网站建设资讯

NEWS

网站建设资讯

Apache深度优化-创新互联

博文大纲:

曲松ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联公司的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!
  • 一、开启apache的Gzip(deflate)功能
  • 二、开启expires缓存功能
  • 三、禁止Apache进行目录遍历
  • 四、隐藏apache的版本信息
  • 五、apache日志切割
  • 六、配置防盗链

一、开启apache的Gzip(deflate)功能

gzip可以极大的加速网站,压缩比率通常在40%~80%之间,在之前的版本中,Gizp是第三方压缩工具,但是在Gzip 2版本后,Apache自己开发了deflate模块,用来实现压缩功能。

如果要开启apache的压缩功能,需要在编译安装apache时,增加“--enable-deflate”配置项,并且必须在主配置文件中打开下面两个模块:

LoadModule deflate_module modules/mod_deflate.so
LoadModule headers_module modules/mod_headers.so

注意:如果在编译安装时,没有增加“--enable-deflate”选项,可以使用DSO方式安装此功能,如下:

[root@www ~]# cd /root/httpd-2.4.23/modules/filters/ #切换至apache 源码包 mod_deflate 所在的目录下
[root@www ~]#  /usr/local/http-2.4.23/bin/apxs -c -i -a mod_deflate.c #以 dso 的方式编译安装到 apache 中

如果报错如下:

Apache深度优化

此报错是缺少zlib-devel的安装包,直接执行“yum -y install zlib-devl”进行安装即可,然后再次安装deflate功能。

确认安装成功:

[root@www filters]# ll /usr/local/http-2.4.23/modules/mod_deflate.so  #检查 mod_deflate 是否安装,成功安装这里会显示出该文件

关于上面执行的命令“/usr/local/http-2.4.23/bin/apxs -c -i -a mod_deflate.c”。

选项解释如下:

  • -c:表示需要执行编译操作;
  • -i:表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modeles目录中。
  • -a:此选项是自动增加一个LoadModule 行到 httpd.conf 文件中,以启用此模块,或者,如果此行已经存在,则启用它。

安装完成后,默认是启用了这两个模块的,但是检查apache的主配置文件时,可能会报错,如下:

Apache深度优化

解决办法:需要在 LoadModule deflate_modulemodules/mod_deflate.so 配置项的前面加载 zlib.so。刚才yum安装zlib时,它默认安装在了/usr/lib64目录下,所以在apache主配置文件中,在 LoadModule deflate_module modules/mod_deflate.so 这行的上一行添加 LoadFile /usr/lib64/libz.so 即可。

最后确认开启压缩功能(apache主配置文件中必须开启以下三行,这三行不一定在同一位置,但是LoadFile /usr/lib64/libz.so必须在那两个之前):

LoadFile /usr/lib64/libz.so
LoadModule deflate_module modules/mod_deflate.so
LoadModule headers_module modules/mod_headers.so

至此,压缩功能就开启了,接下来配置压缩的功能。

在apache的主配置文件的末尾写入以下内容(在添加代码前最好先确定以下代码是否存在):

         
DeflateCompressionLevel 6     
SetOutputFilter DEFLATE     
AddOutputFilterByType DEFLATE text/*

AddOutputFilterByType  DEFLATE  application/ms*  application/vnd* application/postscript application/javascript application/x-javascript 

AddOutputFilterByType DEFLATE application/x-httpd-php application/x-httpd-fastphp

SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary

SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary

SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary 



DeflateFilterNote Input input_info      
DeflateFilterNote Output output_info     
DeflateFilterNote Ratio ratio_info     
LogFormat '"%r" %{output_info}n/%{input_info}n (%{ratio_info}n%%)' deflate    
CustomLog logs/deflate_log.log deflate    

可根据上面的配置,定义自己需要的压缩项目,要压缩的文件类型根据自己所需要的配置即可(注:除了图片之外,flash 的 swf 文件也是不用启用 GZip 压缩的。)。

去除注释后的代码如下:

         
DeflateCompressionLevel 6  
SetOutputFilter DEFLATE  
AddOutputFilterByType DEFLATE text/*
AddOutputFilterByType  DEFLATE  application/ms*  application/vnd* application/postscript application/javascript application/x-javascript 
AddOutputFilterByType DEFLATE application/x-httpd-php application/x-httpd-fastphp
SetEnvIfNoCase Request_URI .(?:gif|jpe?g|png)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary 

DeflateFilterNote Input input_info   
DeflateFilterNote Output output_info   
DeflateFilterNote Ratio ratio_info  
LogFormat '"%r" %{output_info}n/%{input_info}n (%{ratio_info}n%%)' deflate 
CustomLog logs/deflate_log.log deflate

修改完成后,保存退出并且重启http服务,使用谷歌浏览器访问(在访问前按“F12”),即可看到压缩相关的信息(最好修改网页的文件,使其大一些,否则不会启用压缩,看不到效果),如下:

Apache深度优化

查看压缩信息产生的日志:

[root@apache http-2.4.23]# cat logs/deflate_log.log      #查看压缩日志
"GET / HTTP/1.1" 74/4545 (1%)    #74表示压缩后的大小,4545表示压缩前的大小,末尾的括号中是压缩率
"GET / HTTP/1.1" 74/4545 (1%)
"-" -/- (-%)
[root@apache http-2.4.23]# ll htdocs/index.html     #可以查看网页的大小是否为压缩前的大小“4545”
-rw-r--r--. 1 root root 4545 10月 12 23:00 htdocs/index.html

压缩方面的优化,至此结束。

二、开启expires缓存功能

expires功能可以较少20%~30%左右的重复请求,让重复的用户对指定的页面请求结果都cache在本地,而无需向服务器发出请求。但是经常发生更改的文件不建议这么做。

1、在没有缓存机制的情况下,先查看以下获取的响应报文。

[root@apache htdocs]# curl -I 127.0.0.1/test.jpg      #访问一个图片
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2019 02:10:34 GMT
Server: Apache/2.4.23 (Unix)
Last-Modified: Mon, 22 Jul 2019 05:55:51 GMT
ETag: "415bf-58e3eba7687c0"
Accept-Ranges: bytes
Content-Length: 267711
Content-Type: image/jpeg            #这就是内容的格式,在定义缓存机制时的类型就是根据这来定义的
#可以看到,上面没有出现cache等相关字样

2、配置expires缓存功能:

[root@apache htdocs]# vim /usr/local/http-2.4.23/conf/httpd.conf     #编辑主配置文件
                       ..................#省略部分内容
LoadModule expires_module modules/mod_expires.so     #去掉此行注释符号
#然后在配置文件的末尾添加以下expires规则

ExpiresActive On            #开启缓存机制
#以下是定义各种类型的文件缓存多长时间
ExpiresByType text/css "now plus 1 month"
ExpiresByType application/x-javascript "now plus 5 day"
ExpiresByType image/jpeg "access plus 30 days"   #这里将图片的缓存时间设置为30天
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/bmp "access plus 1 month"
ExpiresByType image/x-icon "access plus 1 month"
ExpiresByType image/png "access plus 1 minute"
ExpiresByType application/x-shockwave-flash "access plus 1 month"
ExpiresDefault "now plus 0 minute"    #这行表示上面没有定义的,则不进行缓存。

#写入后,保存退出即可。
[root@apache htdocs]# apachectl -t         #测试配置文件是否有误
Syntax OK
[root@apache htdocs]# apachectl restart      #重启apache,以便刚才的更改生效
无注释的配置文件如下:
LoadModule expires_module modules/mod_expires.so

ExpiresActive On
ExpiresByType text/css "now plus 1 month"
ExpiresByType application/x-javascript "now plus 5 day"
ExpiresByType image/jpeg "access plus 30 days"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/bmp "access plus 1 month"
ExpiresByType image/x-icon "access plus 1 month"
ExpiresByType image/png "access plus 1 minute"
ExpiresByType application/x-shockwave-flash "access plus 1 month"
ExpiresDefault "now plus 0 minute"
缓存机制的配置格式:ExpiresByType type/encoding " [plus] {}"

1、其中是下列之一:

  • access(相对于客户端访问的时间)
  • now(相当于access)
  • modification(相对于最后一次修改源文件后的缓存时间)
    2、该plus关键字是可选的。num 应该是整数值,并且type是以下之一:
  • years
  • months
  • weeks
  • days
  • hours
  • minutes
  • seconds

也可以使用以下格式来定义缓存机制:

ExpiresByType image/jpeg A2592000   #表示图片的缓存是1个月
ExpiresByType text/html M604800    #表示HTML文档的有效期是最后修改时刻后的一星期

如果使用“A”(等同于access)“M”(等同于modification)来定义缓存有效期,那么只能以秒来计算。
结论:expires模块可以将到期日期设置为相对于上次修改源文件的时间,还是相对于客户端访问的时间。

3、进行访问测试,查看是否有缓存机制:

[root@apache htdocs]# curl -I 127.0.0.1/test.jpg    #访问某个图片
HTTP/1.1 200 OK
Date: Sun, 13 Oct 2019 02:16:44 GMT
Server: Apache/2.4.23 (Unix)
Last-Modified: Mon, 22 Jul 2019 05:55:51 GMT
ETag: "415bf-58e3eba7687c0"
Accept-Ranges: bytes
Content-Length: 267711
Cache-Control: max-age=2592000       #这就是缓存的时间,单位是秒
Expires: Tue, 12 Nov 2019 02:16:44 GMT
Content-Type: image/jpeg

关于缓存的配置格式,可以阅读其官方文档进行详细了解。

三、禁止Apache进行目录遍历

当web服务器收到请求报文时,会自动在网页根目录下寻找index.html文件,那么,如果没有这个文件呢?

[root@apache htdocs]# ls    #确认web服务器的网页根目录没有index.html文件
a.sh  images  test.jpg

客户端就会看到以下界面:

Apache深度优化

可以看到,如果没有index.html文件,那么我们的网页结构就直接暴露给了client,这样多少会存在一些隐患,所以,怎么解决呢?

解决方法如下:

[root@apache htdocs]# vim ../conf/httpd.conf     #编辑主配置文件
Options Indexes FollowSymLinks      #定位到这行
#更改如下:
Options  FollowSymLinks         #将中间的Indexes删除即可保存退出
[root@apache htdocs]# apachectl restart        #重启apache以便生效

Indexes 的作用就是当该目录下没有 index.html 文件时,就显示目录结构。

客户端再次访问:
Apache深度优化

OK!!!看到的是403页面。

四、隐藏apache的版本信息

[root@apache htdocs]# curl -I 127.0.0.1    #查看默认apache的状态信息
HTTP/1.1 403 Forbidden
Date: Sun, 13 Oct 2019 03:08:39 GMT
'Server: Apache/2.4.23 (Unix) '     #可以看到apache的详细版本信息
Content-Type: text/html; charset=iso-8859-1

若想隐藏,须进行以下操作:

[root@apache htdocs]# cd ../conf/
[root@apache conf]# vim httpd.conf     #编辑主配置文件
Include conf/extra/httpd-default.conf       #去掉此行前的注释符号后保存退出
[root@apache conf]# pwd       #查看当前工作路径
/usr/local/http-2.4.23/conf
[root@apache conf]# vim extra/httpd-default.conf    #编辑此文件
#找到下面这两行:
ServerTokens Full
ServerSignature Off
#更改如下:
ServerTokens Prod
ServerSignature On
#更改后保存退出
[root@apache conf]# apachectl restart     #重启服务,以便更改生效
[root@apache conf]# curl -I 127.0.0.1     #再次访问查看
HTTP/1.1 403 Forbidden
Date: Sun, 13 Oct 2019 03:19:17 GMT
Server: Apache           #发现只有apache了,而没有了详细的版本
Content-Type: text/html; charset=iso-8859-1

如果你需要彻底将版本之类的信息进行改头换面,你就需要在编译之前做准备或者进行重新编译了。在重新编译时,修改apache的源码包下 include 目录下的 ap_release.h 配置文件

#define AP_SERVER_BASEVENDOR "Apache Software Foundation" #服务的供应商名称
#define AP_SERVER_BASEPROJECT "Apache HTTP Server" #服务的项目名称
#define AP_SERVER_BASEPRODUCT "Apache" #服务的产品名
#define AP_SERVER_MAJORVERSION_NUMBER 2 #主要版本号
#define AP_SERVER_MINORVERSION_NUMBER 4 #小版本号
#define AP_SERVER_PATCHLEVEL_NUMBER 23 #补丁级别
#define AP_SERVER_DEVBUILD_BOOLEAN 0 #

上述列出的行,可以修改成自己想要的,然后编译安装之后,客户端就彻底不知道你的版本号了。

五、apache日志切割

随着网站的访问量越来越大,web server产生的日志文件也会越来越大,如果不进行分割,必定会有一定程度的不方便。因此,管理好这些海量的日志对网站的意义是很大的。

日志分割共两种方法。

方法1:使用rotatelogs(apache自带的工具)按天分割日志,每隔一天记录一个日志

[root@apache conf]# vim httpd.conf   #编辑主配置文件
#将以下两行配置注释掉(去除默认的日志记录)
#ErrorLog "logs/error_log"
#CustomLog "logs/access_log" common
#然后最好在CustomLog "logs/access_log" common配置的下一行添加如下内容(以下内容不可以直接复制,请看下面的解释):
ErrorLog "|/usr/local/http-2.4.23/bin/rotatelogs -l logs/error_%Y-%m-%d.log 86400"
CustomLog "|/usr/local/http-2.4.23/bin/rotatelogs -l logs/access_%Y-%m-%d.log 86400" combined
#添加后,保存退出即可

上面两行的配置项,必须在 标签中写入。这就是我为什么说最好写在CustomLog "logs/access_log" common配置的下一行的原因,因为这行就在该标签中,写在它的下一行,错不了。

在上面添加的内容中,86400为轮转的时间,单位是秒(也就是一天生成一个日志文件);
需要注意我这里的rotatelogs命令的绝对路径,需根据自己的实际安装路径来定,不要直接复制。

[root@apache conf]# apachectl restart    #重启服务,以便更改生效
[root@apache conf]# ls ../logs/   #查看日志文件,会发现没有access的切割日志
access_log  'error_2019-10-13.log'  error_log  httpd.pid
#此时,原来的access_log和error_log日志文件已经可以删除了
#没有access的切割日志是因为更改后还没有访问过
[root@apache conf]# curl 127.0.0.1 &> /dev/null    #访问一下
[root@apache conf]# ls ../logs/    #再次查看,就有了
'access_2019-10-13.log  error_2019-10-13.log'  httpd.pid
access_log             error_log

由于 apache 自带的日志轮询工具 rotatelogs,据说在进行日志切割时容易丢日志,因此我们通常使用 cronolog (也就是方法2)进行日志轮询。

方法2:使用cronolog为每一天建立一个新的日志

同样需要注释掉主配置文件中的下面两行:

#ErrorLog "logs/error_log"
#CustomLog "logs/access_log" common

下载我提供的cronolog源码包

[root@apache src]# rz           #使用xshell上传我提供的源码包
#进行编译安装
[root@apache src]# tar zxf cronolog-1.6.2.tar.gz   
[root@apache src]# cd cronolog-1.6.2/
[root@apache cronolog-1.6.2]# ./configure && make && make install
[root@apache conf]# pwd      #切换工作路径至此
/usr/local/http-2.4.23/conf
[root@apache conf]# vim httpd.conf     #编辑主配置文件
#将方法1中写入的日志切割配置项删除,写入下面的两行配置
ErrorLog "|/usr/local/sbin/cronolog logs/error-%Y-%m-%d.log"
CustomLog "|/usr/local/sbin/cronolog logs/access-%Y-%m-%d.log" combined
#写完保存退出即可
[root@apache logs]# ls    #为了避免混乱,我移走了原有的日志文件
httpd.pid
[root@apache logs]# apachectl restart   #重启
[root@apache logs]# curl 127.0.0.1 &> /dev/null    #访问一下,以便生成访问日志文件
[root@apache logs]# ls     #查看确认,
access-2019-10-13.log  error-2019-10-13.log  httpd.pid

至此,即可实现了每天的日志文件分开单独存放。

如果 Apache 中有多个虚拟主机,最好每个虚拟主机中放置一个这样的代码,并将日志文件名改成不同的名字。

3、附加

如果网站访问量实在过于庞大,那么我们可能更需要的是将日志按小时分割,然后按小时分割的日志存放在一个目录中,也就是说,每天对应一个目录,这个 目录下存放的是当天产生的按小时分割的日志。

实现如下:

只需将方法2中写入的两行配置项,更改为如下即可:

[root@apache conf]# vim httpd.conf    #更改如下
ErrorLog "|/usr/local/sbin/cronolog logs/error_%Y-%m-%d/error_log.%H"
CustomLog "|/usr/local/sbin/cronolog logs/access_%Y-%m-%d/access_log.%H" combined
[root@apache conf]# apachectl restart    #重启
[root@apache logs]# curl 127.0.0.1      #访问一下
[root@apache http-2.4.23]# pwd     #切换工作路径
/usr/local/http-2.4.23  
[root@apache http-2.4.23]# tree logs/      #使用tree命令查看
logs/
|-- access_2019-10-13    #访问的日志日期
|   `-- access_log.12         #12点产生的
|-- error_2019-10-13      #错误的日志日期
|   `-- error_log.12          #也是12点产生的
`-- httpd.pid

注意:以上两个管道日志文件程序还有一点不同之处是使用 cronolog 时如果日志是放在某个不存在的路径则会自动创建目录,而使用 rotatelogs 时不能自动创建,这一点要特别注意

六、配置防盗链

有时候,你的网站莫名其妙的访问量变大,不要高兴的太早,有可能是被别人盗链了。
举个例子:比如你搭了个论坛,里面有些热点图片、视频;然后别人将他网站上访问图片的地址重定向到你的 论坛上,这样他的服务器就可以空闲出来了;也就是说别人访问他网站的图片视频,消耗的却是你服务器的资源。

如果解决这个问题,需要借助apache的rewrite模块,配置如下:

[root@apache conf]# vim httpd.conf      #编辑主配置文件
#确认有以下的配置项,并且去掉注释,若没有下面这行,则需安装rewrite模块
LoadModule rewrite_module modules/mod_rewrite.so

开启rewrite模块后,找到自己网站对应的配置文件(如主配置文件或虚拟主机配置文件中),在末尾加入以下代码:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://test.com$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.test.com$ [NC]
RewriteRule .*\.(gif|jpg|swf)$ http://www.test.com/about/nolink.png [R,NC,L]

相关选项解释如下:

  • RewriteEngine On:启用rewrite,必须写上;
  • RewriteCond......:在写RewriteRule之前,可以有一条或多条,用于测试rewrite的匹配条件,具体写法,后面再聊;
  • .RewriteRule:配置规则;
  • %{HTTP_REFERER}:服务器变量,http referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上referer,告诉服务器是我是从哪个页面链接过来的,服务器就借此可以获取一些信息用于处理,比如从我主页上链接到一个朋友那里,他的服务器就可以从http referer中统计出每天有多少用户点击我主页上的链接访问他的网站;
  • [ NC]指的是不区分大小写,[R]强制重定向 redirect;
  • 字母 L 表示如果能匹配本条规则,那么本条规则是最后一条(Last),忽略之后的规则;
  • RewriteCond %{HTTP_REFERER} !^$:这行配置项作用是允许空“HTTP_REFERER”的访问,就是用户直接在浏览器输入URL访问该资源,而不是通过链接访问的。
  • RewriteCond %{HTTP_REFERER} !test.com/.$ [NC]和RewriteCond %{HTTP_REFERER} !www.test.com/.$ [NC]是设置允许访问的HTTP来源,包括网站自身。
  • RewriteRule .*.(gif|jpg|swf)$ http://www.test.com/about/nolink.png [R,NC,L] 的作用是将不满足referer条件的访问重定向至nolink.png, nolink.png 位于允许“盗链”的目录 about中,要相当注意,不然,警告信息和图片将无法在对方网站上显示。

注意:测试时注意清除缓存。

小结:

Apache深度优化

1、红色部分: 表示自己的信任站点。对我的站点来说,设置为 http://www.test.com 和http://test.com
2.、绿色部分: 要保护文件的扩展名(以|分开)。表示以这些为扩展名的文件,必须通过红色标注的网址引用,才可以访问。
3、蓝色部分: 定义被盗链时替代的图片,让所有盗链 jpg、gif、swf 等文件的网页,显示网页文档根目录下的 about/ nolink.png 文件。 注意:替换显示的图片不要放在设置防盗链的目录中,并
且该图片文件体积越小越好。当然你也可以不设置替换图片,而是使用这条语句即可:RewriteRule .*.(gif|jpg|png)$ - [F]
注:[F] (强制 URL 为被禁止的 forbidden),强制当前 URL 为被禁止的,即,立即反馈一个 HTTP 响应代码 403(被禁止的)。

对上述的防盗链进行测试:
我这里有A( www.test.com ) 和B( www.daolian.com ) 两台服务器,其中B服务器的index.html首页文件如下:

[root@localhost html]# cat index.html     #B 服务器的首页文件是个链接,指向了A服务器的test.jpg文件。
link

client直接访问A服务器的test.jpg文件时(其URL和B服务器的超链接地址一样),得到以下美女一枚:

Apache深度优化

但是如果通过B服务器的超链接来访问呢?请继续看下去。

Apache深度优化

What???怎么是只二哈,不应该是一枚美女吗?并且它的URL也不是我们B服务器指定的超链接地址了。
Apache深度优化

这就是我们A服务器的防盗链配置生效了!!!

利用rewrite实现Apache防盗链小结

通过判断referer变量的值,来判断图片或资源的引用是否合法,只有在根据配置符合设定需求范围内的referer,这样的网站内容,才能调用访问指定的资源内容,从而实现了资源被网站盗链的目的。需要注意的是:是所有的用户代理(浏览器)都会设置referer变量,而且有的还可以手工修改erferer,referer是可以被伪造的,上面的配置只是一种简单的防护手段。应付一般的盗链足矣。

当网站被盗链,一般可以采取以下措施:

  • 对本站的图片、视频、音频等文件标上自己的站名品牌或者相关水印;
  • 设置防火墙,从源头IP进行控制
  • 设置防盗链(根据referer机制)

网站被非法盗链使用,会导致网站带宽成本加大以及服务器压力加大,严重时会导致巨额的网站及正常用户访问受到影响。

好了,防盗链至此就实现了。

———————— 本文至此结束,感谢阅读 ————————

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


本文名称:Apache深度优化-创新互联
网站URL:http://njwzjz.com/article/dojeop.html