user1 user2 

5) require命令：指定哪些用户或组才能被授权访问。如： 

require user user1 user2(只有用户user1和user2可以访问) 

requiresgroupsmanagers (只有组managers中成员可以访问) 

require valid-user (在AuthUserFile指定的文件中任何用户都可以访问) 

3.利用Apache附带的程序htpasswd，生成包含用户名和密码的文本文件：/usr/local/apache/members.txt，每行内容格式为“用户名:密码”。 

#cd /usr/local/apache/bin 

#htpasswd -bc ../members.txt user1 1234 

#htpasswd -b ../members.txt user2 5678 

文本文件members.txt含有两个用户：user1,口令为1234；user2，口令为5678。注意，不要将此文本文件存放在Web文档的目录树中，以免被用户下载。 

欲了解htpasswd程序的帮助，请执行htpasswd -h。 

当用户数量比较少时，这种方法对用户的认证是方便、省事的，维护工作也简单。但是在用户数量有数万人，甚至数十万人时，会在查找用户上花掉一定时间，从而降低服务器的效率。这种情形，应采用数据库方式。 

采用数据库存储 

目前，Apache、PHP4、MySQL三者是Linux下构建Web网站的最佳搭档，这三个软件都是免费软件。将三者结合起来，通过HTTP协议，利用PHP4和MySQL，实现Apache的用户认证功能。 

只有在PHP4以Apache的模块方式来运行的时候才能进行用户认证。为此，在编译Apache时需要加入PHP4模块一起编译。假设PHP4作为Apache的模块，编译、安装Apache到/usr/local/apache目录，编译、安装MySQL到/usr/local/mysql目录。然后进行下面的步骤： 

1.在MySQL中建立一个数据库member，在其中建立一个表users，用来存放合法用户的用户名和密码。 

1)用vi命令在/tmp目录建立一个SQL脚本文件auth.sql，内容为： 

drop database if exists member; 

create database member; 

use member; 

create table users ( 

username char(20) not null, 

password char(20) not null, 

); 

insertsintosusers values("user1",password("1234")); 

insertsintosusers values("user2",password("5678")); 

2)启动MySQL客户程序mysql，执行上述SQL脚本文件auth.sql的命令，在表users中增加两个用户的记录。 

#mysql -u root -pmypwd＜/tmp/auth.sql 

2.编写一个PHP脚本头文件auth.inc，程序内容为： 

＜?php 

function authenticate() { 

Header('WWW-authenticate: basic realm="会员区"'); 

Header('HTTP/1.0 401 Unauthorized'); 

echo "你必须输入正确的用户名和口令。 "; 

exit; 

} 

function CheckUser(, ) { 

if ( == "" 
 == "") return 0; 

 = "SELECT username,password FROM usersswheresusername='' and password=password('')"; 

 = mysql_connect('localhost', 'root', 'mypwd'); 

mysql_select_db('member',); 

 = mysql_query(, ); 

=mysql_num_rows(); 

mysql_close(); 

if (＞0) { 

return 1; //有效登录 

} else { 

return 0; //无效登录 

} 

} 

?＞ 

函数Authenticate()的作用是利用函数Header('WWW-authenticate: basic realm="会员区"')，向浏览器发送一个认证请求消息，使浏览器弹出一个用户名/密码的对话框。当用户输入用户名和密码后，包含此PHP脚本的URL将自动地被再次调用，将用户名、密码、认证类型分别存放到PHP4的三个特殊变量：、、，在PHP程序中可根据这三个变量值来判断是否合法用户。Header()函数中，basic表示基本认证类型，realm的值表示认证区域名称。 

函数Header('HTTP/1.0 401 Unauthorized')使浏览器用户在连续多次输入错误的用户名或密码时接收到HTTP 401错误。 

函数CheckUser()用来判断浏览器用户发送来的用户名、密码是否与MySQL数据库的相同，若相同则返回1，否则返回0。其中mysql_connect('localhost', 'root', 'mypwd')的数据库用户名root和密码mypwd，应根据自己的MySQL设置而改变。 

3.在需要限制访问的每个PHP脚本程序开头增加下列程序段: 

＜?php 

require('auth.inc'); 

if (CheckUser(,)==0) { 

authenticate(); 

} else { 

echo "这是合法用户要访问的网页。"; //将此行改为向合法用户输出的网页 

} 

?＞ 

把需要向合法用户显示的网页内容放到else子句中，取代上述程序段的一行： 

echo "这是合法用户要访问的网页。"; 

这样，当用户访问该PHP脚本程序时，需要输入用户名和密码来确认用户的身份。 

Windows的Apache用户认证 

1.采用文本文件存放用户名和密码时，其方法同前，但需要注意的是表示路径的目录名之间、目录名与文件名之间一律用斜线“/”分开，而不是反斜线“”。 

2.采用MySQL数据库存放用户名和密码时，首先按下列方法将PHP 4.0.3作为Apache的模块来运行，然后按上述“采用数据库存储用户名和密码的用户认证”的方法完成。 

1)下载Windows版的Apache 1.3.12、PHP 4.0.3、MySQL 3.2.32，将三个软件分别解压、安装到C:pache、C:PHP4、C:mysql目录。 

2) C:PHP4SAPI目录有几个常用Web服务器的PHP模块文件，将其中php4apache.dll拷贝到Apache的modules子目录(C:pachemodules)。 

3)修改Apache的配置文件C:pachenfhttpd.conf，增加以下几行： 

LoadModule php4_module modules/ php4apache.dll 

AddType application/x-httpd-php .php3 

AddType application/x-httpd-php-source .phps 

AddType application/x-httpd-php .php 

第一行使PHP4以Apache的模块方式运行，这样才能进行用户认证，后三行定义PHP脚本程序的扩展名。 

4)在autoexec.bat文件的PATH命令中增加PHP4所在路径“C:PHP4”，重新启动电脑。 

    

    来源: 互联网  发布时间: 2013-12-24

Apache服务器配置全攻略（一）

Apache服务器的设置文件位于/usr/local/apache/conf/目录下，传统上使用三个配置文件httpd.conf,access.conf和srm.conf，来配置Apache服务器的行为。
httpd.conf提供了最基本的服务器配置，是对守护程序httpd如何运行的技术描述；srm.conf是服务器的资源映射文件，告诉服务器各种文件的MIME类型，以及如何支持这些文件；access.conf用于配置服务器的访问权限，控制不同用户和计算机的访问限制；这三个配置文件控制着服务器的各个方面的特性，因此为了正常运行服务器便需要设置好这三个文件。 
除了这三个设置文件之外，Apache还使用mime.types文件用于标识不同文件 
对应的MIME类型， magic文件设置不同MIME类型文件的一些特殊标识，使得Apache 服务器从文档后缀不能判断出文件的MIME 类型时，能通过文件内容中的这些特殊标记来判断文档的MIME类型。 
bash-2.02$ ls -l /usr/local/apache/conf 
total 100 
-rw-r--r-- 1 root wheel 348 Apr 16 16:01 access.conf 
-rw-r--r-- 1 root wheel 348 Feb 13 13:33 access.conf.default 
-rw-r--r-- 1 root wheel 30331 May 26 08:55 httpd.conf 
-rw-r--r-- 1 root wheel 29953 Feb 13 13:33 httpd.conf.default 
-rw-r--r-- 1 root wheel 12441 Apr 19 15:42 magic 
-rw-r--r-- 1 root wheel 12441 Feb 13 13:33 magic.default 
-rw-r--r-- 1 root wheel 7334 Feb 13 13:33 mime.types 
-rw-r--r-- 1 root wheel 383 May 13 17:01 srm.conf 
-rw-r--r-- 1 root wheel 357 Feb 13 13:33 srm.conf.default 
事实上当前版本的Apache将原来httpd.conf、srm.conf与access.conf中的所有配置参数均放在了一个配置文件httpd.conf中，只是为了与以前的版本兼容的原因（使用这三个设置文件的方式来源于NCSA-httpd），才使用三个配置文件。而提供的access.conf和srm.conf文件中没有具体的设置。 
由于在新版本的Apache中，所有的设置都被放在了httpd.conf中，因此只需要调整这个文件中的设置。以下使用缺省提供的httpd.conf为例，解释Apache服务器的各个设置选项。然而不必因为它提供设置的参数太多而烦恼，基本上这些参数都很明确，也可以不加改动运行Apache服务器。但如果需要调整Apache服务器的性能，以及增加对某种特性的支持，就需要了解这些设置参数的含义。 
关于Apache服务器的性能，在Internet上存在很大的争议，基本上使用Apache的使用者几乎都不怀疑它的优秀性能，Apache也支撑了很多著名的高负载的网站，但是在商业机构的评测中，Apache往往得分不高。很多人指出，在这些评测中，商业Web服务器及其操作系统往往由其专业公司的工程师进行过性能调整，而Free 的操作系统和Web服务器往往就使用其缺省配置或仅仅作很小的更改。需要指出的是，除了操作系统的性能调整之外，Apache 服务器本身的缺省配置绝不是最优化和最高效的，而是要适应几乎所有种类操作系统、所有种类硬件下的设置，多平台的软件不可能为特定平台和特定硬件提供最优化的缺省配置。因此要使用Apache的时候，性能调整是必不可少的。

在商业评测中忽略了的另一个事实是，评测时往往对不同种类的功能进行比较，例如使用Apache的标准CGI 的性能与ISAPI，NSAPI等服务器端API比较，事实上Apache服务器与此可以比较的功能为modperl ，FastCGI，与ASP类似的功能为PHP等等，只不过由于Apache的开放模式，这些功能是由独立的开发组，作为独立的模块来实现的。但是在评测中，测试人员没有加入相应的模块评测其性能。 
HTTP守护进程的运行参数 
httpd.conf中首先定义了一些httpd守护进程运行时需要的参数，来决定其运行方式和运行环境。 
ServerType standalone 
ServerType定义服务器的启动方式，缺省值为独立方式standalone，httpd 
服务器将由其本身启动，并驻留在主机中监视连接请求。在Linux下将在启动文件 /etc/rc.d/rc.local/init.d/apache中自动启动Web服务器，这种方式是推荐设置。 
启动Apache服务器的另一种方式是inet方式，使用超级服务器inetd监视连接请求并启动服务器。当需要使用inetd启动方式时，便需要更改为这个设置，并屏蔽/etc/rc.d/rc.local/init.d/apache文件，以及更改/etc/inetd.conf并重起inetd，那么Apache就能从inetd中启动了。 
两种方式的区别是独立方式是由服务器自身管理自己的启动进程，这样在启动时能立即启动服务器的多个副本，每个副本都驻留在内存中，一有连接请求不需要生成子进程就可以立即进行处理，对于客户浏览器的请求反应更快，性能较高。而 inetd方式要由inetd发现有连接请求后才去启动http服务器，由于inetd 要监听太多的端口，因此反应较慢、效率较低，但节约了没有连接请求时Web服务器占用的资源。因此inetd方式只用于偶尔被访问并且不要求访问速度的服务器上。事实上inetd方式不适合http的突发和多连接的特性，因为一个页面可能包含多个图象，而每个图象都会引起一个连接请求，即使虽然访问人数造成教少，但瞬间的连接请求并不少，这就受到inetd性能的限制，甚至会影响由inetd启动的其他服务器程序。 
ServerRoot "/usr/local" 
ServerRoot用于指定守护进程httpd的运行目录，httpd在启动之后将自动将进程的当前目录改变为这个目录，因此如果设置文件中指定的文件或目录是相对路径，那么真实路径就位于这个ServerRoot定义的路径之下。 
由于httpd会经常进行并发的文件操作，就需要使用加锁的方式来保证文件操作不冲突，由于NFS文件系统在文件加锁方面能力有限，因此这个目录应该是本地磁盘文件系统，而不应该使用NFS文件系统。 
#LockFile /var/run/httpd.lock 
LockFile参数指定了httpd守护进程的加锁文件，一般不需要设置这个参数， Apache服务器将自动在ServerRoot下面的路径中进行操作。但如果ServerRoot为NFS文件系统，便需要使用这个参数指定本地文件系统中的路径。 
PidFile /var/run/httpd.pid 
PidFile指定的文件将记录httpd守护进程的进程号，由于httpd能自动复制其自身，因此系统中有多个httpd进程，但只有一个进程为最初启动的进程，它为其他进程的父进程，对这个进程发送信号将影响所有的httpd进程。PidFILE定义的文件中就记录httpd父进程的进程号。 
ScoreBoardFile /var/run/httpd.scoreboard 
httpd使用ScoreBoardFile来维护进程的内部数据，因此通常不需要改变这个参数，除非管理员想在一台计算机上运行几个Apache服务器，这时每个Apache服务器都需要独立的设置文件htt pd.conf，并使用不同的ScoreBoardFile。 
#ResourceConfig conf/srm.conf 
#AccessConfig conf/access.conf 
这两个参数ResourceConfig和AccessConfig，就用于和使用 srm.conf 和 access.conf 设置文件的老版本Apache兼容。如果没有兼容的需要，可以将对应的设置文件指定为/dev/null，这将表示不存在其他设置文件，而仅使用httpd.conf 一个文件来保存所有的设置选项。 
Timeout 300 
Timeout定义客户程序和服务器连接的超时间隔，超过这个时间间隔（秒）后服务器将断开与客户机的连接。 
KeepAlive On 
在HTTP 1.0中，一次连接只能作传输一次HTTP请求，而KeepAlive参数用于支持HTTP 1.1版本的一次连接、多次传输功能，这样就可以在一次连接中传递多个HTTP请求。虽然只有较新的浏览器才支持这个功能，但还是打开使用这个选项。 
MaxKeepAliveRequests 100 
MaxKeepAliveRequests为一次连接可以进行的HTTP请求的最大请求次数。将其值设为0将支持在一次连接内进行无限次的传输请求。事实上没有客户程序在一次连接中请求太多的页面，通常达不到这个上限就完成连接了。 
KeepAliveTimeout 15 
KeepAliveTimeout测试一次连接中的多次请求传输之间的时间，如果服务器已经完成了一次请求，但一直没有接收到客户程序的下一次请求，在间隔超过了这个参数设置的值之后，服务器就断开连接。

Apache服务器配置全攻略（二）
MinSpareServers 5MaxSpareServers 10 
在使用子进程处理HTTP请求的Web服务器上，由于要首先生成子进程才能处理客户的请求，因此反应时间就有一点延迟。但是，Apache服务器使用了一个特殊技术来摆脱这个问题，这就是预先生成多个空余的子进程驻留在系统中，一旦有请求出现，就立即使用这些空余的子进程进行处理，这样就不存在生成子进程造成的延迟了。在运行中随着客户请求的增多，启动的子进程会随之增多，但这些服务器副本在处理完一次HTTP请求之后并不立即退出，而是停留在计算机中等待下次请求。但是空余的子进程副本不能光增加不减少，太多的空余子进程没有处理任务，也占用服务器的处理能力，因此也要限制空余副本的数量，使其保持一个合适的数量，使得既能及时回应客户请求，又能减少不必要的进程数量。 
因此就可以使用参数MinSpareServers来设置最少的空余子进程数量， 以及 
使用参数MaxSpareServers 来限制最多的空闲子进程数量，多余的服务器进程副本就会退出。根据服务器的实际情况来进行设置，如果服务器性能较高，并且也被频繁访问，就应该增大这两个参数的设置。对于高负载的专业网站，这两个值应该大致相同，并且等同于系统支持的最多服务器副本数量，也减少不必要的副本退出。

StartServers 5 
StartServers参数就是用来设置httpd启动时启动的子进程副本数量，这个参数与上面定义的MinSpareServers和MaxSpareServers参数相关，都是用于启动空闲子进程以提高服务器的反应速度的。这个参数应该设置为前两个值之间的一个数值，小于MinSpareServers和大于MaxS pareServers都没有意义。 
MaxClients 150 
在另一方面，服务器的能力毕竟是有限的，不可能同时处理无限多的连接请求，因此参数Maxclient s就用于规定服务器支持的最多并发访问的客户数，如果这个值设置得过大，系统在繁忙时不得不在过多的进程之间进行切换来为太多的客户进行服务，这样对每个客户的反应就会减慢，并降低了整体的效率。如果这个值设置的较小，那么系统繁忙时就会拒绝一些客户的连接请求。当服务器性能较高时，就可以适当增加这个值的设置。对于专业网站，应该使用提高服务器效率的策略，因此这个参数不能超过硬件本身的限制，如果频繁出现拒绝访问现象，就说明需要升级服务器硬件了。对于非专业网站，不太在意对客户浏览器的反应速度，或者认为反应速度较慢也比拒绝连接好，就也可以略微超过硬件条件来设置这个参数。 
这个参数限制了MinSpareServers和MaxSpareServers的设置，它们不应该大于这个参数的设置。 
MaxRequestsPerChild 30 
使用子进程的方式提供服务的Web服务，常用的方式是一个子进程为一次连接服务，这样造成的问题就是每次连接都需要生成、退出子进程的系统操作，使得这些额外的处理过程占据了计算机的大量处理能力。因此最好的方式是一个子进程可以为多次连接请求服务，这样就不需要这些生成、退出进程的系统消耗，Apache就采用了这样的方式，一次连接结束后，子进程并不退出，而是停留在系统中等待下一次服务请求，这样就极大的提高了性能。

但由于在处理过程中子进程要不断的申请和释放内存，次数多了就会造成一些内存垃圾，就会影响系统的稳定性，并且影响系统资源的有效利用。因此在一个副本处理过一定次数的请求之后，就可以让这个子进程副本退出，再从原始的httpd进程中重新复制一个干净的副本，这样就能提高系统的稳定性。这样，每个子进程处理服务请求次数由MaxRe questPerChild定义。 缺省的设置值为30，这个值对于具备高稳定性特点的Linux系统来讲是过于保守的设置，可以设置为1000甚至更高，设置为0支持每个副本进行无限次的服务处理。 
#Listen 3000 
#Listen 12.34.56.78:80 
#BindAddress * 
Listen参数可以指定服务器除了监视标准的80端口之外，还监视其他端口的HTTP请求。由于FreeBSD系统可以同时拥有多个IP地址，因此也可以指定服务器只听取对某个BindAddress< /B>的IP地址的HTTP请求。如果没有配置这一项，则服务器会回应对所有IP的请求。 
即使使用了BindAddress参数，使得服务器只回应对一个IP地址的请求，但是通过使用扩展的Listen参数，仍然可以让HTTP守护进程回应对其他IP地址的请求。此时Listen参数的用法与上面的第二个例子相同。这种比较复杂的用法主要用于设置虚拟主机。此后可以用VirtualHost参数定义对不同IP的虚拟主机，然而这种用法是较早的HTTP 1.0标准中设置虚拟主机的方法，每针对一个虚拟主机就需要一个IP地址，实际上用处并不大。在HTTP 1.1中，增加了对单IP地址多域名的虚拟主机的支持，使得虚拟主机的设置具备更大的意义。 
LoadModule mime_magic_module libexec/apache/mod_mime_magic.so 
LoadModule info_module libexec/apache/mod_info.so 
LoadModule speling_module libexec/apache/mod_speling.so 
LoadModule proxy_module libexec/apache/libproxy.so 
LoadModule rewrite_module libexec/apache/mod_rewrite.so 
LoadModule anon_auth_module libexec/apache/mod_auth_anon.so 
LoadModule db_auth_module libexec/apache/mod_auth_db.so 
LoadModule digest_module libexec/apache/mod_digest.so 
LoadModule cern_meta_module libexec/apache/mod_cern_meta.so 
LoadModule expires_module libexec/apache/mod_expires.so 
LoadModule headers_module libexec/apache/mod_headers.so 
LoadModule usertrack_module libexec/apache/mod_usertrack.so 
LoadModule unique_id_module libexec/apache/mod_unique_id.so 
ClearModuleList 
AddModule mod_env.c 
AddModule mod_log_config.c 
AddModule mod_mime_magic.c 
AddModule mod_mime.c 
AddModule mod_negotiation.c 
AddModule mod_status.c 
AddModule mod_info.c 
AddModule mod_include.c 
AddModule mod_autoindex.c 
AddModule mod_dir.c 
AddModule mod_cgi.c 
AddModule mod_asis.c 
AddModule mod_imap.c 
AddModule mod_actions.c 
AddModule mod_speling.c 
AddModule mod_userdir.c 
AddModule mod_proxy.c 
AddModule mod_alias.c 
AddModule mod_rewrite.c 
AddModule mod_access.c 
AddModule mod_auth.c 
AddModule mod_auth_anon.c 
AddModule mod_auth_db.c 
AddModule mod_digest.c 
AddModule mod_cern_meta.c 
AddModule mod_expires.c 
AddModule mod_headers.c 
AddModule mod_usertrack.c 
AddModule mod_unique_id.c 
AddModule mod_so.c 
AddModule mod_setenvif.c

Apache服务器的一个重要特性就是其模块化的结构，这不但表现为其能在编译时能通过新的模块加入新的功能，还表现为其模块可以动态加载入http服务程序中，而不必载入不需要的模块。使用Apache的动态加载模块只需要设置好Load Module和AddModule参数就可以了，这种特性就是Apache的 DSO（Dynamic Shared Object）特性，然而要想充分使用DSO特性仍然不是一个简单的事情，不适当的改动这里的设置就可能造成服务器不能正常启动。因此如果不是要增加或减少服务器提供的功能，就不要改动这里的设置。
上面这些列表就显示了Linux下的缺省Apache服务器支持的模块，事实上很多模块是没有必要的，不必要模块不会被载入内存。模块可以静态连接到pache 服务器内部，也可以这样动态加载，将Apache的特性都编译成动态可加载模块是该Port的做法，而不是Apache的缺省做法，这样就以牺牲很小的性能的同时，带来极大的灵活性。
因而动态可加载的能力还是对性能有轻微的影响，因此可以重新编译Apache，将自己所需要的功能编译进Apache 服务器内部，可以让系统显得更为干净，效率也有轻微的提高。通常仅仅为了这一个目的就重新编译Apache是没有必要的，如果需要增加其他特性而重新编译Apache，不妨在增加其他模块的同时将所有的模块都静态连接入Apache 服务器。有的使用者更喜欢动态加载模块，那么也不妨全部都使用动态加载模块。
这些模块都被放置到/usr/local/apache/libexec/目录下， 每个模块对应Apache服务器的一个特性。详细解释每个模块的功能需要相当多的篇幅，其中比较重要的特性将在后面相应的地方中进行解释，而具体每个模块的功能及用法就需要查看Apache的文档。
#ExtendedStatus On 
Apache服务器可以通过特殊的HTTP请求，来报告自身的运行状态，打开这个ExtendedStatus 参数可以让服务器报告更全面的运行状态信息。

    

    来源: 互联网  发布时间: 2013-12-24

Apache服务器配置全攻略（三）
主服务器设置 
Apache服务器需要各种设置，以定义自己使用各种参数以提供Web服务。对于使用虚拟主机的情况，除了在虚拟主机的定义项中覆盖的设置之外（有的设置必须重新定义），这里的设置也是虚拟主机的缺省设置。 
Port 80 
Port定义了Standalone模式下httpd守护进程使用的端口，标准端口是80。这个选项只对于以独立方式启动的服务器才有效，对于以inetd方式启动的服务器则在inetd.conf中定义使用哪个端口。 
在Unix下使用80端口需要root权限，一些管理员为了安全的原因，认为 httpd 服务器不可能没有安全漏洞，因而更愿意使用普通用户的权限来启动服务器，这样就不能使用80端口及其他小于1024的端口，而必须使用大于 1024的端口来启动httpd，一般情况下8000或8080也是常用的端口。而Apache httpd服务器本身可以在以root权限打开80端口后再改变为普通用户身份进行运行，这样就减少了危险性，因而就不需要考虑这个安全问题。但是如果普通用户也想安装配置自己的WWW服务器，那么就不得不使用大于1024的端口。 
User nobody 
Group nogroup 
User和Group配置是Apache的安全保证，Apache在打开端口之后，就将其本身设置为这两个选项设置的用户和组权限进行运行，这样就降低了服务器的危险性。这个选项也只用于 Standalone模式，inetd模式在inetd.conf中指定运行Apache的用户。由于服务器必须执行改变身份的setuid()操作，因此初始进程应该具备root权限，如果是使用非root用户来启动Aapche，这个配置就不会发挥作用。 
缺省设置为nobody和nogroup，这个用户和组在系统中不拥有文件，保证了服务器本身和由它启动的CGI 进程没有权限更改文件系统。在某些情况下，例如为了运行CGI与Unix交互，也需要让服务器来访问服务器上的文件，如果仍然使用nobody和nogroup，那么系统中将会出现属于nobody的文件，这对于系统安全是不利的，因为其他程序也会以nobody和nogroup的权限执行某些操作，就有可能访问这些nobody拥有的文件，造成安全问题。一般情况下要为Web服务设定一个特定的用户和组，同时在这里更改用户和组设置。 
ServerAdmin you@your.address 
配置文件中应该改变的也许只有ServerAdmin， 这一项用于配置WWW服务器的管理员的email地址，这将在HTTP服务出现错误的条件下返回给浏览器，以便让Web使用者和管理员联系，报告错误。习惯上使用服务器上的webmaster作为WWW服务器的管理员，通过邮件服务器的别名机制，将发送到webmaster 的电子邮件发送给真正的Web管理员。

#ServerName new.host.name 
缺省情况下，并不需要指定这个ServerName参数，服务器将自动通过名字解析过程来获得自己的名字，但如果服务器的名字解析有问题（通常为反向解析不正确），或者没有正式的DNS名字，也可以在这里指定IP地址。当ServerName设置不正确的时候，服务器不能正常启动。 
通常一个Web服务器可以具有多个名字，客户浏览器可以使用所有这些名字或IP地址来访问这台服务器，但在没有定义虚拟主机的情况下，服务器总是以自己的正式名字回应浏览器。ServerName就定义了Web服务器自己承认的正式名字，例如一台服务器名字（在DNS中定义了A类型）为exmaple.org.cn，同时为了方便记忆还定义了一个别名（CNAME记录）为www.exmaple.org.cn，那么Apache自动解析得到的名字就为example.org.cn，这样不管客户浏览器使用哪个名字发送请求，服务器总是告诉客户程序自己为 example.org.cn。虽然这一般并不会造成什么问题，但是考虑到某一天服务器可能迁移到其他计算机上，而只想通过更改DNS中的www别名配置就完成迁移任务，所以不想让客户在其书签中使用 Linux 记录下这个服务器的地址，就必须使用ServerName来重新指定服务器的正式名字。
DocumentRoot "/www/" 
DocumentRoot定义这个服务器对外发布的超文本文档存放的路径，客户程序请求的UR L就被映射为这个目录下的网页文件。这个目录下的子目录，以及使用符号连接指出的文件和目录都能被浏览器访问，只是要在URL上使用同样的相对目录名。
注意，符号连接虽然逻辑上位于根文档目录之下，但实际上可以位于计算机上的任意目录中，因此可以使客户程序能访问那些根文档目录之外的目录，这在增加了灵活性的同时但减少了安全性。Apache在目录的访问控制中提供了FollowSymLinks选项来打开或关闭支持符号连接的特性。

Apache服务器配置全攻略（四）
Options FollowSymLinks 
AllowOverride None 
Apache服务器可以针对目录进行文档的访问控制，然而访问控制可以通过两种方式来实现，一个是在设置文件 httpd.conf（或access.conf）中针对每个目录进行设置，另一个方法是在每个目录下设置访问控制文件，通常访问控制文件名字为.htaccess。虽然使用这两个方式都能用于控制浏览器的访问，然而使用配置文件的方法要求每次改动后重新启动httpd守护进程，比较不灵活，因此主要用于配置服务器系统的整体安全控制策略，而使用每个目录下的.htaccess文件设置具体目录的访问控制更为灵活方便。 
Directory语句就是用来定义目录的访问限制的，这里可以看出它的标准语法，为一个目录定义访问限制。上例的这个设置是针对系统的根目录进行的，设置了允许符号连接的选项FollowSymLinks ，以及使用AllowOverride None表示不允许这个目录下的访问控制文件来改变这里进行的配置，这也意味着不用查看这个目录下的相应访问控制文件。 
由于Apache对一个目录的访问控制设置是能够被下一级目录继承的，因此对根目录的设置将影响到它的下级目录。注意由于AllowOverride None的设置，使得Apache服务器不需要查看根目录下的访问控制文件，也不需要查看以下各级目录下的访问控制文件，直至httpd.conf（或access.conf ）中为某个目录指定了允许Alloworride，即允许查看访问控制文件。由于Apache对目录访问控制是采用的继承方式，如果从根目录就允许查看访问控制文件，那么Apache就必须一级一级的查看访问控制文件，对系统性能会造成影响。而缺省关闭了根目录的这个特性，就使得Apache从httpd.conf中具体指定的目录向下搜寻，减少了搜寻的级数，增加了系统性能。因此对于系统根目录设置AllowOverride None不但对于系统安全有帮助，也有益于系统性能。
Options Indexes FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 
这里定义的是系统对外发布文档的目录的访问设置，设置不同的 AllowOverride选项，以定义配置文件中的目录设置和用户目录下的安全控制文件的关系，而Options选项用于定义该目录的特性。 
配置文件和每个目录下的访问控制文件都可以设置访问限制，设置文件是由管理员设置的，而每个目录下的访问控制文件是由目录的属主设置的，因此管理员可以规定目录的属主是否能覆盖系统在设置文件中的设置，这就需要使用 啊AllowOverride参数进行设置，通常可以设置的值为： 
AllowOverride的设置 对每个目录访问控制文件作用的影响 
All 缺省值，使访问控制文件可以覆盖系统配置 
None 服务器忽略访问控制文件的设置 
Options 允许访问控制文件中可以使用Options参数定义目录的选项 
FileInfo 允许访问控制文件中可以使用AddType等参数设置 
AuthConfig 允许访问控制文件使用AuthName，AuthType等针对每个用户的认证机制，这使目录属主能用口令和用户名来保护目录 Limit 允许对访问目录的客户机的IP地址和名字进行限制每个目录具备一定属性，可以使用Options来控制这个目录下的一些访问特性设置，以下为常用的特性选项： 
Options设置 服务器特性设置 
All 所有的目录特性都有效，这是缺省状态 
None 所有的目录特性都无效 
FollowSymLinks 允许使用符号连接，这将使浏览器有可能访问文档根目录 （DocumentRoot）之外的文档 SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时，才允许访问，这个设置将增加一些安全性ExecCGI 允许这个目录下可以执行CGI程序 Indexes 允许浏览器可以生成这个目录下所有文件的索引，使得在这个目录下没有index.html（或其他索引文件）时，能向浏览器发送这个目录下的文件列表
此外，上例中还使用了Order、Allow、Deny等参数，这是Limit语句中用来根据浏览器的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序，而Allow、Deny则针对名字或IP进行访问控制设置，上例使用allowfrom all，表示允许所有的客户机访问这个目录，而不进行任何限制。 
UserDir public_html 
当在一台Linux上运行Apache服务器时，这台计算机上的所有用户都可以有自己的网页路径，形如 http://example.org.cn/~user，使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录，其名字就用UseDir这个参数进行定义，缺省为public_html。如果不想为正式的用户提供网页服务，使用DISABLED作UserDir的参数即可。 
# AllowOverride FileInfo AuthConfig Limit 
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec 
# Order allow,deny 
# Allow from all 
# Order deny,allow 
# Deny from all 
这里可以看到Directory的另一个用法，即可以通过简单的模式匹配方法，针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理，因此就会降低服务器的性能，所以缺省情况并没有打开这种访问限制。

Apache服务器配置全攻略（五） 
这里可以看到另外一个语句Limit，Limit语句就是用来针对具体的请求方法来设定访问控制的，其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数，来设定对不同请求方法的访问限制。一般可以打开对GET、POST、 HEAD三种请求方法，而屏蔽其他的请求方法，以增加安全性。Limit语句中，可以用Order 、Allow、Deny，Allow和Deny中可以使用匹配的方法针对域名和IP进行限制，只是对于域名是从后向前匹配，对于IP地址则从前向后匹配。 
DirectoryIndex index.html 
很多情况下，URL中并没有指定文档的名字，而只是给出了一个目录名。那么Apache服务器就自动返回这个目录下由DirectoryIndex定义的文件，当然可以指定多个文件名字，系统会这个目录下顺序搜索。当所有由DirectoryIndex指定的文件都不存在时，Apache服务器可以根据系统设置，生成这个目录下的所有文件列表，提供用户选择。此时该目录的访问控制选项中的Indexes选项（Options Indexes ）必须打开，以使得服务器能够生成目录列表，否则Apache将拒绝访问。 
AccessFileName .htaccess 
AccessFileName定义每个目录下的访问控制文件的文件名，缺省为.htaccess，可以通过更改这个文件，来改变不同目录的访问控制限制。 
Order allow,deny 
Deny from all 
除了可以针对目录进行访问控制之外，还可以根据文件来设置访问控制，这就是File语句的任务。使用File 语句，不管文件处于哪个目录，只要名字匹配， 就必须接受相应的访问控制。这个语句对于系统安全比较重要，例如上例将屏蔽所有的使用者不能访问.htaccess文件，这样就避免.htaccess中的关键安全信息不至于被客户获取。 
#CacheNegotiatedDocs 
缺省情况下如果代理服务器和Apache服务器协商是否缓存其网页，Apache给予否定的回答，不希望自己的网页被代理服务器缓存。然而这样就不能有效的利用代理服务器的优势，因此可以设置CacheNegotiatieDocs 选项， 使得代理服务器可以对网页进行缓存。然而即使不设置这个选项，有的代理服务器（或通过调整设置）也能对网页进行缓存。 
UseCanonicalName On 
打开这个UseCanonicalName是Web服务器的标准做法，因为客户发送的大部分请求都是对本服务器的引用，这样服务器就能使用ServerName和Port选项的设置内容构建完整的URL，并回应客户，使浏览器能得到规范的URL。如果将这个参数设置为Off，那么Apache将使用从客户请求中获得服务器的名字和端口值（支持HTTP 1.1的客户的请求中将会有这些信息），重新构建URL。 
TypesConfig /usr/local/apache/etc/mime.types 
TypeConfig用于设置保存有不同的MIME类型数据的文件名，在Linux下缺省设置为/usr/local/apache/etc/mime.types。 
DefaultType text/plain 
如果Web服务器不能决定一个文档的缺省类型，这通常表示文档使用了非标准的后缀，那么服务器就使用 DefaultType定义的MIME类型将文档发送给客户浏览器。这里的设置为text/plain，这样设置的问题是，如果服务器不能判断出文档的MIME，那么大部分情况下这个文档为一个二进制文档，但使用 text/plain格式发送回去，浏览器将在内部打开它而不会提示保存。因此建议将这个设置更改为 application/octet-stream，这样浏览器将提示用户进行保存。 
MIMEMagicFile /usr/local/apache/etc/magic 
除了从文件的后缀出发来判断文件的MIME类型之外，Apache还可以进一步分析文件的一些特征，来判断文件的真实MIME类型。这个功能是由mod_mime_magic 模块实现的，它需要一个记录各种MIME类型特征的文件，以进行分析判断。上面的设置是一个条件语句，如果载入了这个模块，就必须指定相应的标志文件magic的位置。