ubuntu server下apache安装配置以及优化

ubuntu server下apache安装配置以及优化

在ubuntu和debian中,apache2主要功能模块(Multi-Processing Module,多道处理模块,简称MPM)被分为了不同的软件包,它们分别是:

Apache2-mpm-event: 事件驱动的MPM;

Apache2-mpm-perchild:这只是个过渡的“假”软件包,依赖worker;

Apache2-mpm-prefork:传统MPM,兼容apache1.3,不使用线程;

Apache2-mpm-worker:支持多线程和多进程混合模型的高速MPM;

 

Ubuntu推荐使用apache2-mpm-worker。

 

$ sudo apt-get install apache2

 

Apache配置文件说明:

Apache2.conf:全局配置文件,不要轻易修改它;

Conf.d/:该目录存放一些一般性的配置;

Envvars:存放环境变量,一般不需要修改;

Httpd.conf:用户配置文件;

Mods-available/:该目录下是已经安装的可用模块;

Mods-enabled/:该目录下是已经启用的模块;

Ports.conf:httpd服务的端口;

Sites-available/该目录下是可用的虚拟主机

Sites-enabled/:该目录下是已经启用的虚拟主机;

 

$ sudo a2enmod :查看可用模块

$ sudo a2dismod :查看已启用模块

 

$sudo apt-cache search libapache2-mod :搜索所有模块

 

Ubuntu的apache2 为提供虚拟主机支持做了很好的配置。如果你的服务器只有一个网站,基本上不需要修改配置,虚拟主机就可以用了;如果有多个网站,则可以复制default虚拟主机的配置文件进行修改,这样可以迅速架设多个网站。

 

默认的虚拟主机路径:/etc/apache2/sites-available/default

 

创建一个新的虚拟主机:假设我们要创建一个域名为www.lgmtest.com的虚拟主机:

1)  复制default :

$ sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/www.lgmtest.com

2)  编辑文件:

$ sudo vi /etc/apache2/sites-available/www.lgmtest.com

将第一行的NameVirtualHost指令删除(所有的虚拟主机只保留一个NameVirtualHost指令即可),然后,将DocumentRoot的路径修改为/var/www/www.lgmtest.com/(自己设置),将<Directory /var/www/>修改为<Directory /var/www/www.lgmtest.com />

如果你有很多虚拟主机,建议修改ErrorLog和CustomLog的路径。

 

禁用default虚拟主机,并启用新建的www.lgmtest.com虚拟主机,然后重新启动apache

$ sudo a2dissite default && a2ensite www.lgmtest.com

$ sudo /etc/init.d/apache2 restart

 

虚拟主机配置详解(以default虚拟主机为例)

1.NameVirtualHost : 用来指定服务器ip的地址

语法  NameVirtualHost 192.168.1.1:8080

2.VirtualHost :  针对当前的虚拟主机。

语法<VirtualHost IP地址[:端口号] [IP地址[:端口号]] …>…<VirtualHost />

3.ServerAdmin:用来指定站长email地址。

4.DocumentRoot :用来指定网站的根目录,一般设置绝对路径,否则,apache将认为它的父目录是ServerRoot所定义的路径。

5.<Directory></Directory>指令是一对,它们中间所包含的指令,仅对指定的目录有效。该目录可以是特指的某个目录,比如:

<Directory /var/www/www.lgmtest.com>

</Directory>

此外,还支持通配符和正则表达式,用来匹配很多目录。比如:

<Directory /var/www/*.lgmtest.com>……</Directory>

6.Options:用来配置指定目录的特性,比如是否允许该目录下有符号链接、是否使用CGI等。这些特性包括:

All–>除MultiViews之外的所有特性(默认设置);

ExecCGI–>允许该目录通过mod_cgi运行CGI脚本;

FollowSymLinks–>允许在此目录中使用符号连接;

Includes–>在该目录中允许使用mod_include进行服务器端包含;

IncludesNOEXEC–>允许服务器端包含,但禁用“#exec cmd”和“#exec cgi”;

Indexes–>允许列目录。如果某个被访问的目录中没有DirectoryIndex指定的文件(如index.html),服务器将生成并显示目录列表;

MultiViews–>允许“内容协商”的“多重视图”。“内容协商”由mod_negotiation模块生成;

SymLinksIfOwnerMatch–>只允许使用这样的符号链接:这些符号链接与目标目录(或文件)的拥有者具有相同的UserID。

在Options指令中,可以使用加减号(+|-)。一般来说,如果你在一个目录上设置了多次的Options,则最特殊的一个会被完全接收,而其他的则会被忽略;然而,如果所有作用于Options指令的选项前都加上“+”或者“-”号,则此可选项将被合并——所有带“+”号的选项将强制覆盖当前的设置,而所有带“-”号的选项将强制从当前设置中去除。

7.AllowOverride:针对.htaccess文件的;可以允许该文件的全部指令,也可以只允许某些类型的指令,或者全部禁止。

语法:AllowOverride All | None | directive-type [directive-type] …

Apache本来的默认值是AllowOverride All,但是出于安全考虑,Ubuntu将其改为了AllowOverride None(直接忽略.htaccess文件)。

提示:AllowOverride仅在不包含正则表达式的<Directory>配置段中才是有效的。

8.Order:用来控制默认访问状态,以及Allow和Deny的生效顺序。这些顺序可以是“Deny,Allow”或者“Allow,Deny”。如果是前者,那么Deny在Allow指令之前被评估,默认允许所有访问。任何不匹配Deny指令或者匹配Allow指令的访问者都被允许访问;如果是后者,那么Allow在Deny之前被评估,默认拒绝所有访问。任何不匹配Allow指令或者匹配Deny指令的访问者将被禁止访问。

9.Allow:用来控制哪些主机可以访问。可以根据主机名、ip地址、ip范围或其他环境变量的定义来进行控制。

语法:Allow from all | host | env=env-variable [host | env=env-variable] …

10.Deny:用来限制主机访问的,语法和Allow完全相同。

11.ErrorLog:定义错误日志的位置。

12.LogLevel:控制日志的详细程度的级别级别顺序有:

emerg:紧急(系统无法使用)

alert:必须立即采取措施

crit:致命情况

error:错误情况

warn:警告情况

notice:一般重要情况

info:普通信息

debug:调试信息

13.CustomLog:定义访问日志的路径和格式。

语法:CustomLog file|pipe format | nickname [env=[!]environment-variable]

CustomLog logs/access_log common

CustomLog logs/access_log “%h %l %u %t \”%r\” %>s %b ”

14.ServerSignature:用来定义服务器所生成页面的页脚。这些信息包括错误信息、mod_proxy的ftp目录列表、mod_info的输出等。

15.Alias:有点像Linux的ln命令,它提供路径别名,让你用起来更方便

语法:Alias URL-path file-path | directory-path

 

HTTPS的实现

1)  启用mod_ssl模块;

$ sudo a2enmod ssl

2)  生成证书、安装证书;

<1>使用CA签名的证书(要收费的):

a.       先安装openssl:$ sudo apt-get install openssl

b.       创建key:

$ openssl genrsa –des3 –out server.key 1024(这个是要设置密码的)

$ openssi genrsa –out server.key 1024(这个不要设置密码)

c.       创建CSR:

$ openssi req –new –key server.key –out server.csr

完成后,将CSR文件发给某家CA,CA将对其进行签名。

<2>使用自己签名的证书:

$ sudo openssl x509 –req –days 365 –in server.csr –signkey server.key –out server.crt

$ sudo cp server.crt /etc/ssl/certs

$ sudo cp server.key /etc/ssl/private

3)  修改虚拟主机配置文件,重启apache服务。

启用SSL。在VirtualHost段中,DocumentRoot一行的下方加入:

 

SSLEngine on

SSLOptions +StrictRequire

SSLCertificateFile /etc/ssl/certs/server.crt

SSLCertificateKeyFile /etc/ssl/private/server.key

注:上面两个路径是前面指定好的。

重启apache :$ sudo /etc/init.d/apache2 restart

 

Apache性能优化

1.       正确选择MPM

Event比较适合用户那些需要有大量持续连接(KeepAlive traffic)的情况。KeepAlive的好处是可以在同一个TCP连接中响应多次请求。这种方式,可以使一个包含大量图片的HTML文档加速50%.在配置文件中设置keepAlive为On即可启用KeepAlive.

Prefork实现另一个非线程的MPM,特点是很稳定。它能够隔离每个请求,如果某个请求出现故障,不会影响其他的请求。使用prefork最重要的是将MaxClients设置的恰当。这个MaxClients值要足够的大,但又不能太大,致使apache所需内存超出物理内存大小。

Worker,速度比prefork快很多,可以处理相对海量请求。Worker使用了多进程,每个进程又生成多个线程,这样可以获得基于进程服务器的稳定性。比较重要的两个配置是:ThreadPerChild(用来控制每个子进程允许建立的线程数)和MaxClients(控制允许建立的总线程数)。

 

2.       优化apache配置

a)         关闭DNS查询:将HostnameLookups设置为off;

b)        优化MaxClients:

修改apache.conf文件中IfModule mpm_worker_module(worker)、IfModule mpm_event_module(event)或者IfModule mpm_prefork_module(prefork)三个模块里面的数据。MaxClients如果设置要超过256的话,就要同步修改ServerLimit数值,因为ServerLimit的默认值是256

c)         优化KeepAlive:设置KeepAlive为Off或者将KeepAliveTimeout值改小。

d)        启用压缩:

$ sudo a2enmod deflate

$ sudo /etc/init.d/apache2 force-reload

配置要压缩的文件类型(修改/etc/apache2/mods-enabled/deflate.conf)

一般情况下,不对图片、pdf、mp3等文件进行压缩

e)         使用缓存(mod_cache):

一种基于硬盘缓存(mod_disk_cache),一种基于内存缓存(mod_mem_cache);

启用缓存命令:$ sudo a2enmod disk_cache。

在<VirtualHost>标签中添加:

 

<IfModule mod_disk_cache.c>

CacheEnable disk /   #表示cache类型为disk,“/”指网站根目录,表示对整个网站进行缓存

CacheRoot /var/www/www.lgmtest.com/cache   #cache目录必须手工创建,存放缓存的地方

CacheDefaultExpire 7200    #失效周期,单位秒

CacheMaxExpire 604800      #最大失效周期,单位秒

</IfModule>

如果你想某个目录不被缓存,添加:CacheDisable /不被缓存目录

Apache压力测试(ad)

$ sudo ab –n 20000 –c 200 http://www.lgmtest.com/

说明:向www.lgmtest.com发出20000个请求,每次发送200个。

 

Apache安全

1)  隐藏敏感信息:

在apache2.conf中添加:ServerTokens Prod(默认值为Full)。

2)  DDOS攻击防范:

$sudo apt-get install libapache2-mod-evasive

安装后ubuntu自动会启动,我们自行创建一个配置文件:

$sudo vi /etc/apache2/conf.d/evasive,写入如下内容:

 

<IfModule mod_evasive20.c>

DOSHashTableSize 3097 #哈希表大小,增大可以提高查找速度

DOSPageCount 2   #允许客户机访问同一页面的时间间隔,一旦小于该间隔,该客户机ip地址将被写入黑名单

DOSSiteCount 2    #允许客户机对全站同时进行的并发访问请求数目

DOSPageInterval 1        #定义网页访问计数的时间间隔

DOSSiteInterval 1         #定义全站访问计数的时间间隔

DOSBlockingPeriod 10  #定义了阻止客户机的时间长短,在该时间内,不允许加入黑名单的客户机访问,如果访问,阻止时间则再次刷新,默认10

DOSEmailNotify 277531070@qq.com

DOSSystemCommand “su – someuser –C ‘/sbin/… %s …’”

DOSLogDir “var/lock/mod_evasive”

DOSWhitelist  127.0.0.1   #白名单

DOSWhitelist  127.0.0.*

</IfModule>

或者在httpd.conf文件中加入:

 

LoadModule evasive20_module  /usr/lib/apache2/modules/mod_evasive20.so

<IfModule mod_evasive20.c>

DOSHashTableSize    3097

DOSPageCount        2

DOSSiteCount        50

DOSPageInterval     1

DOSSiteInterval     1

DOSBlockingPeriod   10

</IfModule>

Apache日志分析

1)  安装Webalizer:$sudo apt-get install webalizer

2)  修改配置文件:

默认情况下,webalizer会安装一个每日cron任务,每天自动对上一天的apache日志进行分析。可以通过修改配置文件进行设置要分析的日志文件(修改/etc/webalizer/webalizer.conf):

LogFile /var/log/apache2/access.log.1 要分析的文件名

OutputDir /var/www/lgmtesta/webalizer  数据输出目录

LogType clf :日志类型,如果要分析ftp日志,改为ftp,如要分析Squid代理服务器日志,改为squid。

3)运行webalizer:$sudo webalizer

作者 lgm277531070

发表评论

电子邮件地址不会被公开。 必填项已用*标注