@H_301_7@Linux 64位系统的编译方法：

@H_301_7@共有3种工作模式：

@H_301_7@prefork：一个主进程产生多个子进程,一个子进程响应一个哀求；

@H_301_7@worker：一个进程生成多个线程,一个线程响应一个哀求；

@H_301_7@event：基于事件驱动；

@H_301_7@1、采用prefork方式需修改httpd-2.2.4/server/mpm/prefork.c的数值

@H_301_7@#define DEFAULT_SERVER_LIMIT 5120

@H_301_7@2、采用worker方式需修改server/mpm/worker/worker.c的数值

@H_301_7@#define DEFAULT_THREAD_LIMIT 64

@H_301_7@#define MAX_THREAD_LIMIT 20000

@H_301_7@同理,部署好之后需对应地修改参数文件extra/httpd-mpm.conf中的对应模块参数,

@H_301_7@Prefork方式修改<IfModule mpm_prefork_module>,work方式修改<IfModule mpm_worker_module>,参数根据软硬件和应用的实际来调整.

@H_301_7@# cd /root/tar/

@H_301_7@# tar xzvf httpd-2.2.3.tar.gz

@H_301_7@# vi ./srclib/apr-util/Makefile

@H_301_7@将

@H_301_7@APRUTIL_LIBS = -lsqlite3 /usr/lib/libexpat.la /root/tar/httpd-2.2.3/srclib/apr/libapr-1.la -luuid -lrt -lcrypt -lpthread -ldl

@H_301_7@改为

@H_301_7@APRUTIL_LIBS = -lsqlite3 /usr/lib64/libexpat.la /root/tar/httpd-2.2.3/srclib/apr/libapr-1.la -luuid -lrt -lcrypt -lpthread -ldl

@H_301_7@编译参数：

@H_301_7@./configure --prefix=/opt/apache224 \

@H_301_7@--with-apr=/usr/local/apr \

@H_301_7@--with-apr-util=/usr/local/apr-util \

@H_301_7@LDFLAGS="-L/usr/lib64 -L/lib64" \

@H_301_7@--enable-so \

@H_301_7@--enable-access=shared \

@H_301_7@--enable-auth_anon=shared \

@H_301_7@--enable-auth_dbm=shared \

@H_301_7@--enable-auth=shared \

@H_301_7@--enable-auth_db=shared \

@H_301_7@--enable-digest=shared \

@H_301_7@--enable-proxy=shared \

@H_301_7@--enable-proxy-connect=shared \

@H_301_7@--enable-proxy-ftp=shared \

@H_301_7@--enable-proxy-http=shared \

@H_301_7@--enable-module=alias \

@H_301_7@--enable-log_config=shared \

@H_301_7@--enable-module=dir \

@H_301_7@--enable-mime=shared \

@H_301_7@--disable-maintainer-mode \

@H_301_7@--with-mpm=worker \

@H_301_7@--enable-rewrite=shared

@H_301_7@启用mod_deflate模块,其余模块酌情加载：

@H_301_7@# vi httpd.conf

@H_301_7@LoadModule deflate_module modules/mod_deflate.so

@H_301_7@在文件最后加入下面这段配置

@H_301_7@<IfModule mod_deflate.c>

@H_301_7@ SetOutputFilter DEFLATE

@H_301_7@# DeflateFilterNote Input instream

@H_301_7@# DeflateFilterNote Output outstream

@H_301_7@# DeflateFilterNote Ratio ratio

@H_301_7@# LogFormat '"%r" %{outstream}n/%{instream}n (%{ratio}n%%)' deflate

@H_301_7@# CustomLog logs/deflate_log deflate

@H_301_7@ SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary

@H_301_7@ SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary

@H_301_7@ SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary

@H_301_7@ AddOutputFilterByType DEFLATE text/*

@H_301_7@ AddOutputFilterByType DEFLATE application/ms* application/vnd* application/postscript

@H_301_7@ AddOutputFilterByType DEFLATE application/x-httpd-PHP application/x-httpd-fastPHP

@H_301_7@ BrowserMatch ^Mozilla/4 gzip-only-text/html

@H_301_7@ BrowserMatch ^Mozilla/4.0[678] no-gzip

@H_301_7@ BrowserMatch bMSIE !no-gzip !gzip-only-text/html

@H_301_7@</IfModule>

@H_301_7@实时检测HTTPD连接数：

@H_301_7@watch -n 1 -d "pgrep httpd|wc -l"

@H_301_7@too many open files error:

@H_301_7@# ulimit -a

@H_301_7@core file size (blocks,-c) 0

@H_301_7@data seg size (kbytes,-d) unlimited

@H_301_7@file size (blocks,-f) unlimited

@H_301_7@pending signals (-i) 1024

@H_301_7@max locked memory (kbytes,-l) 32

@H_301_7@max memory size (kbytes,-m) unlimited

@H_301_7@open files (-n) 1024

@H_301_7@pipe size (512 bytes,-p) 8

@H_301_7@POSIX message queues (bytes,-q) 819200

@H_301_7@stack size (kbytes,-s) 10240

@H_301_7@cpu time (seconds,-t) unlimited

@H_301_7@max user processes (-u) 77823

@H_301_7@virtual memory (kbytes,-v) unlimited

@H_301_7@file locks (-x) unlimited

@H_301_7@操作：

@H_301_7@# vi /etc/security/limits.conf

@H_301_7@加上：

@H_301_7@* soft nofile 65535

@H_301_7@* hard nofile 65535

@H_301_7@# vi /etc/pam.d/login

@H_301_7@加上：

@H_301_7@session required /lib/security/pam_limits.so

@H_301_7@配置及平安那些事：

@H_301_7@服务脚本：/etc/rc.d/init.d/httpd

@H_301_7@运行目录：/etc/httpd

@H_301_7@配置文件：/etc/httpd/conf/

@H_301_7@ 主配置文件：httpd.conf

@H_301_7@ 扩展配置文件：/etc/httpd/conf.d/*.conf

@H_301_7@socket:

@H_301_7@ http: 80/tcp,

@H_301_7@ https: 443/tcp

@H_301_7@网页文件目录(DocumentRoot)：

@H_301_7@静态页面：/var/www/html/protect

@H_301_7@动态页面(CGI): /var/www/html/cgi-bin/

@H_301_7@默认主页面：index.html index.PHP

@H_301_7@【配置prefork模型】：

@H_301_7@apache服务默认就是以Prefork模式启动,无须更改启动模式,下面来演示如何更改其模型参数

@H_301_7@编辑主配置文件：vim/etc/httpd/conf/httpd.conf找到与模块相关的参数：IfModule为指令,意为判断模块是否存在,如果存在那么参数则生效,反之如果不存在此模块,参数将不会生效

@H_301_7@参数说明：

@H_301_7@<IfModule prefork.c> #如果存在这个模块,那么提供以下属性

@H_301_7@StartServers 8 #刚启动web服务时启动几个空闲子进程

@H_301_7@MinSpareServers 5 #最少空闲进程数

@H_301_7@MaxSpareServers 20 #最大空闲进程数

@H_301_7@ServerLimit 256 #限定最多允许并发进来的活动用户连接个数

@H_301_7@【配置worker模型】

@H_301_7@更改apache当前工作模式为worker模式：

@H_301_7@编辑文件/etc/sysconfig/httpd,将以下参数的注释信息去掉：

@H_301_7@HTTPD=/usr/sbin/httpd.worker

@H_301_7@更改模式后必须重新启动服务

@H_301_7@[root@Centos ~]# service httpd restart

@H_301_7@<IfModuleworker.c>

@H_301_7@StartServers 4 #配置启动多少个用于监听的服务,注意：这里并不是服务器进程,而是线程

@H_301_7@MaxClients 300 #最大支持的用户连接数

@H_301_7@MinSpareThreads 25 #最小的空闲线程数

@H_301_7@MaxSpareThreads 75 #最大的空闲线程数

@H_301_7@ThreadsPerChild 25 #允许每个进程最多生成多少个线程

@H_301_7@MaxRequestsPerChild 0 #设置一个独立的子进程将能处理的哀求数量

@H_301_7@</IfModule>

@H_301_7@1、暗藏Apache版本号的方法是修改Apache的配置文件

@H_301_7@vim /etc/httpd/conf/httpd.conf

@H_301_7@分别搜索关键字ServerTokens和ServerSignature,修改：

@H_301_7@ServerTokens OS 修改为 ServerTokens ProductOnly

@H_301_7@ServerSignature On 修改为 ServerSignature Off

@H_301_7@2、建立平安的apache的目录结构.

@H_301_7@ServerRoot DocumentRoot ScripAlias Customlog Errorlog 均放在单独的目录环境中.

@H_301_7@DocumentRoot：设置Web站点的主目录,如：DocumentRoot "/tu"　//该目录必须已经存在

@H_301_7@注:如果更改主目录后,在浏览器中访问是出现如下错误提示:

@H_301_7@Forbidden You don't have permission to access / on this server.

@H_301_7@Additionally,a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

@H_301_7@那么很可能的原因是与SELinux有关,最简单的办法就是把SELinux关掉或删掉

@H_301_7@3、站点主页设置

@H_301_7@Directorylndex：设置站点主页,如:

@H_301_7@Directorylndex index.htm index.html index.PHP

@H_301_7@4. 是否允许目录列表

@H_301_7@<Directory "......">

@H_301_7@Options Indexes FollowSymLinks

@H_301_7@AllowOverride None

@H_301_7@Order allow,deny

@H_301_7@Allow from all

@H_301_7@</Directory>

@H_301_7@PS-options：

@H_301_7@ Indexes: 是否允许索引页面文件(不平安,建议关闭)；

@H_301_7@ FollowSynLinks: 是否跟随软链接文件(不平安,建议关闭)；

@H_301_7@ SymLinksifOwnerMatch:相对平安的跟随软链接指令(如果软链接文件的属主与网页访问用户匹配则允许)

@H_301_7@ ExecCGI：是否允许执行CGI脚本;

@H_301_7@ All

@H_301_7@ None

@H_301_7@5、一般设立独立账号启动apache

@H_301_7@#mkdir -p /var/www/html/protect

@H_301_7@#chmod 755 /var/www/html/protect

@H_301_7@#chown -R web.web /var/www/html/protect

@H_301_7@#cd /var/www/html/protect

@H_301_7@#echo "This is a protect page" > index.html

@H_301_7@#cd /var/www/html/protect

@H_301_7@#chmod -R 770 templets uploads images

@H_301_7@设置不可执行权限：

@H_301_7@如果要保护的Web目录不在Web主目录下,则目录建立好之后,需要在httpd.conf文件中进行别名设置:

@H_301_7@(1) #mkdir -p /var/abc

@H_301_7@(2) 打开httpd.conf文件,加入以下指令

@H_301_7@Alias /protect/ "/var/abc/"

@H_301_7@6、白名单控制

@H_301_7@(1) 拒绝某类地址的用户对服务器的访问权(Deny)

@H_301_7@如：Deny from all

@H_301_7@Deny from test.cnn.com

@H_301_7@Deny from 211.136.141.234

@H_301_7@Deny from 192.168.1.0/255.255.0.0

@H_301_7@(2) 允许某类地址的用户对服务器的访问权(Allow)

@H_301_7@如：Allow from all

@H_301_7@Allow from test.cnn.com

@H_301_7@Allow from 211.136.141.237

@H_301_7@Allow from 192.168.2.0/255.255.0.0

@H_301_7@Deny和Allow指令后可以输入多个变量.

@H_301_7@(3)

@H_301_7@Order Allow,Deny

@H_301_7@Allow from all

@H_301_7@Deny from www.test.com

@H_301_7@指想让所有的人访问Apache服务器,但不希望来自www.test.com的任何访问.

@H_301_7@Order Deny,Allow

@H_301_7@Deny from all

@H_301_7@Allow from test.sina.com

@H_301_7@指不想让所有人访问,但希望给test.sina.com网站的来访.

@H_301_7@7、配置服务器支持keep-alived：

@H_301_7@KeepAlive {On|Off} ：启用之后支持一次连接可以发多个哀求(对于非常繁忙的服务器建议off

@H_301_7@KeepAliveTimeout 15 ： 15秒之后断开长连接

@H_301_7@MaxKeepAliveRequests 50：一次长连接之内最多允许50个哀求

@H_301_7@8、制作暗码文件

@H_301_7@先建立文件夹 /var/www/html/htpass,在该文件夹中用 “ #htpasswd [-c] 暗码文件名 用户名 ” 的格式制作暗码文件如:

@H_301_7@#htpasswd -c apass test1

@H_301_7@#htpasswd apass test2

@H_301_7@那么暗码文件/var/www/html/htpass中有两个账号test1 与 test2了