Apache配置手札

时间:2022-06-12 17:16:43

一、绑定不同域名到不同项目目录

可httpd.conf文件末尾添加(不建议)

正规做法应在配置目录建立vhosts文件夹,每一个项目对应一个conf配置文件

#本地访问
#IP访问,主要用于开发环境手机连接WIFI访问电脑的
#服务器上一般不要允许IP访问
#ip.conf
<VirtualHost *:80>
DocumentRoot "D:\wamp\www"
ServerName localhost
ServerAlias 127.0.0.1 192.168.1.129
</VirtualHost> #batsing.com.conf
<VirtualHost *:80>
DocumentRoot "D:\wamp\www\batsing"
ServerName www.batsing.com
ServerAlias batsing.cn batsing.com.cn
</VirtualHost> #getchar.cn.conf
<VirtualHost *:80>
DocumentRoot "D:\wamp\www\getchar"
ServerName www.getchar.cn
</VirtualHost>

二、Apache 外部访问(如WIFI),出现403错误,wamp刚装好时常见

打开httpd.conf文件,找到

Require local

改成

#   Require local
Require all granted

即是注释掉允许本机访问,改成允许外部访问,然后重启Apache

三、使Apache支持 .htaccess URL重写

打开httpd.conf文件

查找

#LoadModule rewrite_module modules/mod_rewrite.so

把#去掉;
查找

# AllowOverride controls what directives may be placed in .htaccess files.

把它下面的 AllowOverride None改成 AllowOverride all

还需要在其vhost配置里加上类似下面的代码

<VirtualHost *:80>
  DocumentRoot "/home/mywebsite"
  ServerName www.batsing.com
  <Directory "/home/mywebsite" >
    AllowOverride All
  </Directory>

</VirtualHost>

注意上面的Directory中的路径不能用~代替,否则.htaccess将会无效;

重启Apache,即可支持URL重写

五、禁止所有项目中的 .svn .git等目录和 .ht .project 等文件的访问

在vhosts文件夹中新建 common.conf

#所有项目 .svn .git .ht* 等拒绝访问
<Directory ~ "/\.">
Deny from all
</Directory>

六、服务器上禁止IP(和其它非法域名)访问

在httpd.conf最末尾加入以下内容,注意一定要放在vhost配置之后,否则会全站80端口都拒绝访问

#禁止IP和所有非法域名直接访问
<VirtualHost *:80>
ServerAlias *
<Location />
Order Allow,Deny
Deny from all
</Location>
</VirtualHost>

七、屏蔽上传目录的脚本执行权限,以防文件上传漏洞

方案一:项目host.conf添加

#    禁用某些目录的PHP执行权限
<Directory ~ "/Upload">
<FilesMatch "(?i:\.php)$">
Order allow,deny
Deny from all
</FilesMatch>
</Directory>

方案二:在对应目录放置.htaccess文件

<FilesMatch "(?i:\.php)$">
Deny from all
</FilesMatch>

所使用的是正则匹配,匹配指定目录下以及其子目录所有的以 .php 结尾的文件,都拒绝访问。但对于以 php 结尾的URL(如:study.batsing.com/php )是不会被过滤掉的。当访问被过滤的目录中的以 .php 为后缀的文件时,将会遇到 Forbidden 的 403 错误,从而有效阻止可能非法上传的脚本文件的执行。下面这一段摘抄自 西部数码虚拟主机目录保护功能 的说明。

  1. “目录保护”功能,主要用于限制指定目录的脚本执行权限。通常对允许用户上传文件的目录设置为可写权限,同时用目录保护取消该目录的脚本执行权限,以防止黑客上传病毒木马。
  2. 通常用户网站被黑(如网页被篡改,文件被盗,被删等)都是因为黑客通过网站的文件上传功能将asp/php木马上传到空间并运行造成的。 所以在无法确认系统是否存在上传漏洞的情况下,只要保证文件上传目录没有脚本运行权限,那么即便黑客将木马上传到您的空间他也无法运行,这样就无法危及您的网站,使您网站更安全。
  3. 设置后的目录不能运行脚本程序。

八、禁止项目目录某些文件夹的直接访问

大多数的MVC框架应用目录,如 ./Application 等,不应直接访问,均需通过入口文件;

方案一:项目host.conf添加

#    禁用某些目录的直接访问
<Directory ~ "/Application">
<FilesMatch "(.*)$">
Order allow,deny
Deny from all
</FilesMatch>
</Directory>

方案二:在该目录下放入 .htaccess 文件,里面写上这个内容

#项目目录屏蔽所有没经过入口文件,直接URL访问的
<FilesMatch "(.*)">
Deny from all
</FilesMatch>

九、配置https

mod_ssl.so扩展模块

  1. 检查apache的 modules/mod_ssl.so 文件是否存在,如果不存在则先  yum install mod_ssl
  2. 从 /usr/lib64/httpd/modules 文件夹中找到 mod_ssl.so文件,拷到apache的 modules目录
  3. 修改 httpd.conf 配置文件,在 Listen 80 下一行加上 Listen 443
  4. 找到 #LoadModule ssl_module modules/mod_ssl.so ,把前面的#去掉(即去掉注释)
  5. (yum install mod_ssl 时可能会安装了另一个新的apache并注册为httpd服务,参考上面第四条修改服务为原本的apache)
  6. 如果原来已经有mod_ssl,注意检查版本,以免出现“心血漏洞” , 附:心血漏洞检测脚本工具

vhost配置

  xxx.pem (或 xxx.crt 或 xxx.cer)为证书文件,  xxx.key 为ssl私钥

  注:自签发的ssl证书,现在的浏览器已经不承认了,配了这种别人反而会打不开网站

<VirtualHost *:443>
DocumentRoot "/home/mywebsite"
ServerName www.batsing.com
ServerAlias m.batsing.com batsing.com
<IfModule mod_ssl.c>
SSLEngine on
SSLCertificateFile /home/ssl/batsing.com.pem
SSLCertificateKeyFile /home/ssl/batsing.com.key
</IfModule>
</VirtualHost>

配置http自动跳转https

<VirtualHost *:80>
DocumentRoot "/home/mywebsite"
ServerName www.batsing.com
ServerAlias m.batsing.com batsing.com
# http -> https
<IfModule mod_rewrite.c>
Options +FollowSymlinks
RewriteEngine On
RewriteRule ^(.*)$ https://www.batsing.com$1 [R=permanent,L]
</IfModule>
</VirtualHost>

十、手机浏览器自动跳转到移动版

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.batsing.com$ [NC] # 要限定PC版的域名,不然会使手机端产生重定向循环错误
RewriteCond %{HTTP_USER_AGENT} "Mobile" [NC] # 含Mobile字眼的浏览器(包括微信、UC移动、QQ移动、Safari移动、安卓原生等)
RewriteRule ^(.*)$ http://m.batsing.com$1 [R=301,NC,L] #跳转到移动端对应的地址
# RewriteRule ^(.*)$ http://m.batsing.com [R=301,NC,L] #跳转到移动端的首页
</IfModule>

说明:.htaccess保存立即生效,xxx.conf需要重启/重载Apache才能生效。

零、Linux 下 Apache基本操作命令

基本的操作方法:
如果apache安装成为linux的服务的话,可以用以下命令操作:

service httpd start #启动
service httpd restart #重新启动
service httpd stop #停止服务

不是linux服务的话:
本文假设你的apahce安装目录为/usr/local/apache2,这些方法适合任何情况

apahce启动命令:
推荐/usr/local/apache2/bin/apachectl start 启动
apache停止命令
/usr/local/apache2/bin/apachectl stop   停止
apache重新启动命令:
/usr/local/apache2/bin/apachectl restart 重启
要在重启 Apache 服务器时不中断当前的连接,则应运行:
/usr/local/sbin/apachectl graceful

将apache注册为linux服务:

cp /usr/local/apache2/bin/apachectl /etc/rc.d/init.d/httpd
chkconfig --add httpd

附:一个完整的典型域名配置文件 batsing.com.conf