Tag Archives: Apache

利用Apache htaccess文件创建密码保护网站隐私目录

Leave a reply

在生产环境中,各种各样的网站目录限制场景非常之多,这时就可能需要用到Apache htpasswd工具来实现,下面我将一一讲解如何使用。

先使用Apache htpasswd命令创建一个密码文件,htpasswd的命令用法如下:

-c # 创建密码文件,若该文件已存在,它会重写并删除原有内容;
-n # 不更新密码文件,直接显示密码;
-m # 使用MD5加密(默认);
-d # 使用CRYPT加密(默认);
-p # 使用普通文本格式的密码;
-s # 使用SHA加密;
-b # 命令行中一并输入用户和密码,而交互性,生成时可见密码明文;
-D # 删除指定的用户;

创建添加一个用户名为:renwole 密码为:renwole 的密码文件:

$ htpasswd -c .accpasswd renwole
New password:
Re-type new password:
Adding password for user renwole

注意:创建的密码 .accpasswd 文件名可自定义。

使用cat查看生成的内容:

$ cat .accpasswd
renwole:$apr1$4owQhqtn$ElCDIh0sfR.ZFzeaY9sDw0

注意:生成的密码是已经加密过的,所以别弄混掉了。

添加多个账号:

$ htpasswd -b .accpasswd renwolecom password-renwolecom
Adding password for user renwolecom

查看生成的多个账号和密码:

$ cat .accpasswd
renwole:$apr1$4owQhqtn$ElCDIh0sfR.ZFzeaY9sDw0
renwolecom:$apr1$3zzGmKtR$jKKCbU2nVEQZFz9mtEXE./

删除用户:

$ htpasswd -D .accpasswd renwolecom
Deleting password for user renwolecom

查看删除后的密码文件:

$ cat .accpasswd
renwole:$apr1$4owQhqtn$ElCDIh0sfR.ZFzeaY9sDw0

创建密码保护区域

有了密码文件之后,我们可以使用.htaccess文件创建保护区域。

将以下内容保存为 .htaccess 文件,这样我们就可以使用该文件建立保护区域。

$ vim /apps/web/renwolecom/phpMyadmin/.htaccess

AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/apache/conf/.accpasswd
require valid-user

将该文件放在需要保护的目录下即可。因此我放在了网站根目录的phpMyadmin目录,这样访问此目录,就会出现弹窗验证,输入生成的用户名和密码即可。

Centos 7源代码安装配置 Apache 生产篇

Leave a reply

什么是Apache?

Apache是​​互联网上最流行的网络web服务器。全球一半以上网站都是使用Apache作为服务器。其也是一个工业级的 Web服务器。

在本文中我主要介绍如何安装Apache HTTP服务器,你只要按照本教程的步骤操作,一定可以安装成功,需要说明的是,如果你只安装Apache,而不安装php,请在配置文件中,删除 FilesMatch 包含的内容,否则会报错找不到PHP。

如果你需要安装PHP/Mysql数据库,那么本站教程太适合你了,关于php和mysql的安装,请阅读:11、12步骤。

说明:本文教程适用于生产环境,Apache是基于FPM/FastCGI解析的PHP。

系统环境:Centos 7.4 Apache 2.4.29

1.更新系统

$ yum update && yum upgrade -y

2.安装扩展包以及依赖包

$ yum install epel-release -y
$ yum install gcc gcc-c++ openssl openssl-devel libtool expat-devel zlib-devel python-devel -y

3.安装pcre

$ wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.41.tar.gz
$ tar zxvf pcre-8.41.tar.gz
$ cd pcre-8.41
$ ./configure
$ make -j8 && make install


4.安装nghttp2


$ wget //github.com/nghttp2/nghttp2/releases/download/v1.27.0/nghttp2-1.27.0.tar.gz
$ tar zxvf nghttp2-1.27.0.tar.gz
$ cd nghttp2-1.27.0
$ ./configure
$ make -j8 && make install
$ echo '/usr/local/lib' > /etc/ld.so.conf.d/local.conf
$ ldconfig


5.安装Apache httpd


创建用户与组并下载httpd apr apr-util安装包:


$ groupadd www
$ useradd -g www www
$ cd /tmp
$ wget //mirrors.shuosc.org/apache//httpd/httpd-2.4.29.tar.gz
$ wget //mirrors.tuna.tsinghua.edu.cn/apache//apr/apr-1.6.3.tar.gz
$ wget //mirrors.tuna.tsinghua.edu.cn/apache//apr/apr-util-1.6.1.tar.gz


解压相关包:


$ tar xvf httpd-2.4.29.tar.gz
$ tar xvf apr-1.6.3.tar.gz
$ tar xvf apr-util-1.6.1.tar.gz


apr-1.6.3apr-util-1.6.1移动到httpd-2.4.29/srclib目录下。操作如下:


$ cd httpd-2.4.29
$ cp -R ../apr-1.6.3 srclib/apr
$ cp -R ../apr-util-1.6.1 srclib/apr-util


注意:移动不准带版本号,否则编译安装时找不到库。


开始安装:


$ ./configure \
--prefix=/usr/local/apache \
--enable-mods-shared=most \
--enable-headers \
--enable-mime-magic \
--enable-proxy \
--enable-so \
--enable-rewrite \
--with-ssl \
--with-nghttp2 \
--enable-ssl \
--enable-deflate \
--with-pcre \
--with-included-apr \
--with-apr-util \
--enable-mpms-shared=all \
--with-mpm=prefork \
--enable-remoteip \
--enable-http2 \
--enable-dav \
--enable-expires \
--enable-static-support \
--enable-suexec \
--enable-modules=all \


$ make -j8 && make install


安装完成。


6.配置httpd.conf


$ cd /usr/local/apache/conf
$ vim httpd.conf


除默认配置外,请取消以下注释,开启相关模块:


LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule deflate_module modules/mod_deflate.so
LoadModule expires_module modules/mod_expires.so
LoadModule remoteip_module modules/mod_remoteip.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_fcgi_module modules/mod_proxy_fcgi.so
LoadModule proxy_scgi_module modules/mod_proxy_scgi.so
LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
LoadModule proxy_express_module modules/mod_proxy_express.so
LoadModule slotmem_shm_module modules/mod_slotmem_shm.so
LoadModule ssl_module modules/mod_ssl.so
LoadModule http2_module modules/mod_http2.so
LoadModule lbmethod_byrequests_module modules/mod_lbmethod_byrequests.so
LoadModule lbmethod_bytraffic_module modules/mod_lbmethod_bytraffic.so
LoadModule lbmethod_bybusyness_module modules/mod_lbmethod_bybusyness.so
LoadModule lbmethod_heartbeat_module modules/mod_lbmethod_heartbeat.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule rewrite_module modules/mod_rewrite.so


在模块结尾部分添加如下内容:


<IfModule http2_module>
ProtocolsHonorOrder On
Protocols h2 http/1.1
</IfModule>



修改以下参数配置


将用户组设置为:


User www
Group www


默认值:


#ServerName www.example.com:80


修改为:


ServerName 0.0.0.0:80


注意:如果基于端口创建虚拟主机,请换行加端口,然后在虚拟主机配置文件中指定端口即可。


将配置文件中的所有:


AllowOverride None


修改为:


AllowOverride All


在以下内容位置:


AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz


添加:


AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps


取消以下注释并添加apache支持python:


AddHandler cgi-script .cgi .py


取消以下注释:


Include conf/extra/httpd-mpm.conf
Include conf/extra/httpd-vhosts.conf
Include conf/extra/httpd-default.conf


以下内容在文件尾部添加


开启GZIP:


<IfModule mod_headers.c>
 AddOutputFilterByType DEFLATE text/html text/plain text/css text/xml text/javascript
 <FilesMatch "\.(js|css|html|htm|png|jpg|swf|pdf|shtml|xml|flv|gif|ico|jpeg)$">
 RequestHeader edit "If-None-Match" "^(.*)-gzip(.*)$" "$1$2"
 Header edit "ETag" "^(.*)-gzip(.*)$" "$1$2"
 </FilesMatch>
 DeflateCompressionLevel 6
 SetOutputFilter DEFLATE
</IfModule>



设置apache安全:


ProtocolsHonorOrder On
PidFile /usr/local/apache/logs/httpd.pid
ServerTokens ProductOnly
ServerSignature Off


引入虚拟主机配置文件:


IncludeOptional conf/vhost/*.conf


7.创建目录及虚拟主机配置文件


$ mkdir -p /usr/local/apache/conf/vhost
$ mkdir -p /data/apps/web/renwolecom
$ vim /usr/local/apache/conf/vhost/renwolecom.conf


插入以下内容:


<VirtualHost *:80>
 ServerAdmin webmaster@example.com
 DocumentRoot "/data/apps/web/renwolecom"
 ServerName www.renwole.com
 ServerAlias renwole.com
 errorDocument 404 /404.html
 ErrorLog "/usr/local/apache/logs/renwolecom-error_log"
 CustomLog "/usr/local/apache/logs/renwolecom-access_log" combined

<FilesMatch \.php$>
 SetHandler "proxy:unix:/tmp/php-cgi.sock|fcgi://localhost"
 </FilesMatch>

<Directory "/data/apps/web/renwolecom">
 SetOutputFilter DEFLATE
 Options FollowSymLinks
 AllowOverride All
 Require all granted
 DirectoryIndex index.php index.html index.htm default.php default.html default.htm
 </Directory>
</VirtualHost>


以上内容请根据自己的网站实际路径修改。


说明:如果没有域名,请将域名绑定部分修改为127.0.0.1,在http.conf中添加其他端口即可实现IP+端口访问,要记得防火墙放行端口。


注意:建议清空httpd-vhosts.conf中的内容,或者不开启引用,否则重启httpd服务时会有警告,但不影响使用,主要原因是找到默认配置中的网站目录路径。


8.创建system系统单元启动文件


$ vim /usr/lib/systemd/system/httpd.service


添加以下内容:


[Unit]
Documentation=man:systemd-sysv-generator(8)
SourcePath=/usr/local/apache/bin/apachectl
Description=LSB: starts Apache Web Server
Before=runlevel2.target
Before=runlevel3.target
Before=runlevel4.target
Before=runlevel5.target
Before=shutdown.target
After=all.target
After=network-online.target
Conflicts=shutdown.target

[Service]
Type=forking
Restart=no
TimeoutSec=5min
IgnoreSIGPIPE=no
KillMode=process
GuessMainPID=no
RemainAfterExit=yes
ExecStart=/usr/local/apache/bin/apachectl start
ExecStop=/usr/local/apache/bin/apachectl stop


9.加入开机自启/启动/停止/重启


$ systemctl enable httpd
$ systemctl start httpd
$ systemctl stop httpd
$ systemctl restart httpd


10.设置Firewalld防火墙


$ firewall-cmd --permanent --zone=public --add-service=http
$ firewall-cmd --permanent --zone=public --add-service=https
$ firewall-cmd --reload


接下来你就可以使用域名或IP访问你的网站了。


11.部署PHP篇


请参阅《Centos 7源码编译安装 php7.1 生产篇


12.部署Mysql篇


请参阅《Centos 7二进制安装配置 MariaDB(MySQL)数据库


Apache HTTP服务器的安装与配置至此已经结束,如果在安装配置过程中出现任何报错,请查看/usr/local/apache/logs/下的错误日志,以便你能快速解决所遇到的问题。


若还有其他指教,欢迎你的留言。

					

		
		
	


	

				

			
						

				Apache Nginx 禁止目录执行PHP脚本文件
			

										

					Leave a reply				

					


				

			
我们在搭建网站的时候,可能需要单独对一些目录进行设置权限,以达到我们需要的安全效果。下面举例说明在Apache或Nginx下如何设置禁止某个目录执行php文件。


1.Apache配置


<Directory /apps/web/renwole/wp-content/uploads>
 php_flag engine off
</Directory>
<Directory ~ "^/apps/web/renwole/wp-content/uploads">
 <Files ~ ".php">
 Order allow,deny
 Deny from all
 </Files>
</Directory>



2.Nginx配置


location /wp-content/uploads {
    location ~ .*\.(php)?$ {
    deny all;
    }
}


Nginx禁止多个目录执行PHP:


location ~* ^/(css|uploads)/.*\.(php)${
    deny all;
}


配置完成后,重载配置文件或重启Apache或Nginx服务,之后所有通过uploads来访问php文件,都将返回403,大大地增加了web目录安全性。

					

		
		
	


	

				

			
						

				Apache Tomcat 8.5 安全配置与高并发优化
			

										

					Leave a reply				

					


				

			
通常我们在生产环境中,Tomcat的默认配置显然不能满足我们的产品需求,所以很多时候都需要对Tomcat的配置进行调优,以下综合我自己的经验来配置 Tomcat 安全与优化情况,如果你有更好的方案,请留言,我会参考并加纳进去。


关于JAVA JDK JRE的安装配置,请阅读《Linux JAVA JDK JRE 环境变量安装与配置》篇。

关于Tomcat的安装,请阅读《Linux Apache Tomcat 8.5 安装与配置》篇。


1.编辑修改配置文件:




# vim /usr/program/tomcat8/conf/server.xml




2.禁用8005端口


telnet localhost 8005 然后输入 SHUTDOWN 就可以关闭 Tomcat,为了安全我们要禁用该功能


默认值:


<Server port="8005" shutdown="SHUTDOWN">


修改为:


<Server port="-1" shutdown="SHUTDOWN">




3.应用程序安全&关闭自动部署


默认值:


<Host name="localhost" appBase="webapps"
 unpackWARs="true" autoDeploy="true">


修改为:


<Host name="localhost" appBase="webapps"
 unpackWARs="false" autoDeploy="false" reloadable="false">




4.maxThreads 连接数限制修改配置


默认值:


<!--
 <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
 maxThreads="150" minSpareThreads="4"/>
 -->


修改为:


<Executor
 name="tomcatThreadPool"
 namePrefix="catalina-exec-"
 maxThreads="500"
 minSpareThreads="30"
 maxIdleTime="60000"
 prestartminSpareThreads = "true"
 maxQueueSize = "100"
/>


参数解释:


maxThreads:最大并发数,默认设置 200,一般建议在 500 ~ 800,根据硬件设施和业务来判断

minSpareThreads:Tomcat 初始化时创建的线程数,默认设置 25

maxIdleTime:如果当前线程大于初始化线程,那空闲线程存活的时间,单位毫秒,默认60000=60秒=1分钟。

prestartminSpareThreads:在 Tomcat 初始化的时候就初始化 minSpareThreads 的参数值,如果不等于 true,minSpareThreads 的值就没啥效果了

maxQueueSize:最大的等待队列数,超过则拒绝请求


5.Connector 参数优化配置


默认值:


<Connector 
 port="8080" 
 protocol="HTTP/1.1" 
 connectionTimeout="20000" 
 redirectPort="8443" 
 />


修改为:


 


<Connector
 executor="tomcatThreadPool"
 port="8080"
 protocol="org.apache.coyote.http11.Http11Nio2Protocol"
 connectionTimeout="60000"
 maxConnections="10000"
 redirectPort="8443"
 enableLookups="false"
 acceptCount="100"
 maxPostSize="10485760"
 maxHttpHeaderSize="8192"
 compression="on"
 disableUploadTimeout="true"
 compressionMinSize="2048"
 acceptorThreadCount="2"
 compressableMimeType="text/html,text/plain,text/css,application/javascript,application/json,application/x-font-ttf,application/x-font-otf,image/svg+xml,image/jpeg,image/png,image/gif,audio/mpeg,video/mp4"
 URIEncoding="utf-8"
 processorCache="20000"
 tcpNoDelay="true"
 connectionLinger="5"
 server="Server Version 11.0"
 />


参数解释:


protocol:Tomcat 8 设置 nio2 更好:org.apache.coyote.http11.Http11Nio2Protocol

protocol:Tomcat 6 设置 nio 更好:org.apache.coyote.http11.Http11NioProtocol

protocol:Tomcat 8 设置 APR 性能飞快:org.apache.coyote.http11.Http11AprProtocol 更多详情:《Tomcat 8.5 基于 Apache Portable Runtime(APR)库性能优化

connectionTimeout:Connector接受一个连接后等待的时间(milliseconds),默认值是60000。

maxConnections:这个值表示最多可以有多少个socket连接到tomcat上

enableLookups:禁用DNS查询

acceptCount:当tomcat起动的线程数达到最大时,接受排队的请求个数,默认值为100。

maxPostSize:设置由容器解析的URL参数的最大长度,-1(小于0)为禁用这个属性,默认为2097152(2M) 请注意, FailedRequestFilter 过滤器可以用来拒绝达到了极限值的请求。

maxHttpHeaderSize:http请求头信息的最大程度,超过此长度的部分不予处理。一般8K。

compression:是否启用GZIP压缩 on为启用(文本数据压缩) off为不启用, force 压缩所有数据

disableUploadTimeout:这个标志允许servlet容器使用一个不同的,通常长在数据上传连接超时。 如果不指定,这个属性被设置为true,表示禁用该时间超时。

compressionMinSize:当超过最小数据大小才进行压缩

acceptorThreadCount:用于接受连接的线程数量。增加这个值在多CPU的机器上,尽管你永远不会真正需要超过2。 也有很多非维持连接,您可能希望增加这个值。默认值是1。

compressableMimeType:配置想压缩的数据类型

URIEncoding:网站一般采用UTF-8作为默认编码。

processorCache:协议处理器缓存的处理器对象来提高性能。 该设置决定多少这些对象的缓存。-1意味着无限的,默认是200。 如果不使用Servlet 3.0异步处理,默认是使用一样的maxThreads设置。 如果使用Servlet 3.0异步处理,默认是使用大maxThreads和预期的并发请求的最大数量(同步和异步)。

tcpNoDelay:如果设置为true,TCP_NO_DELAY选项将被设置在服务器套接字,而在大多数情况下提高性能。这是默认设置为true。

connectionLinger:秒数在这个连接器将持续使用的套接字时关闭。默认值是 -1,禁用socket 延迟时间。

server:隐藏Tomcat版本信息,首先隐藏HTTP头中的版本信息


6.隐藏或修改 Tomcat 版本号




 # cd /usr/local/tomcat/lib/
 # unzip catalina.jar
 # cd org/apache/catalina/util
 # vim ServerInfo.properties


 server.info=Apache Tomcat/8.5.16
 server.number=8.5.16.0
 server.built=Jun 21 2017 17:01:09 UTC


将以上去掉或修改版本号即可。


7.删除禁用默认管理页面以及相关配置文件




 # rm -rf /usr/local/apache-tomcat-8.5.16/webapps/*
 # rm -rf /usr/local/apache-tomcat-8.5.16/conf/tomcat-users.xml


参考内容:

//tomcat.apache.org/tomcat-8.5-doc/config/

//github.com/judasn/Linux-Tutorial/blob/master/Tomcat-Install-And-Settings.md

//wiki.jikexueyuan.com/project/linux-in-eye-of-java/Tomcat-Install-And-Settings.html

//netkiller.github.io/journal/tomcat.html

//zjliu.me/2015/12/14/tomcat-config-connector/