欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

linux Apache服务器系统安全设置与优化第1/3页

程序员文章站 2022-12-26 08:10:07
apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf, access.conf和srm...
apache服务器的设置文件位于/usr/local/apache/conf/目录下,传统上使用三个配置文件httpd.conf, access.conf和srm.conf, 来配置apache服务器的行为。httpd.conf提供了最基本的服务器配置,是对守护程序 httpd如何运行的技术描述;srm.conf是服务器的资源映射文件,告诉服务器各种文件的mime类型,以及如何支持这些文件; access.conf用于配置服务器的访问权限,控制不同用户和计算机的访问限制;这三个配置文件控制着服务器的各个方面的特性,因此为了正常运行服务器便需要设置好这三个文件。

  除了这三个设置文件之外,apache还使用mime.types文件用于标识不同文件对应的mime类型, magic文件设置不同mime类型文件的一些特殊标识,使得apache 服务器从文档后缀不能判断出文件的mime 类型时,能通过文件内容中的这些特殊标记来判断文档的mime类型。 [iaspec@www conf]$ pwd /usr/local/apache/conf [iaspec@www conf]$ ls access.conf httpd.conf.old magic.default srm.conf access.conf.default httpd.conf.save mime.types srm.conf.default httpd.conf magic mime.types.default

  新版本的apache将原来httpd.conf、srm.conf与 access.conf中的所有配置参数均放在了一个配置文件 httpd.conf中,只是为了与以前的版本兼容的原因(使用这三个设置文件的方式来源于ncsa-httpd),才使用三个配置文件。而提供的 access.conf和srm.conf文件中没有具体的设置。

  由于在新版本的apache中,所有的设置都被放在了httpd.conf中,因此只需要调整这个文件中的设置。本文基于redhat 7.2 下的httpd.conf为例,解释apache服务器的各个设置选项,当然,其配置方法可扩展到几乎所有unix系统。

  虽然apache提供设置的参数很多,基本上这些 参数都很明确,也可以不加改动运行apache服务器。但如果需要调整apache服务器的性能,以及增加对某种特性的支持,就需要了解这些设置参数的含义。

  需要指出的是,除了操作系统的性能调整之外,apache 服务器本身的缺省配置绝不是最优化和最高效的,而是要适应几乎所有种类操作系统、所有种类硬件下的设置,多平台的软件不可能为特定平台和特定硬件提供最优化的缺省配置。因此要使用apache的时候,性能调整是必不可少的。

  httpd.conf基本配置与性能优化的关系

  httpd.conf中首先定义了一些httpd守护进程运行时需要的参数,来决定其运行方式和运行环境。 下面就httpd.conf中的配置参数的定义及其各种配置、优化方法进行逐项说明:

  (优化没有捷径,必须首先清楚各配置的含义)

servertype standalone

  servertype定义服务器的启动方式,缺省值为独立方式 standalone,httpd 服务器将由其本身启动,并驻留在主机中监视连接请求。在linux下将在启动文件 /etc/rc.d/rc.local/init.d/apache中自动启动web服务器,这种方式是推荐设置。

  启动apache服务器的另一种方式是inet方式,使用超级服务器inetd监视连接请求并启动服务器。当需要使用inetd启动方式时,便需要更改为这个设置,并屏蔽 /etc/rc.d/rc.local/init.d/apache文件,以及更改/etc/inetd.conf并重起 inetd,那么apache就能从inetd中启动了。

  两种方式的区别是独立方式是由服务器自身管理自己的启动进程,这样在启动时能立即启动服务器的多个副本,每个副本都驻留在内存中,一有连接请求不需要生成子进程就可以立即进行处理,对于客户浏览器的请求反应更快,性能较高。而 inetd方式要由inetd发现有连接请求后才去启动http服务器,由于inetd 要监听太多的端口,因此反应较慢、效率较低,但节约了没有连接请求时web服务器占用的资源。因此inetd方式只用于偶尔被访问并且不要求访问速度的服务器上。事实上inetd方式不适合http的突发和多连接的特性,因为一个页面可能包含多个图象,而每个图象都会引起一个连接请求,即使虽然访问人数造成教少,但瞬间的连接请求并不少,这就受到inetd性能的限制,甚至会影响由inetd启动的其他服务器程序。

serverroot "/usr/local"

  serverroot用于指定守护进程httpd的运行目录,httpd在启动之后将自动将进程的当前目录改变为这个目录,因此如果设置文件中指定的文件或目录是相对路径,那么真实路径就位于这个serverroot定义的路径之下。

  由于httpd会经常进行并发的文件操作,就需要使用加锁的方式来保证文件操作不冲突,由于nfs文件系统在文件加锁方面能力有限,因此这个目录应该是本地磁盘文件系统,而不应该使用nfs文件系统。

# lockfile /var/lock/httpd.lock

  lockfile参数指定了httpd守护进程的加锁文件,一般不需要设置这个参数, apache服务器将自动在serverroot下面的路径中进行操作。但如果serverroot为nfs文件系统,便需要使用这个参数指定本地文件系统中的路径,以提高读写速度。

pidfile /var/run/httpd.pid

  pidfile指定的文件将记录httpd守护进程的进程号,由于httpd能自动复制其自身,因此系统中有多个httpd进程,但只有一个进程为最初启动的进程,它为其他进程的父进程,对这个进程发送信号将影响所有的httpd进程。 pidfile定义的文件中就记录httpd父进程的进程号。

scoreboardfile /var/run/httpd.scoreboard

  httpd使用scoreboardfile来维护进程的内部数据,因此通常不需要改变这个参数,除非管理员想在一台计算机上运行几个apache服务器,这时每个apache服务器都需要独立的设置文件htt pd.conf,并使用不同的scoreboardfile。

#resourceconfig conf/srm.conf #accessconfig conf/access.conf

  这两个参数resourceconfig和accessconfig,就用于和使用 srm.conf 和 access.conf 设置文件的老版本apache兼容。如果没有兼容的需要,可以将对应的设置文件指定为/dev/null,这将表示不存在其他设置文件,而仅使用 httpd.conf 一个文件来保存所有的设置选项。

timeout 300

  timeout定义客户程序和服务器连接的超时间隔,超过这个时间间隔(秒)后服务器将断开与客户机的连接。如果服务器的负载较重,可适当把此数字调小。

keepalive on

  在http 1.0中,一次连接只能作传输一次http请求,而keepalive参数用于支持http的一次连接、多次传输功能,这样就可以在一次连接中传递多个http请求。

maxkeepaliverequests 100

   maxkeepaliverequests为一次连接可以进行的http请求的最大请求次数。将其值设为0将支持在一次连接内进行无限次的传输请求。事实上没有客户程序在一次连接中请求太多的页面,通常达不到这个上限就完成连接了。可以适当将此数字调小,以获取最大速度。

keepalivetimeout 15

  keepalivetimeout 测试一次连接中的多次请求传输之间的时间,如果服务器已经完成了一次请求,但一直没有接收到客户程序的下一次请求,在间隔超过了这个参数设置的值之后,服务器就断开连接。可以适当调小这个数值,以尽快释放空闲的连接。但也不可太小,不然多数客户都要重新连接,将耗费 cpu时间。

minspareservers 5       maxspareservers 10

  在使用子进程处理http请求的 web服务器上,由于要首先生成子进程才能处理客户的请求,因此反应时间就有一点延迟。但是,apache服务器使用了一个特殊技术来摆脱这个问题,这就是预先生成多个空余的子进程驻留在系统中,一旦有请求出现,就立即使用这些空余的子进程进行处理,这样就不存在生成子进程造成的延迟了。在运行中随着客户请求的增多,启动的子进程会随之增多,但这些服务器副本在处理完一次http请求之后并不立即退出,而是停留在计算机中等待下次请求。但是空余的子进程副本不能光增加不减少,太多的空余子进程没有处理任务,也占用服务器的处理能力,因此也要限制空余副本的数量,使其保持一个合适的数量,使得既能及时回应客户请求,又能减少不必要的进程数量。

  因此就可以使用参数minspareservers来设置最少的空余子进程数量,以及使用参数 maxspareservers 来限制最多的空闲子进程数量,多余的服务器进程副本就会退出。根据服务器的实际情况来进行设置,如果服务器性能较高,并且也被频繁访问,就应该增大这两个参数的设置。对于高负载的专业网站,这两个值应该大致相同,并且等同于系统支持的最多服务器副本数量,也减少不必要的副本退出。

  比如,当系统高负载时,可以这样检测:

   [iaspec@www iaspec]$ ps -ef|grep apache|wc 55 .. .. [iaspec@www iaspec]$

  这表明,高负载时有55个运行子进程,如果此服务器为web专用服务器,就应该考虑将这两个数值分别设为50、60,或者40、70,具体以速度测试结果为准。

startservers 5

  startservers参数就是用来设置httpd启动时启动的子进程副本数量,这个参数与上面定义的minspareservers和 maxspareservers参数相关,都是用于启动空闲子进程以提高服务器的反应速度的。这个参数应该设置为前两个值之间的一个数值,小于 minspareservers和大于maxspareservers都没有意义。

maxclients 150

  在另一方面,服务器的能力毕竟是有限的,不可能同时处理无限多的连接请求,因此参数 maxclients就用于规定服务器支持的最多并发访问的客户数,如果这个值设置得过大,系统在繁忙时不得不在过多的进程之间进行切换来为太多的客户进行服务,这样对每个客户的反应就会减慢,并降低了整体的效率。如果这个值设置的较小,那么系统繁忙时就会拒绝一些客户的连接请求。当服务器性能较高时,就可以适当增加这个值的设置。对于专业网站,应该使用提高服务器效率的策略,因此这个参数不能超过硬件本身的限制,如果频繁出现拒绝访问现象,就说明需要升级服务器硬件了。当不太在意对客户浏览器的反应速度,或者认为反应速度较慢也比拒绝连接好,就也可以略微超过硬件条件来设置这个参数。

  但具体这个数值以多少为宜呢?当对性能要求较高时,可以用下面的方法确定如何配置此参数。

  首先,估计你的最大可能并发的连接数,或者在高负载时用ps -ef|grep apache|wc命令测得最大进程数,通常maxclients应该是这个数值的两倍左右。如果当前网站在高负载时的访问速度可以接受,但有拒绝服务现象,则应把此参数调大,如果无拒绝服务现象,但访问速度缓慢,则应减低此数值。

  这个参数同时限制了minspareservers和maxspareservers的设置,它们不应该大于这个参数的设置。

  对于重负载的机器来说,仅仅这么做还是不够的。

  apache允许为请求开的最大进程数是256,maxclients的限制是 256.如果用户多了,用户就只能看到waiting for reply....然后等到下一个可用进程的出现。这个最大数,是apache的程序决定的--它的nt版可以有1024,但unix版只有256,你可以在include/httpd.h中

  看到: #ifndef hard_server_limit #ifdef win32 #define hard_server_limit 1024 #else #define hard_server_limit 256 #endif #endif

  你可以把它调到1024,然后再编译你的系统。记得在httpd.conf里也要更改相应配置。

maxrequestsperchild 30

  使用子进程的方式提供服务的web 服务,常用的方式是一个子进程为一次连接服务,这样造成的问题就是每次连接都需要生成、退出子进程的系统操作,使得这些额外的处理过程占据了计算机的大量处理能力。因此最好的方式是一个子进程可以为多次连接请求服务,这样就不需要这些生成、退出进程的系统消耗, apache就采用了这样的方式,一次连接结束后,子进程并不退出,而是停留在系统中等待下一次服务请求,这样就极大的提高了性能。

  但由于在处理过程中子进程要不断的申请和释放内存,次数多了就会造成一些内存垃圾,就会影响系统的稳定性,并且影响系统资源的有效利用。因此在一个副本处理过一定次数的请求之后,就可以让这个子进程副本退出,再从原始的 httpd进程中重新复制一个干净的副本,这样就能提高系统的稳定性。这样,每个子进程处理服务请求次数由maxrequestperchild定义。缺省的设置值为30,这个值对于具备高稳定性特点的linux系统来讲是过于保守的设置,可以设置为1000甚至更高,设置为0支持每个副本进行无限次的服务处理。

#listen 3000 #listen 12.34.56.78:80 #bindaddress *

  listen参数可以指定服务器除了监视标准的80端口之外,还监视其他端口的 http请求。由于系统可以同时拥有多个ip地址,因此也可以指定服务器只听取对某个bindaddress< /b>;的ip地址的http请求。如果没有配置这一项,则服务器会回应对所有ip的请求。

  即使使用了bindaddress参数,使得服务器只回应对一个ip地址的请求,但是通过使用扩展的listen参数,仍然可以让http守护进程回应对其他ip地址的请求。此时list en参数的用法与上面的第二个例子相同。这种比较复杂的用法主要用于设置虚拟主机。此后可以用 virtualhost参数定义对不同ip的虚拟主机,然而这种用法是较早的http 1.0标准中设置虚拟主机的方法,每针对一个虚拟主机就需要一个ip地址,实际上用处并不大。在http 1.1中,增加了对单ip地址多域名的虚拟主机的支持,使得虚拟主机的设置具备更大的意义。
1