技术流ken

运维拯救世界

Apache2.4访问控制管理和性能优化–技术流ken

1.Apache Options指令详解

 

Options指令的完整语法为:Options [+|-]option [[+|-]option] …。简而言之,Options指令后可以附加指定多种服务器特性,特性选项之间以空格分隔。下面我们来看看Options指令后可以附加的特性选项的具体作用及含义(Apache配置中的内容均不区分大小写)

1.All

表示除 MultiViews之外的所有特性。这也是Options指令的 默认设置。

 

2.None

表示不启用任何的服务器特性。

 

3.FollowSymLinks

服务器允许在此目录中使用符号连接。如果该配置选项位于 <Location>配置段中,将会被忽略。

例如可以把/ken目录连接到/var/www/html

ln -s /ken /var/www/html/ken

 

4.Indexes

如果输入的网址对应服务器上的一个文件目录,而此目录中又没有 DirectoryIndex指令(例如: DirectoryIndex index.html index.php),那么服务器会返回由 mod_autoindex模块生成的一个格式化后的目录列表,并列出该目录下的所有文件(如下图)。

 

5.MultiViews

允许使用 mod_negotiation模块提供内容协商的”多重视图”。简而言之,如果客户端请求的路径可能对应多种类型的文件,那么服务器将根据客户端请求的具体情况自动选择一个最匹配客户端要求的文件。例如,在服务器站点的 file文件夹下中存在名为 hello.jpg和 hello.html的两个文件,此时用户输入 Http://localhost/file/hello,如果在 file文件夹下并没有 hello子目录,那么服务器将会尝试在 file文件夹下查找形如 hello.*的文件,然后根据用户请求的具体情况返回最匹配要求的 hello.jpg或者 hello.html。

 

 

Options指令语法允许在配置选项前加上符号”+”或者”-“,那么这到底是什么意思呢。

实际上,Apache允许在一个目录配置中设置多个Options指令。不过,一般来说,如果一个目录被多次设置了Options,则指定特性数量最多的一个Options指令会被完全接受(其它的被忽略),而各个Options指令之间并不会合并。但是如果我们在可选配置项前加上了符号”+”或”-“,那么表示该可选项将会被合并。所有前面加有”+”号的可选项将强制覆盖当前的可选项设置,而所有前面有”-“号的可选项将强制从当前可选项设置中去除。

 

 

2.Apache AllowOverride指令详解

AllowOverride参数就是指明Apache服务器是否去找.htacess文件作为配置文件,如果设置为none,那么服务器将忽略.htacess文件,如果设置为All,那么所有在.htaccess文件里有的指令都将被重写。对于AllowOverride,还可以对它指定如下一些能被重写的指令类型.

通常利用Apache的rewrite模块对 URL 进行重写的时候, rewrite规则会写在 .htaccess 文件里。但要使 apache 能够正常的读取.htaccess 文件的内容,就必须对.htaccess 所在目录进行配置。从安全性考虑,根目录的AllowOverride属性一般都配置成不允许任何Override ,即

<Directory /> 
AllowOverride None 
</Directory> 

在 AllowOverride 设置为 None 时, .htaccess 文件将被完全忽略。当此指令设置为 All 时,所有具有 “.htaccess” 作用域的指令都允许出现在 .htaccess 文件中。

而对于 URL rewrite 以及来说,至少需要把目录设置为

< Directory /myblogroot/> 
AllowOverride All
< /Directory> 

 

3.Apache require指令详解

在httpd2.4版本中才有require

httpd2.2中还是使用的order

从Apache2.2升级到Apache2.4后,发现原来用来限制部分IP和垃圾网络爬虫的访问控制规则不起作用,查询后才发现,Apache2.4中开始使用mod_authz_host这个新的模块来进行访问控制和其他的授权检查。原来在Apache2.2版本下用以实现网站访问控制的Order,Allow,Deny指令需要替换为新的Require访问控制指令。

 

    注意:使用require指令时,需要在指令外添加<RequireAll></RequireAll>标签对,否则重启Apache2.4加载规则时将出现错误:” negative Require directive has no effect in <RequireAny> directive “。

 

例1:允许所有访问请求

Apache2.4下的配置:

<Directory xxx/www/yoursite>
 
    <RequireAll>
        Require all granted
    </RequireAll>
 
</Directory> 

 

例2:拒绝所有访问请求

Apache2.4下的配置:

<Directory xxx/www/yoursite>
 
    <RequireAll>
        Require all denied
    </RequireAll>
 
</Directory>

 

例3:只允许来自特定域名主机的访问请求,其他请求将被拒绝

Apache2.4下的配置:

<Directory xxx/www/yoursite>
 
    <RequireAll>
        Require host google.com
    </RequireAll>
 
</Directory>

 

例4:只允许来自特定IP或IP段的访问请求,其他请求将被拒绝

Apache2.4下的配置:

<Directory xxx/www/yoursite>
 
    <RequireAll>
        Require ip 192.120 192.168.100 192.168.1.1
    </RequireAll>
 
</Directory>

 

例5:允许所有访问请求,但拒绝来自特定IP或IP段的访问请求(阻止恶意IP或恶意爬虫网段的访问)

Apache2.4下的配置:

<Directory xxx/www/yoursite>
 
    <RequireAll>
        Require all granted
        Require not ip 192.168.1.1
        Require not ip 192.120 192.168.100
    </RequireAll>
 
</Directory>

 

 

优化Apache配置

1.尽量使用IP地址代替域名

在Apache的配置文件中,有许多可以针对具体请求来源进行相应操作的配置,例如 allow from 365mini.com表示允许域名为365mini.com的用户访问。在这种情况下,如果我们知道该域名或主机名与某个IP地址一一对应,则最好使用具体的IP地址来代替域名。否则Apache服务器将要进行多次DNS查询来确定该域名或主机名所对应的IP地址。

注意:可能存在一些例外情况,例如一个IP地址对应多个域名,或者一个域名对应多个IP地址或者对应一个变化的IP地址,此时仍然要使用域名或主机名。一般而言,只有域名或主机名与IP地址具有一一对应关系时,才使用IP地址来代替域名。请根据实际情况作出选择。

2.启用FollowSymLinks选项

当Apache处理请求时,如果对应的请求文件所在目录没有启用FollowSymLinks选项,或使用了SymLinksIfOwnerMatch选项,Apache就必须执行额外的系统调用来验证符号连接的安全性。文件名的每一个组成部分都需要一次额外的调用。因此,如果在安全性允许的情况下,为了得到更加良好的运行性能,应当放弃对符号连接的保护,在所有地方都设置FollowSymLinks,并放弃使用SymLinksIfOwnerMatch。

#启用FollowSymLinks选项,如果子目录没有额外的设置,将会继承该设置
<Directory />
Options FollowSymLinks
</Directory>

3.禁用AllowOverride

如果Apache的配置文件中允许了AllowOverride指令,则Apache在处理每个请求路径时,都会尝试对文件路径的每一个组成部分都打开该目录下的.htaccess文件。

例如,当用户请求访问服务器上的/static/test/hello.html,则Apache将会尝试打开/static/test/.htaccess、/static/.htaccess、/.htaccess三个文件。从而影响服务器的运行性能。

因此,如果当前用户拥有Apache配置文件的编辑权限,建议将.htaccess文件中的配置内容直接写在Apache对应的配置文件(一般为httpd.conf)中,并禁用AllowOverride。

#禁用AllowOverride
<Directory />
AllowOverride None
</Directory>

当然,如果用户不具备Apache配置文件的编辑权限,又希望能够对站点进行相应的管理设置,就需要管理员允许AllowOverride,以便于用户编写自己的.htaccess文件。

4.尽量不使用通配符

在Apache的配置文件中,我们可以指定每个目录下的默认欢迎页面,例如:

#以内容协商的方式指定欢迎页面
<Directory />
DirectoryIndex index
</Directory>

使用上述配置后,当访问当前目录时,Apache将会在当前目录下查找名称形如index.*的文件,并根据客户端期望响应的类型自动返回一个最匹配的请求文件(即内容协商)。

不过,这样做将会导致一点性能损失,尽管内容协商的好处大于性能的损失,如果你仍然在意这一点性能损失的话,建议你不要使用上述通配符形式的配置,而是根据自己的需要,指定一个完整的index.*文件列表。

#指定欢迎页面
<Directory />
DirectoryIndex index.html index.cgi index.pl
</Directory>

使用上述配置后,Apache将按照从左到右的先后顺序依次查找上述三个名称的文件,并响应最先找到的那个文件。

5.选择适当的多路处理模块(MPM)

由于多路处理模块的相关内容较多

 

 

发表评论

电子邮件地址不会被公开。