Linux Apache服务器系统的设置与优化(5)

None 服务器忽略访问控制文件的设置

Options 允许访问控制文件中可以使用Options参数定义目录的选项

FileInfo 允许访问控制文件中可以使用AddType等参数设置

AuthConfig 允许访问控制文件使用AuthName，AuthType等针对每个用户的认证机制，这使目录属主能用口令和用户名来保护目录 Limit 允许对访问目录的客户机的IP地址和名字进行限制

每个目录具备一定属性，可以使用Options来控制这个目录下的一些访问特性设置，以下为常用的特性选项：

Options设置 服务器特性设置

All 所有的目录特性都有效，这是缺省状态

None 所有的目录特性都无效

FollowSymLinks 允许使用符号连接，这将使浏览器有可能访问文档根目录 （DocumentRoot）之外的文档 SymLinksIfOwnerMatch 只有符号连接的目的与符号连接本身为同一用户所拥有时，才允许访问，这个设置将增加一些安全性

ExecCGI 允许这个目录下可以执行CGI程序 Indexes 允许浏览器可以生成这个目录下所有文件的索引，使得在这个目录下没有index.html（或其他索引文件）时，能向浏览器发送这个目录下的文件列表。

此外，上例中还使用了Order、Allow、Deny等参数，这是Limit语句中用来根据浏览器的域名和 IP地址来控制访问的一种方式。其中Order定义处理Allow和Deny的顺序，而Allow、Deny则针对名字或IP进行访问控制设置，上例使用 allowfrom all，表示允许所有的客户机访问这个目录，而不进行任何限制。

UserDir public_html

当在一台Linux上运行Apache服务器时，这台计算机上的所有用户都可以有自己的网页路径，形如 http://example.org.cn/~user，使用波浪符号加上用户名就可以映射到用户自己的网页目录上。映射目录为用户个人主目录下的一个子目录，其名字就用UseDir这个参数进行定义，缺省为public_html。如果不想为正式的用户提供网页服务，使用DISABLED作 UserDir的参数即可。

# AllowOverride FileInfo AuthConfig Limit

# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

# Order allow,deny

# Allow from all

# Order deny,allow

# Deny from all

这里可以看到Directory的另一个用法，即可以通过简单的模式匹配方法，针对分布在不同目录下的子目录定义访问控制权限。这样设置就需要Apache服务器对每个路径进行额外的处理，因此就会降低服务器的性能，所以缺省情况并没有打开这种访问限制。

这里可以看到另外一个语句Limit，Limit语句就是用来针对具体的请求方法来设定访问控制的，其中可以使用GET、POST等各种服务器支持的请求方法做Limit的参数，来设定对不同请求方法的访问限制。一般可以打开对GET、POST、 HEAD三种请求方法，而屏蔽其他的请求方法，以增加安全性。Limit语句中，可以用Order 、Allow、Deny，Allow和Deny中可以使用匹配的方法针对域名和IP进行限制，只是对于域名是从后向前匹配，对于IP地址则从前向后匹配。

DirectoryIndex index.html

很多情况下，URL中并没有指定文档的名字，而只是给出了一个目录名。那么Apache服务器就自动返回这个目录下由DirectoryIndex定义的文件，当然可以指定多个文件名字，系统会这个目录下顺序搜索。当所有由DirectoryIndex指定的文件都不存在时，Apache服务器可以根据系统设置，生成这个目录下的所有文件列表，提供用户选择。此时该目录的访问控制选项中的Indexes选项（Options Indexes ）必须打开，以使得服务器能够生成目录列表，否则Apache将拒绝访问。

AccessFileName .htaccess

AccessFileName定义每个目录下的访问控制文件的文件名，缺省为.htaccess，可以通过更改这个文件，来改变不同目录的访问控制限制。

Order allow,deny

Deny from all

除了可以针对目录进行访问控制之外，还可以根据文件来设置访问控制，这就是File语句的任务。使用File 语句，不管文件处于哪个目录，只要名字匹配，就必须接受相应的访问控制。这个语句对于系统安全比较重要，例如上例将屏蔽所有的使用者不能访问.htaccess文件，这样就避免.htaccess中的关键安全信息不至于被客户获取。

#CacheNegotiatedDocs

缺省情况下如果代理服务器和Apache服务器协商是否缓存其网页，Apache给予否定的回答，不希望自己的网页被代理服务器缓存。然而这样就不能有效的利用代理服务器的优势，因此可以设置CacheNegotiatieDocs 选项，使得代理服务器可以对网页进行缓存。然而即使不设置这个选项，有的代理服务器（或通过调整设置）也能对网页进行缓存。

UseCanonicalName On

打开这个UseCanonicalName是Web服务器的标准做法，因为客户发送的大部分请求都是对本服务器的引用，这样服务器就能使用 ServerName和Port选项的设置内容构建完整的URL，并回应客户，使浏览器能得到规范的URL。如果将这个参数设置为Off，那么 Apache将使用从客户请求中获得服务器的名字和端口值（支持HTTP 1.1的客户的请求中将会有这些信息），重新构建URL。

TypesConfig /etc/mime.types

TypeConfig用于设置保存有不同的MIME类型数据的文件名，在Linux下缺省设置为/usr/local/apache/etc/mime.types 或者/etc/mime.types。

DefaultType text/plain

如果Web服务器不能决定一个文档的缺省类型，这通常表示文档使用了非标准的后缀，那么服务器就使用 DefaultType定义的MIME类型将文档发送给客户浏览器。这里的设置为text/plain，这样设置的问题是，如果服务器不能判断出文档的 MIME，那么大部分情况下这个文档为一个二进制文档，但使用 text/plain格式发送回去，浏览器将在内部打开它而不会提示保存。因此建议将这个设置更改为application/octet-stream，这样浏览器将提示用户进行保存。

MIMEMagicFile /usr/share/magic

除了从文件的后缀出发来判断文件的MIME类型之外，Apache还可以进一步分析文件的一些特征，来判断文件的真实MIME类型。这个功能是由 mod_mime_magic 模块实现的，它需要一个记录各种MIME类型特征的文件，以进行分析判断。上面的设置是一个条件语句，如果载入了这个模块，就必须指定相应的标志文件 magic的位置。

HostnameLookups Off

通常连接时，服务器仅仅可以得到客户机的IP地址，如果要想获得客户机的主机名，以进行日志记录和提供给 CGI程序使用，就需要使用这个HostnameLookups 选项，将其设置为On打开DNS反查功能。但是这将使服务器对每次客户请求都进行DNS查询，增加了系统开销，使得反应变慢，因此缺省设置为使用Off关闭此选项。关闭选项之后，服务器就不会获得客户机的主机名，而只能使用IP地址来记录客户。

ErrorLog /var/log/httpd-error.log

LogLevel warn

LogFormat "%h %l %u %t "%r" %>;s %b "%{Referer}i" "%{User-Agent} "" combined

LogFormat "%h %l %u %t "%r" %>;s %b" common

LogFormat "%{Referer}i ->; %U" referer

LogFormat "%{User-agent}i" agent

#CustomLog /var/log/httpd-access.log common

#CustomLog /var/log/httpd-referer.log referer

#CustomLog /var/log/httpd-agent.log agent

CustomLog /var/log/httpd-access.log combined

这里定义了系统日志的形式，对于服务器错误记录， 由ErrorLog、 LogLevel 来定义不同的错误日志文件及其记录内容。