博文大纲:
- 一、开启apache的Gzip(deflate)功能
- 二、开启expires缓存功能
- 三、禁止Apache进行目录遍历
- 四、隐藏apache的版本信息
- 五、apache日志切割
- 六、配置防盗链
一、开启apache的Gzip(deflate)功能
gzip可以极大的加速网站,压缩比率通常在40%~80%之间,在之前的版本中,Gizp是第三方压缩工具,但是在Gzip 2版本后,Apache自己开发了deflate模块,用来实现压缩功能。
如果要开启apache的压缩功能,需要在编译安装apache时,增加“–enable-deflate”配置项,并且必须在主配置文件中打开下面两个模块:
LoadModule deflate_module modules/mod_deflate.so
LoadModule headers_module modules/mod_headers.so
注意:如果在编译安装时,没有增加“–enable-deflate”选项,可以使用DSO方式安装此功能,如下:
[root@www ~]# cd /root/httpd-2.4.23/modules/filters/ #切换至apache 源码包 mod_deflate 所在的目录下
[root@www ~]# /usr/local/http-2.4.23/bin/apxs -c -i -a mod_deflate.c #以 dso 的方式编译安装到 apache 中
如果报错如下:
此报错是缺少zlib-devel的安装包,直接执行“yum -y install zlib-devl”进行安装即可,然后再次安装deflate功能。
确认安装成功:
[root@www filters]# ll /usr/local/http-2.4.23/modules/mod_deflate.so #检查 mod_deflate 是否安装,成功安装这里会显示出该文件
关于上面执行的命令“/usr/local/http-2.4.23/bin/apxs -c -i -a mod_deflate.c”。
选项解释如下:
- -c:表示需要执行编译操作;
- -i:表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modeles目录中。
- -a:此选项是自动增加一个LoadModule 行到 httpd.conf 文件中,以启用此模块,或者,如果此行已经存在,则启用它。
安装完成后,默认是启用了这两个模块的,但是检查apache的主配置文件时,可能会报错,如下:
解决办法:需要在 LoadModule deflate_modulemodules/mod_deflate.so 配置项的前面加载 zlib.so。刚才yum安装zlib时,它默认安装在了/usr/lib64目录下,所以在apache主配置文件中,在 LoadModule deflate_module modules/mod_deflate.so 这行的上一行添加 LoadFile /usr/lib64/libz.so 即可。
最后确认开启压缩功能(apache主配置文件中必须开启以下三行,这三行不一定在同一位置,但是LoadFile /usr/lib64/libz.so必须在那两个之前):
LoadFile /usr/lib64/libz.so
LoadModule deflate_module modules/mod_deflate.so
LoadModule headers_module modules/mod_headers.so
至此,压缩功能就开启了,接下来配置压缩的功能。
在apache的主配置文件的末尾写入以下内容(在添加代码前最好先确定以下代码是否存在):
<IfModule mod_deflate.c> <!--deflate模块配置-->
DeflateCompressionLevel 6 <!--压缩等级范围0-9,数字越大,压缩比越高,建议取中,否则会加大CPU的压力-->
SetOutputFilter DEFLATE <!--设置输出过滤器,对输出启用压缩,就像一个开关一样,告诉apache对传输到浏览器的内容进行压缩-->
AddOutputFilterByType DEFLATE text/*
<!--设置对文件是对文本的内容进行压缩,如text/html text/css text/plain等-->
AddOutputFilterByType DEFLATE application/ms* application/vnd* application/postscript application/javascript application/x-javascript
<!--对JavaScript文件进行压缩-->
AddOutputFilterByType DEFLATE application/x-httpd-php application/x-httpd-fastphp
<!--对php类型的文件进行压缩-->
SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary
<!--设置图片类型不进行压缩,图片压缩后的大小可能超过原来的大小,而且可能会失真,所以不对图片进行压缩。注:?号表示不会捕获()里的内容了-->
SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
<!--同上,就是设置不对 exe,tgz,gz 等的文件进行压缩-->
SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary
<!--同上就是设置不对 pdf,avi,mp3 等的文件进行压缩-->
</IfModule>
<!--以下是设置压缩信息的日志输出-->
DeflateFilterNote Input input_info <!--声明输入流的 byte 数量-->
DeflateFilterNote Output output_info <!--声明输出流的 byte 数量-->
DeflateFilterNote Ratio ratio_info <!--声明压缩的百分比-->
LogFormat '"%r" %{output_info}n/%{input_info}n (%{ratio_info}n%%)' deflate <!--声明日志格式-->
CustomLog logs/deflate_log.log deflate <!--指定日志的存放路径-->
可根据上面的配置,定义自己需要的压缩项目,要压缩的文件类型根据自己所需要的配置即可(注:除了图片之外,flash 的 swf 文件也是不用启用 GZip 压缩的。)。
去除注释后的代码如下:
<IfModule mod_deflate.c>
DeflateCompressionLevel 6
SetOutputFilter DEFLATE
AddOutputFilterByType DEFLATE text/*
AddOutputFilterByType DEFLATE application/ms* application/vnd* application/postscript application/javascript application/x-javascript
AddOutputFilterByType DEFLATE application/x-httpd-php application/x-httpd-fastphp
SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary
</IfModule>
DeflateFilterNote Input input_info
DeflateFilterNote Output output_info
DeflateFilterNote Ratio ratio_info
LogFormat '"%r" %{output_info}n/%{input_info}n (%{ratio_info}n%%)' deflate
CustomLog logs/deflate_log.log deflate
修改完成后,保存退出并且重启http服务,使用谷歌浏览器访问(在访问前按“F12”),即可看到压缩相关的信息(最好修改网页的文件,使其大一些,否则不会启用压缩,看不到效果),如下:
查看压缩信息产生的日志:
[root@apache http-2.4.23]# cat logs/deflate_log.log #查看压缩日志
"GET / HTTP/1.1" 74/4545 (1%) #74表示压缩后的大小,4545表示压缩前的大小,末尾的括号中是压缩率
"GET / HTTP/1.1" 74/4545 (1%)
"-" -/- (-%)
[root@apache http-2.4.23]# ll htdocs/index.html #可以查看网页的大小是否为压缩前的大小“4545”
-rw-r--r--. 1 root root 4545 10月 12 23:00 htdocs/index.html
压缩方面的优化,至此结束。
二、开启expires缓存功能
expires功能可以较少20%~30%左右的重复请求,让重复的用户对指定的页面请求结果都cache在本地,而无需向服务器发出请求。但是经常发生更改的文件不建议这么做。
1、在没有缓存机制的情况下,先查看以下获取的响应报文。
[root@apache htdocs]# curl -I 127.0.0.1/test.jpg #访问一个图片
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2019 02:10:34 GMT
Server: Apache/2.4.23 (Unix)
Last-Modified: Mon, 22 Jul 2019 05:55:51 GMT
ETag: "415bf-58e3eba7687c0"
Accept-Ranges: bytes
Content-Length: 267711
Content-Type: image/jpeg #这就是内容的格式,在定义缓存机制时的类型就是根据这来定义的
#可以看到,上面没有出现cache等相关字样
2、配置expires缓存功能:
[root@apache htdocs]# vim /usr/local/http-2.4.23/conf/httpd.conf #编辑主配置文件
..................#省略部分内容
LoadModule expires_module modules/mod_expires.so #去掉此行注释符号
#然后在配置文件的末尾添加以下expires规则
<IfModule mod_expires.c>
ExpiresActive On #开启缓存机制
#以下是定义各种类型的文件缓存多长时间
ExpiresByType text/css "now plus 1 month"
ExpiresByType application/x-javascript "now plus 5 day"
ExpiresByType image/jpeg "access plus 30 days" #这里将图片的缓存时间设置为30天
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/bmp "access plus 1 month"
ExpiresByType image/x-icon "access plus 1 month"
ExpiresByType image/png "access plus 1 minute"
ExpiresByType application/x-shockwave-flash "access plus 1 month"
ExpiresDefault "now plus 0 minute" #这行表示上面没有定义的,则不进行缓存。
</IfModule>
#写入后,保存退出即可。
[root@apache htdocs]# apachectl -t #测试配置文件是否有误
Syntax OK
[root@apache htdocs]# apachectl restart #重启apache,以便刚才的更改生效
无注释的配置文件如下:
LoadModule expires_module modules/mod_expires.so
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType text/css "now plus 1 month"
ExpiresByType application/x-javascript "now plus 5 day"
ExpiresByType image/jpeg "access plus 30 days"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/bmp "access plus 1 month"
ExpiresByType image/x-icon "access plus 1 month"
ExpiresByType image/png "access plus 1 minute"
ExpiresByType application/x-shockwave-flash "access plus 1 month"
ExpiresDefault "now plus 0 minute"
</IfModule>
缓存机制的配置格式:ExpiresByType type/encoding "<base> [plus] {<num><type>}"
1、其中<base>是下列之一:
- access(相对于客户端访问的时间)
- now(相当于access)
- modification(相对于最后一次修改源文件后的缓存时间)
2、该plus关键字是可选的。num 应该是整数值,并且type是以下之一:- years
- months
- weeks
- days
- hours
- minutes
- seconds
也可以使用以下格式来定义缓存机制:
ExpiresByType image/jpeg A2592000 #表示图片的缓存是1个月
ExpiresByType text/html M604800 #表示HTML文档的有效期是最后修改时刻后的一星期
如果使用“A”(等同于access)“M”(等同于modification)来定义缓存有效期,那么只能以秒来计算。
结论:expires模块可以将到期日期设置为相对于上次修改源文件的时间,还是相对于客户端访问的时间。
3、进行访问测试,查看是否有缓存机制:
[root@apache htdocs]# curl -I 127.0.0.1/test.jpg #访问某个图片
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2019 02:16:44 GMT
Server: Apache/2.4.23 (Unix)
Last-Modified: Mon, 22 Jul 2019 05:55:51 GMT
ETag: "415bf-58e3eba7687c0"
Accept-Ranges: bytes
Content-Length: 267711
Cache-Control: max-age=2592000 #这就是缓存的时间,单位是秒
Expires: Tue, 12 Nov 2019 02:16:44 GMT
Content-Type: image/jpeg
关于缓存的配置格式,可以阅读其官方文档进行详细了解。
三、禁止Apache进行目录遍历
当web服务器收到请求报文时,会自动在网页根目录下寻找index.html文件,那么,如果没有这个文件呢?
[root@apache htdocs]# ls #确认web服务器的网页根目录没有index.html文件
a.sh images test.jpg
客户端就会看到以下界面:
可以看到,如果没有index.html文件,那么我们的网页结构就直接暴露给了client,这样多少会存在一些隐患,所以,怎么解决呢?
解决方法如下:
[root@apache htdocs]# vim ../conf/httpd.conf #编辑主配置文件
Options Indexes FollowSymLinks #定位到这行
#更改如下:
Options FollowSymLinks #将中间的Indexes删除即可保存退出
[root@apache htdocs]# apachectl restart #重启apache以便生效
Indexes 的作用就是当该目录下没有 index.html 文件时,就显示目录结构。
客户端再次访问:
OK!!!看到的是403页面。
四、隐藏apache的版本信息
[root@apache htdocs]# curl -I 127.0.0.1 #查看默认apache的状态信息
HTTP/1.1 403 Forbidden
Date: Sun, 13 Oct 2019 03:08:39 GMT
'Server: Apache/2.4.23 (Unix) ' #可以看到apache的详细版本信息
Content-Type: text/html; charset=iso-8859-1
若想隐藏,须进行以下操作:
[root@apache htdocs]# cd ../conf/
[root@apache conf]# vim httpd.conf #编辑主配置文件
Include conf/extra/httpd-default.conf #去掉此行前的注释符号后保存退出
[root@apache conf]# pwd #查看当前工作路径
/usr/local/http-2.4.23/conf
[root@apache conf]# vim extra/httpd-default.conf #编辑此文件
#找到下面这两行:
ServerTokens Full
ServerSignature Off
#更改如下:
ServerTokens Prod
ServerSignature On
#更改后保存退出
[root@apache conf]# apachectl restart #重启服务,以便更改生效
[root@apache conf]# curl -I 127.0.0.1 #再次访问查看
HTTP/1.1 403 Forbidden
Date: Sun, 13 Oct 2019 03:19:17 GMT
Server: Apache #发现只有apache了,而没有了详细的版本
Content-Type: text/html; charset=iso-8859-1
如果你需要彻底将版本之类的信息进行改头换面,你就需要在编译之前做准备或者进行重新编译了。在重新编译时,修改apache的源码包下 include 目录下的 ap_release.h 配置文件
#define AP_SERVER_BASEVENDOR "Apache Software Foundation" #服务的供应商名称
#define AP_SERVER_BASEPROJECT "Apache HTTP Server" #服务的项目名称
#define AP_SERVER_BASEPRODUCT "Apache" #服务的产品名
#define AP_SERVER_MAJORVERSION_NUMBER 2 #主要版本号
#define AP_SERVER_MINORVERSION_NUMBER 4 #小版本号
#define AP_SERVER_PATCHLEVEL_NUMBER 23 #补丁级别
#define AP_SERVER_DEVBUILD_BOOLEAN 0 #
上述列出的行,可以修改成自己想要的,然后编译安装之后,客户端就彻底不知道你的版本号了。
五、apache日志切割
随着网站的访问量越来越大,web server产生的日志文件也会越来越大,如果不进行分割,必定会有一定程度的不方便。因此,管理好这些海量的日志对网站的意义是很大的。
日志分割共两种方法。
方法1:使用rotatelogs(apache自带的工具)按天分割日志,每隔一天记录一个日志
[root@apache conf]# vim httpd.conf #编辑主配置文件
#将以下两行配置注释掉(去除默认的日志记录)
#ErrorLog "logs/error_log"
#CustomLog "logs/access_log" common
#然后最好在CustomLog "logs/access_log" common配置的下一行添加如下内容(以下内容不可以直接复制,请看下面的解释):
ErrorLog "|/usr/local/http-2.4.23/bin/rotatelogs -l logs/error_%Y-%m-%d.log 86400"
CustomLog "|/usr/local/http-2.4.23/bin/rotatelogs -l logs/access_%Y-%m-%d.log 86400" combined
#添加后,保存退出即可
上面两行的配置项,必须在<IfModule log_config_module> </IfModule>标签中写入。这就是我为什么说最好写在CustomLog "logs/access_log" common配置的下一行的原因,因为这行就在该标签中,写在它的下一行,错不了。
在上面添加的内容中,86400为轮转的时间,单位是秒(也就是一天生成一个日志文件);
需要注意我这里的rotatelogs命令的绝对路径,需根据自己的实际安装路径来定,不要直接复制。
[root@apache conf]# apachectl restart #重启服务,以便更改生效
[root@apache conf]# ls ../logs/ #查看日志文件,会发现没有access的切割日志
access_log 'error_2019-10-13.log' error_log httpd.pid
#此时,原来的access_log和error_log日志文件已经可以删除了
#没有access的切割日志是因为更改后还没有访问过
[root@apache conf]# curl 127.0.0.1 &> /dev/null #访问一下
[root@apache conf]# ls ../logs/ #再次查看,就有了
'access_2019-10-13.log error_2019-10-13.log' httpd.pid
access_log error_log
由于 apache 自带的日志轮询工具 rotatelogs,据说在进行日志切割时容易丢日志,因此我们通常使用 cronolog (也就是方法2)进行日志轮询。
方法2:使用cronolog为每一天建立一个新的日志
同样需要注释掉主配置文件中的下面两行:
#ErrorLog "logs/error_log"
#CustomLog "logs/access_log" common
下载我提供的cronolog源码包
[root@apache src]# rz #使用xshell上传我提供的源码包
#进行编译安装
[root@apache src]# tar zxf cronolog-1.6.2.tar.gz
[root@apache src]# cd cronolog-1.6.2/
[root@apache cronolog-1.6.2]# ./configure && make && make install
[root@apache conf]# pwd #切换工作路径至此
/usr/local/http-2.4.23/conf
[root@apache conf]# vim httpd.conf #编辑主配置文件
#将方法1中写入的日志切割配置项删除,写入下面的两行配置
ErrorLog "|/usr/local/sbin/cronolog logs/error-%Y-%m-%d.log"
CustomLog "|/usr/local/sbin/cronolog logs/access-%Y-%m-%d.log" combined
#写完保存退出即可
[root@apache logs]# ls #为了避免混乱,我移走了原有的日志文件
httpd.pid
[root@apache logs]# apachectl restart #重启
[root@apache logs]# curl 127.0.0.1 &> /dev/null #访问一下,以便生成访问日志文件
[root@apache logs]# ls #查看确认,
access-2019-10-13.log error-2019-10-13.log httpd.pid
至此,即可实现了每天的日志文件分开单独存放。
如果 Apache 中有多个虚拟主机,最好每个虚拟主机中放置一个这样的代码,并将日志文件名改成不同的名字。
3、附加
如果网站访问量实在过于庞大,那么我们可能更需要的是将日志按小时分割,然后按小时分割的日志存放在一个目录中,也就是说,每天对应一个目录,这个 目录下存放的是当天产生的按小时分割的日志。
实现如下:
只需将方法2中写入的两行配置项,更改为如下即可:
[root@apache conf]# vim httpd.conf #更改如下
ErrorLog "|/usr/local/sbin/cronolog logs/error_%Y-%m-%d/error_log.%H"
CustomLog "|/usr/local/sbin/cronolog logs/access_%Y-%m-%d/access_log.%H" combined
[root@apache conf]# apachectl restart #重启
[root@apache logs]# curl 127.0.0.1 #访问一下
[root@apache http-2.4.23]# pwd #切换工作路径
/usr/local/http-2.4.23
[root@apache http-2.4.23]# tree logs/ #使用tree命令查看
logs/
|-- access_2019-10-13 #访问的日志日期
| `-- access_log.12 #12点产生的
|-- error_2019-10-13 #错误的日志日期
| `-- error_log.12 #也是12点产生的
`-- httpd.pid
注意:以上两个管道日志文件程序还有一点不同之处是使用 cronolog 时如果日志是放在某个不存在的路径则会自动创建目录,而使用 rotatelogs 时不能自动创建,这一点要特别注意
六、配置防盗链
有时候,你的网站莫名其妙的访问量变大,不要高兴的太早,有可能是被别人盗链了。
举个例子:比如你搭了个论坛,里面有些热点图片、视频;然后别人将他网站上访问图片的地址重定向到你的 论坛上,这样他的服务器就可以空闲出来了;也就是说别人访问他网站的图片视频,消耗的却是你服务器的资源。
如果解决这个问题,需要借助apache的rewrite模块,配置如下:
[root@apache conf]# vim httpd.conf #编辑主配置文件
#确认有以下的配置项,并且去掉注释,若没有下面这行,则需安装rewrite模块
LoadModule rewrite_module modules/mod_rewrite.so
开启rewrite模块后,找到自己网站对应的配置文件(如主配置文件或虚拟主机配置文件中),在末尾加入以下代码:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://test.com$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com$ [NC]
RewriteRule .*/.(gif|jpg|swf)$ http://www.test.com/about/nolink.png [R,NC,L]
相关选项解释如下:
- RewriteEngine On:启用rewrite,必须写上;
- RewriteCond……:在写RewriteRule之前,可以有一条或多条,用于测试rewrite的匹配条件,具体写法,后面再聊;
- .RewriteRule:配置规则;
- %{HTTP_REFERER}:服务器变量,http referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上referer,告诉服务器是我是从哪个页面链接过来的,服务器就借此可以获取一些信息用于处理,比如从我主页上链接到一个朋友那里,他的服务器就可以从http referer中统计出每天有多少用户点击我主页上的链接访问他的网站;
- [ NC]指的是不区分大小写,[R]强制重定向 redirect;
- 字母 L 表示如果能匹配本条规则,那么本条规则是最后一条(Last),忽略之后的规则;
- RewriteCond %{HTTP_REFERER} !^$:这行配置项作用是允许空“HTTP_REFERER”的访问,就是用户直接在浏览器输入URL访问该资源,而不是通过链接访问的。
- RewriteCond %{HTTP_REFERER} !test.com/.$ [NC]和RewriteCond %{HTTP_REFERER} !www.test.com/.$ [NC]是设置允许访问的HTTP来源,包括网站自身。
- RewriteRule .*.(gif|jpg|swf)$ http://www.test.com/about/nolink.png [R,NC,L] 的作用是将不满足referer条件的访问重定向至nolink.png, nolink.png 位于允许“盗链”的目录 about中,要相当注意,不然,警告信息和图片将无法在对方网站上显示。
注意:测试时注意清除缓存。
小结:
1、红色部分: 表示自己的信任站点。对我的站点来说,设置为 http://www.test.com 和http://test.com
2.、绿色部分: 要保护文件的扩展名(以|分开)。表示以这些为扩展名的文件,必须通过红色标注的网址引用,才可以访问。
3、蓝色部分: 定义被盗链时替代的图片,让所有盗链 jpg、gif、swf 等文件的网页,显示网页文档根目录下的 about/ nolink.png 文件。 注意:替换显示的图片不要放在设置防盗链的目录中,并
且该图片文件体积越小越好。当然你也可以不设置替换图片,而是使用这条语句即可:RewriteRule .*.(gif|jpg|png)$ – [F]
注:[F] (强制 URL 为被禁止的 forbidden),强制当前 URL 为被禁止的,即,立即反馈一个 HTTP 响应代码 403(被禁止的)。
对上述的防盗链进行测试:
我这里有A( www.test.com ) 和B( www.daolian.com ) 两台服务器,其中B服务器的index.html首页文件如下:
[root@localhost html]# cat index.html #B 服务器的首页文件是个链接,指向了A服务器的test.jpg文件。
<a href="http://www.test.com/test.jpg">link</a>
client直接访问A服务器的test.jpg文件时(其URL和B服务器的超链接地址一样),得到以下美女一枚:
但是如果通过B服务器的超链接来访问呢?请继续看下去。
What???怎么是只二哈,不应该是一枚美女吗?并且它的URL也不是我们B服务器指定的超链接地址了。
这就是我们A服务器的防盗链配置生效了!!!
利用rewrite实现Apache防盗链小结
通过判断referer变量的值,来判断图片或资源的引用是否合法,只有在根据配置符合设定需求范围内的referer,这样的网站内容,才能调用访问指定的资源内容,从而实现了资源被网站盗链的目的。需要注意的是:是所有的用户代理(浏览器)都会设置referer变量,而且有的还可以手工修改erferer,referer是可以被伪造的,上面的配置只是一种简单的防护手段。应付一般的盗链足矣。
当网站被盗链,一般可以采取以下措施:
- 对本站的图片、视频、音频等文件标上自己的站名品牌或者相关水印;
- 设置防火墙,从源头IP进行控制
- 设置防盗链(根据referer机制)
网站被非法盗链使用,会导致网站带宽成本加大以及服务器压力加大,严重时会导致巨额的网站及正常用户访问受到影响。
好了,防盗链至此就实现了。
———————— 本文至此结束,感谢阅读 ————————
原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/183663.html