存档

‘软件使用’ 分类的存档

nginx 限速

2015年8月4日 没有评论

注意:
nginx 1.1.8 之后的版本的语法改为limit_conn_zone $binary_remote_addr zone=NAME:10m;
NAME 就是 zone 的名字详情请看这里 http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

限制连接数:
要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码:
“zone=” 给它一个名字,可以随便叫,这个名字要跟下面的 limit_conn 一致
$binary_remote_addr = 用二进制来储存客户端的地址,1m 可以储存 32000 个并发会话

… 省掉 N 字
http
{
limit_conn_zone $binary_remote_addr zone=addr:10m;

接下来需要对server不同的位置(location段)进行限速,比如限制每个IP并发连接数为1,则
server
{
listen 80;
server_name 192.168.11.128;
index index.html index.htm index.php;
limit_conn addr 1; #是限制每个IP只能发起1个连接 (addr 要跟 limit_conn_zone 的变量对应)
limit_rate 100k; #限速为 100KB/秒
root html;

注意事项:
limit_rate 100k; //是对每个连接限速100k。这里是对连接限速,而不是对IP限速!如果一个IP允许两个并发连接,那么这个IP就是限速limit_rate * 2

nginx配置limit_conn_zone来限制并发连接数以及下载带宽

2015年8月4日 没有评论

配置方法如下:

1、在nginx.conf里的http{}里加上如下代码:
#ip limit
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

2、在需要限制并发数和下载带宽的网站配置server{}里加上如下代码:
limit_conn perip 2;
limit_conn perserver 20;
limit_rate 100k;

补充说明下参数:
$binary_remote_addr是限制同一客户端ip地址;
$server_name是限制同一server最大并发数;
limit_conn为限制并发连接数;
limit_rate为限制下载速度;

转另一篇文章:nginx 限速
注意:
nginx 1.1.8 之后的版本的语法改为limit_conn_zone $binary_remote_addr zone=NAME:10m;
NAME 就是 zone 的名字详情请看这里 http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

限制连接数:
要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码:
“zone=” 给它一个名字,可以随便叫,这个名字要跟下面的 limit_conn 一致
$binary_remote_addr = 用二进制来储存客户端的地址,1m 可以储存 32000 个并发会话

… 省掉 N 字
http
{
limit_conn_zone $binary_remote_addr zone=addr:10m;

接下来需要对server不同的位置(location段)进行限速,比如限制每个IP并发连接数为1,则
server
{
listen 80;
server_name 192.168.11.128;
index index.html index.htm index.php;
limit_conn addr 1; #是限制每个IP只能发起1个连接 (addr 要跟 limit_conn_zone 的变量对应)
limit_rate 100k; #限速为 100KB/秒
root html;

注意事项:
limit_rate 100k; //是对每个连接限速100k。这里是对连接限速,而不是对IP限速!如果一个IP允许两个并发连接,那么这个IP就是限速limit_rate * 2

nginx限制某个IP同一时间段的访问次数

2015年8月3日 没有评论

如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题,特别面对恶意的ddos攻击的时候。其中CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。

cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的,nginx可以通过HttpLimitReqModul和HttpLimitZoneModule配置来限制ip在同一时间段的访问次数来防cc攻击。

HttpLimitReqModul用来限制连单位时间内连接数的模块,使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量,就会返回503错误。

HttpLimitConnModul用来限制单个ip的并发连接数,使用limit_zone和limit_conn指令

这两个模块的区别前一个是对一段时间内的连接数限制,后者是对同一时刻的连接数限制。

1 HttpLimitReqModul 限制某一段时间内同一ip访问数实例
2 HttpLimitZoneModule 限制并发连接数实例
3 nginx白名单设置

HttpLimitReqModul 限制某一段时间内同一ip访问数实例
http{

#定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,
#1M能存储16000个状态,rete的值必须为整数,
#如果限制两秒钟一个请求,可以设置成30r/m

limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;

server{

location {

#限制每ip每秒不超过20个请求,漏桶数burst为5
#brust的意思就是,如果第1秒、2,3,4秒请求为19个,
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
#nodelay,如果不设置该选项,严格使用平均速率限制请求数,
#第1秒25个请求时,5个请求放到第2秒执行,
#设置nodelay,25个请求将在第1秒执行。

limit_req zone=allips burst=5 nodelay;

}

}

}

HttpLimitZoneModule 限制并发连接数实例
limit_zone只能定义在http作用域,limit_conn可以定义在http server location作用域

http{

#定义一个名为one的limit_zone,大小10M内存来存储session,
#以$binary_remote_addr 为key
#nginx 1.18以后用limit_conn_zone替换了limit_conn
#且只能放在http作用域
limit_conn_zone one $binary_remote_addr 10m;

server{

location {

limit_conn one 20; #连接数限制

#带宽限制,对单个连接限数,如果一个ip两个连接,就是500x2k
limit_rate 500k;


}

}

}

nginx白名单设置
以上配置会对所有的ip都进行限制,有些时候我们不希望对搜索引擎的蜘蛛或者自己测试ip进行限制,
对于特定的白名单ip我们可以借助geo指令实现。
1.

http{
geo $limited{
default 1;
#google
64.233.160.0/19 0;
65.52.0.0/14 0;
66.102.0.0/20 0;
66.249.64.0/19 0;
72.14.192.0/18 0;
74.125.0.0/16 0;
209.85.128.0/17 0;
216.239.32.0/19 0;
#M$
64.4.0.0/18 0;
157.60.0.0/16 0;
157.54.0.0/15 0;
157.56.0.0/14 0;
207.46.0.0/16 0;
207.68.192.0/20 0;
207.68.128.0/18 0;
#yahoo
8.12.144.0/24 0;
66.196.64.0/18 0;
66.228.160.0/19 0;
67.195.0.0/16 0;
74.6.0.0/16 0;
68.142.192.0/18 0;
72.30.0.0/16 0;
209.191.64.0/18 0;
#My IPs
127.0.0.1/32 0;
123.456.0.0/28 0; #example for your server CIDR
}
geo指令定义了一个白名单$limited变量,默认值为1,如果客户端ip在上面的范围内,$limited的值为0

2.使用map指令映射搜索引擎客户端的ip为空串,如果不是搜索引擎就显示本身真是的ip,这样搜索引擎ip就不能存到limit_req_zone内存session中,所以不会限制搜索引擎的ip访问

map $limited $limit {
1 $binary_remote_addr;
0 “”;
}

3.设置limit_req_zone和limit_req
limit_req_zone $limit zone=foo:1m rate=10r/m;

limit_req zone=foo burst=5;

最后我们使用ab压php-fpm的方式,对上面的方法效果实际测试下

例1:限制只允许一分钟内只允许一个ip访问60次配置,也就是平均每秒1次
首先我们准备一个php脚本放在根目录下$document_root
test.php

nginx配置增加limit_req_zone 和 limit_req

http{

limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;

server{

location {

limit_req zone=allips;

}

}

}
ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 – - [22/Dec/2012:06:27:06 +0000] “GET /test.php HTTP/1.0″ 200 11000 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:06:27:06 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:06:27:07 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:06:27:07 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:06:27:07 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″

未设置brust和nodelay可以看到该配置只允许每秒访问1次,超出的请求返回503错误

http{

limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;

server{

location {

limit_req zone=allips burst=1 nodelay;

}

}

}
ab -n 5 -c 1 http://www.weizhang.org/test.php

118.144.94.193 – - [22/Dec/2012:07:01:00 +0000] “GET /test.php HTTP/1.0″ 200 11000 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:07:01:00 +0000] “GET /test.php HTTP/1.0″ 200 11000 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:07:01:01 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:07:01:01 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″
118.144.94.193 – - [22/Dec/2012:07:01:01 +0000] “GET /test.php HTTP/1.0″ 503 537 “-” “ApacheBench/2.3″

设置brust=1和nodelay后允许第1秒处理两个请求。

Nginx配置性能优化及参数说明(转)

2015年8月2日 没有评论

大多数的Nginx安装指南告诉你如下基础知识——通过apt-get安装,修改这里或那里的几行配置,好了,你已经有了一个Web服务器了。而且,在大多数情况下,一个常规安装的nginx对你的网站来说已经能很好地工作了。然而,如果你真的想挤压出Nginx的性能,你必须更深入一些。在本指南中,我将解释Nginx的那些设置可以微调,以优化处理大量客户端时的性能。需要注意一点,这不是一个全面的微调指南。这是一个简单的预览——那些可以通过微调来提高性能设置的概述。你的情况可能不同。

基本的 (优化过的)配置

我们将修改的唯一文件是nginx.conf,其中包含Nginx不同模块的所有设置。你应该能够在服务器的/etc/nginx目录中找到nginx.conf。首先,我们将谈论一些全局设置,然后按文件中的模块挨个来,谈一下哪些设置能够让你在大量客户端访问时拥有良好的性能,为什么它们会提高性能。本文的结尾有一个完整的配置文件。

高层的配置

nginx.conf文件中,Nginx中有少数的几个高级配置在模块部分之上。

  1. user www-data;
  2. pid /var/run/nginx.pid;
  3. worker_processes auto; 
  4. worker_rlimit_nofile 100000; 

user和pid应该按默认设置 – 我们不会更改这些内容,因为更改与否没有什么不同。

worker_processes 定义了nginx对外提供web服务时的worker进程数。最优值取决于许多因素,包括(但不限于)CPU核的数量、存储数据的硬盘数量及负载模式。不能确定的时候,将其设置为可用的CPU内核数将是一个好的开始(设置为“auto”将尝试自动检测它)。

worker_rlimit_nofile 更改worker进程的最大打开文件数限制。如果没设置的话,这个值为操作系统的限制。设置后你的操作系统和Nginx可以处理比“ulimit -a”更多的文件,所以把这个值设高,这样nginx就不会有“too many open files”问题了。

Events模块

events模块中包含nginx中所有处理连接的设置。

  1. events {
  2. worker_connections 2048; 
  3. multi_accept on;
  4. use epoll; 
  5. }

worker_connections 设置可由一个worker进程同时打开的最大连接数。如果设置了上面提到的worker_rlimit_nofile,我们可以将这个值设得很高。

记住,最大客户数也由系统的可用socket连接数限制(~ 64K),所以设置不切实际的高没什么好处。

multi_accept 告诉nginx收到一个新连接通知后接受尽可能多的连接。

use 设置用于复用客户端线程的轮询方法。如果你使用Linux 2.6+,你应该使用epoll。如果你使用*BSD,你应该使用kqueue。

(值得注意的是如果你不知道Nginx该使用哪种轮询方法的话,它会选择一个最适合你操作系统的)

HTTP 模块

HTTP模块控制着nginx http处理的所有核心特性。因为这里只有很少的配置,所以我们只节选配置的一小部分。所有这些设置都应该在http模块中,甚至你不会特别的注意到这段设置。

  1. http {
  2. server_tokens off;
  3. sendfile on;
  4. tcp_nopush on;
  5. tcp_nodelay on;
  6. }

server_tokens  并不会让nginx执行的速度更快,但它可以关闭在错误页面中的nginx版本数字,这样对于安全性是有好处的。

sendfile 可以让sendfile()发挥作用。sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。Pre-sendfile是传送数据之前在用户空间申请数据缓冲区。之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络。sendfile()是立即将数据从磁盘读到OS缓存。因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效(更多有关于sendfile)。

tcp_nopush 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送。

tcp_nodelay 告诉nginx不要缓存数据,而是一段一段的发送–当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。

  1. access_log off;
  2. error_log /var/log/nginx/error.log crit;

access_log 设置nginx是否将存储访问日志。关闭这个选项可以让读取磁盘IO操作更快(aka,YOLO)

error_log 告诉nginx只能记录严重的错误:

  1. keepalive_timeout 10;
  2. client_header_timeout 10;
  3. client_body_timeout 10;
  4. reset_timedout_connection on;
  5. send_timeout 10;

keepalive_timeout  给客户端分配keep-alive链接超时时间。服务器将在这个超时时间过后关闭链接。我们将它设置低些可以让ngnix持续工作的时间更长。

client_header_timeout 和client_body_timeout 设置请求头和请求体(各自)的超时时间。我们也可以把这个设置低些。

reset_timeout_connection 告诉nginx关闭不响应的客户端连接。这将会释放那个客户端所占有的内存空间。

send_timeout 指定客户端的响应超时时间。这个设置不会用于整个转发器,而是在两次客户端读取操作之间。如果在这段时间内,客户端没有读取任何数据,nginx就会关闭连接。

  1. limit_conn_zone $binary_remote_addr zone=addr:5m;
  2. limit_conn addr 100;

limit_conn_zone 设置用于保存各种key(比如当前连接数)的共享内存的参数。5m就是5兆字节,这个值应该被设置的足够大以存储(32K*5)32byte状态或者(16K*5)64byte状态。

limit_conn 为给定的key设置最大连接数。这里key是addr,我们设置的值是100,也就是说我们允许每一个IP地址最多同时打开有100个连接。

  1. include /etc/nginx/mime.types;
  2. default_type text/html;
  3. charset UTF-8;

include 只是一个在当前文件中包含另一个文件内容的指令。这里我们使用它来加载稍后会用到的一系列的MIME类型。

default_type 设置文件使用的默认的MIME-type。

charset 设置我们的头文件中的默认的字符集

  1. gzip on;
  2. gzip_disable ”msie6″;
  3. # gzip_static on;
  4. gzip_proxied any;
  5. gzip_min_length 1000;
  6. gzip_comp_level 4;
  7. gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

gzip 是告诉nginx采用gzip压缩的形式发送数据。这将会减少我们发送的数据量。

gzip_disable 为指定的客户端禁用gzip功能。我们设置成IE6或者更低版本以使我们的方案能够广泛兼容。

gzip_static 告诉nginx在压缩资源之前,先查找是否有预先gzip处理过的资源。这要求你预先压缩你的文件(在这个例子中被注释掉了),从而允许你使用最高压缩比,这样nginx就不用再压缩这些文件了(想要更详尽的gzip_static的信息,请点击这里)。

gzip_proxied 允许或者禁止压缩基于请求和响应的响应流。我们设置为any,意味着将会压缩所有的请求。

gzip_min_length 设置对数据启用压缩的最少字节数。如果一个请求小于1000字节,我们最好不要压缩它,因为压缩这些小的数据会降低处理此请求的所有进程的速度。

gzip_comp_level 设置数据的压缩等级。这个等级可以是1-9之间的任意数值,9是最慢但是压缩比最大的。我们设置为4,这是一个比较折中的设置。

gzip_type 设置需要压缩的数据格式。上面例子中已经有一些了,你也可以再添加更多的格式。

  1. # cache informations about file descriptors, frequently accessed files
  2. # can boost performance, but you need to test those values
  3. open_file_cache max=100000 inactive=20s;
  4. open_file_cache_valid 30s;
  5. open_file_cache_min_uses 2;
  6. open_file_cache_errors on;
  7. ##
  8. # Virtual Host Configs
  9. # aka our settings for specific servers
  10. ##
  11. include /etc/nginx/conf.d/*.conf;
  12. include /etc/nginx/sites-enabled/*;

open_file_cache 打开缓存的同时也指定了缓存最大数目,以及缓存的时间。我们可以设置一个相对高的最大时间,这样我们可以在它们不活动超过20秒后清除掉。

open_file_cache_valid 在open_file_cache中指定检测正确信息的间隔时间。

open_file_cache_min_uses 定义了open_file_cache中指令参数不活动时间期间里最小的文件数。

open_file_cache_errors 指定了当搜索一个文件时是否缓存错误信息,也包括再次给配置中添加文件。我们也包括了服务器模块,这些是在不同文件中定义的。如果你的服务器模块不在这些位置,你就得修改这一行来指定正确的位置。

一个完整的配置

  1. user www-data;
  2. pid /var/run/nginx.pid;
  3. worker_processes auto;
  4. worker_rlimit_nofile 100000;
  5. events {
  6. worker_connections 2048;
  7. multi_accept on;
  8. use epoll;
  9. }
  10. http {
  11. server_tokens off;
  12. sendfile on;
  13. tcp_nopush on;
  14. tcp_nodelay on;
  15. access_log off;
  16. error_log /var/log/nginx/error.log crit;
  17. keepalive_timeout 10;
  18. client_header_timeout 10;
  19. client_body_timeout 10;
  20. reset_timedout_connection on;
  21. send_timeout 10;
  22. limit_conn_zone $binary_remote_addr zone=addr:5m;
  23. limit_conn addr 100;
  24. include /etc/nginx/mime.types;
  25. default_type text/html;
  26. charset UTF-8;
  27. gzip on;
  28. gzip_disable ”msie6″;
  29. gzip_proxied any;
  30. gzip_min_length 1000;
  31. gzip_comp_level 6;
  32. gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
  33. open_file_cache max=100000 inactive=20s;
  34. open_file_cache_valid 30s;
  35. open_file_cache_min_uses 2;
  36. open_file_cache_errors on;
  37. include /etc/nginx/conf.d/*.conf;
  38. include /etc/nginx/sites-enabled/*;
  39. }

编辑完配置后,确认重启nginx使设置生效。

  1. sudo service nginx restart
分类: 软件使用 标签: , ,

routeos在winbox忘记密码

2015年7月24日 没有评论

用你登陆过winbox的那台机器 密码就在C:\Documents and Settings\你的用户名\Application Data\Mikrotik\Winbox\winbox.cfg文件里,你用记事本
打开,里面有类似下面的语句:
typeaddr host192.168.0.1 loginadmin note keep-pwd pwd12345 pwd后面就是密码.

Windows下的PHP安装文件线程安全和非线程安全的区别

2014年11月25日 没有评论

从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本,这是由于与Linux/Unix系统是采用 多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢,这是由于CGI模式是建立在多进程 的基础之上的,而非多线程。一般我们会把PHP配置成以ISAPI的方式来运行,ISAPI是多线程的方式,这样就快多了。但存在一个问题,很多常用的 PHP扩展是以Linux/Unix的多进程思想来开发的,这些扩展在ISAPI的方式运行时就会出错搞垮IIS。而用线程安全版本的话顶多只是搞跨某个 线程,而不会影响到整个IIS的安全。

当然在IIS下CGI模式才是 PHP运行的最安全方式,但CGI模式对于每个HTTP请求都需要重新加载和卸载整个PHP环境,其消耗是巨大的。为了兼顾IIS下PHP的效率和安全, 有人给出了FastCGI的解决方案。FastCGI可以让PHP的进程重复利用而不是每一个新的请求就重开一个进程。同时FastCGI也可以允许几个 进程同时执行。这样既解决了CGI进程模式消耗太大的问题,又利用上了CGI进程模式不存在线程安全问题的优势。

因此,如果是使用ISAPI的方式来运行PHP就必须用Thread Safe(线程安全)的版本;而用FastCGI模式运行PHP的话就没有必要用线程安全检查了,用None Thread Safe(NTS,非线程安全)的版本能够更好的提高效率。
因此,如果是使用ISAPI的方式来运行PHP就必须用Thread Safe(线程安全)的版本;而用FastCGI模式运行PHP的话就没有必要用线程安全检查了,用None Thread Safe(NTS,非线程安全)的版本能够更好的提高效率。
附:德问相关问题摘录
下载PHP安装文件时,我看到有两种不同的二进制文件,像是非线程安全(Non Thread Safe)和线程安全(Thread Safe),比如该页面所列:http://windows.php.net/download/。这个是什么意思,之间有什么区别?

这个主要是针对web server 而言,在windows环境下,如果你使用的web server 是apchae 或者 iis 7以下版本,则应该选择线程安全的安装文件,而如果你使用Fast-cgi模式时,可以选择非线程安全,因为 web sever 本身能保证线程安全。
当然还有二进制文件编译时所使用的编译器:vc9 (vs系列) vc6(gcc)

如楼上所言,是针对web server的,部分web server在处理应用请求的时候是用多线程而非多进程的方式处理,线程方式因为涉及到共享寄存器和内存,所以很容易出错,这个时候程序就需要花一些额外的经历去处理寄存器中的数据一致性,即保证线程安全。
所以是否采用线程安全主要看你的web server所采用的PHP请求处理方式,如果是多线程处理,那么请选择线程安全的,否则选择非线程安全的,如楼上所说Fast-cgi方式可选择非线程安全的

windows 2008R2的系统补丁放在哪个文件夹里面

2014年1月4日 没有评论

windows 2008R2的系统补丁目录”C:\Windows\SoftwareDistribution\Download”

ps:这个自动存系统补丁的目录不知道能不能改到其他盘。c盘经常给这个目录占用几十G,做个批处理定时清理吧。没用的文件。

sql server 2005怎么看有没有打过补丁?如sp3补丁等

2014年1月3日 没有评论

方法1.

打开企业管理器,点帮助 > 关于

Microsoft SQL Server Management Studio 9.00.1399.00
Microsoft Analysis Services 客户端工具 2005.090.1399.00
Microsoft 数据访问组件 (MDAC) 2000.086.3959.00 (srv03_sp2_rtm.070216-1710)
Microsoft MSXML 2.6 3.0 6.0
Microsoft Internet Explorer 6.0.3790.3959
Microsoft .NET Framework 2.0.50727.42
操作系统 5.2.3790

如9.00.1399.00 版本号如此。就是没打过。打了sp3后版本号是 9.0.4035

方法2.
随便选择一个数据库然后新建查询运行
select @@version
如9.00.1399.00 版本号如此。就是没打过。打了sp3后版本号是 9.0.4035

Apache配置文件http.conf中文版

2013年10月3日 没有评论

### 此份配置同时适用于Windows(开发环境)和Linux(产品环境),依靠MPM的不同进行区分

##########################################################################################
#### 第一部分 全局配置 [这些指令的作用域含有"server config"但不含"virtual host"] #####
##########################################################################################

#####################################################################
##### MPM 指令(所有MPM指令都仅能用于全局配置) #####

##### prefork 与 mpm_winnt 的公共指令

#内核转储目录(Linux上Apache以root身份启动并切换至其他用户,再忽略该指令可以禁止内核转储)
#CoreDumpDirectory /share/empty

#在所有IP上监听80端口的HTTP协议
Listen 80 http

#半链接队列的最大长度,不能设的太大,而应当通过启用SYN-Cookie抵御SYN洪水。
ListenBacklog 255

#主内存分配程序在未调用free()的情况下允许持有的最大自由内存数量(默认”0″表示无限制)
MaxMemFree 0

#将每个子进程在其生存期内允许伺服的最大请求数量设为有限值,可以防止(偶然的)内存泄漏无限进行,有助于当服务器负载减轻的时候减少活动进程的数量
MaxRequestsPerChild 10000

#记录父进程(监控进程)PID的文件

PidFile log/httpd.pid

PidFile /var/run/httpd.pid

#TCP接收缓冲区大小(相当于8帧,如果不用http上传可减小到4帧)
ReceiveBufferSize 11840
#TCP发送缓冲区大小(相当于8帧,一般比最常用页面压缩后的平均尺寸稍大)
SendBufferSize 11840

#父进程和子进程之间通信使用的计分板,建议不要设置以首选在匿名共享内存中建立
#ScoreBoardFile /tmp/httpd_status

##### mpm_winnt 特有指令

#每个子进程可配置的线程数上限,应当和ThreadsPerChild可能达到的最大值保持一致
ThreadLimit 5
#每个子进程建立的线程数(必须小于等于ThreadLimit)
ThreadsPerChild 5

#处理客户端连接的线程使用的栈尺寸(65536字节),注释掉以后将使用操作系统默认值
#ThreadStackSize 65536

#仅在其他软件干扰AcceptEx()操作时才使用这个
#Win32DisableAcceptEx

##### prefork 特有指令

#串行化多个子进程在多个socket上accept()请求的方法(仅在使用了多个Listen指令时候才有意义)
#建议在 Linux 2.6 内核并且 Glibc 中包含NPTL时使用posixsem选项
#当然,为了得到最佳性能,最好就根本不使用多个Listen语句。
AcceptMutex posixsem
#当AcceptMutex指令的值是fcntl或flock的时候,Apache使用的锁文件的位置(最好放在TMPFS中)
#其他用户可以通过建立一个同名文件来阻止服务器启动,以造成拒绝服务攻击
LockFile /tmp/httpd_accept.lock

#子进程崩溃以后进行异常处理的钩子程序
EnableExceptionHook Off

#优雅停止服务器的超时秒数(5分钟)
GracefulShutDownTimeout 300

#子进程运行时的组
Group www
#子进程运行时的用户
User httpd

#允许同时伺服的最大接入请求数量(用于应对潜在的请求高峰)
#建议设为与postgresql的max_connections值相等(假定每个接入请求平均使用一个数据库链接)
MaxClients 1000
#服务器允许配置的进程数上限(保持和MaxClient相等)
ServerLimit 1000
#服务器启动时建立的子进程数
StartServers 30
#空闲子进程的最大数量(用于应对潜在的请求高峰)
MaxSpareServers 30
#空闲子进程的最小数量
MinSpareServers 15

#####################################################################
##### mod_so指令(一共只有两条Load..指令,且仅能用于全局配置) #####

#由于Linux已将下列模块静态编译进了httpd,因此不需要动态加载(PHP除外)
#特别提醒:Windows加载了mod_info/mod_status/mod_bw而Linux没有加载。

#基于文件的摘要认证和基于用户的授权以及访问控制
LoadModule auth_digest_module bin/mod_auth_digest.so
LoadModule authn_default_module bin/mod_authn_default.so
LoadModule authn_file_module bin/mod_authn_file.so
LoadModule authz_default_module bin/mod_authz_default.so
LoadModule authz_user_module bin/mod_authz_user.so
LoadModule authz_host_module bin/mod_authz_host.so

#对输出内容(一般是文本)进行压缩
LoadFile bin/zlib1.dll
LoadModule deflate_module bin/mod_deflate.so

#指定目录索引文件以及为目录提供”尾斜杠”重定向(仅供phppgadmin使用)
LoadModule dir_module bin/mod_dir.so

#环境变量控制
LoadModule env_module bin/mod_env.so
LoadModule setenvif_module bin/mod_setenvif.so

#通过配置文件控制”Expires:”和”Cache-Control:”头内容
LoadModule expires_module bin/mod_expires.so

#记录日志和定制日志格式
LoadModule log_config_module bin/mod_log_config.so

# MIME模块(PHP依赖于此模块)
LoadModule mime_module bin/mod_mime.so

#实时重写URL请求
LoadModule rewrite_module bin/mod_rewrite.so

#生成Apache配置情况的Web页面
LoadModule info_module bin/mod_info.so
#生成描述服务器状态的Web页面
LoadModule status_module bin/mod_status.so
#限制客户端带宽(用于模拟低速internet环境)[Http://apache.ivn.cl]
#LoadModule bw_module bin/mod_bw.so

##### 添加PHP5支持

LoadFile php/php5ts.dll
LoadModule php5_module php/php5apache2_2.dll
PHPINIDir php

LoadModule php5_module /lib/httpd/libphp5.so
PHPINIDir /etc/httpd

AddType application/x-httpd-php .php .htm

#####################################################################
##### 仅能够用于全局配置的核心(Core)指令 #####

#根据协议类型对监听Socket进行优化
#AcceptFilter http data
#AcceptFilter https data

#限制客户端HTTP请求头域的数量
LimitRequestFields 20
#限制客户端HTTP请求头的字节数
LimitRequestFieldSize 3000
#限制客户端HTTP请求行的字节数
LimitRequestLine 1020

#为虚拟主机在所有IP地址上监听80
NameVirtualHost *:80

#服务器根目录(必须是绝对路径),配置文件中的其它相对路径都将基于此目录

ServerRoot /GreenAPP/Apache

ServerRoot /share/empty

#”Server:”应答头(Prod最少,Full最多)
ServerTokens Prod

#服务器超时
TimeOut 15

#禁止处理TRACE请求
TraceEnable off

#####################################################################
##### 仅能够用于全局配置的动态加载模块指令 #####

# mime.types文件的位置(mod_mime)

TypesConfig conf/mime.types

TypesConfig /etc/httpd/mime.types

#检查服务器发送的 nonce 计数(尚未实现)(mod_auth_digest)
#AuthDigestNcCheck On

#为了跟踪客户端而分配的共享内存字节数(mod_auth_digest),每链接需要128字节。
AuthDigestShmemSize 25600

#禁止在内存中缓冲日志(mod_log_config)
BufferedLogs Off

#为了和RewriteMap*程序*通讯而使用的同步锁文件的名称(mod_rewrite)
#RewriteLock file-path

#为每个请求记录扩展的状态信息
ExtendedStatus On

################################################################################################
#### 第二部分 主服务器配置[这些指令的作用域含同时含有"server config"和"virtual host"] #####
################################################################################################
## 本配置文件将所有主机都当作虚拟主机,并不存在真正的”主服务器”,因此这部分配置只是所有虚拟主机的默认设置而已 ##

#####################################################################
##### 适用于主服务器配置的核心(Core)指令 #####

#### 虚拟主机必须重新设定的指令

#文档树的根目录(没有真正的主服务器,因此不设置此值)(不能包含结尾斜杠)
#DocumentRoot directory-path
#当没有指定ServerName时,服务器会尝试对IP地址进行反向查询来推断主机名。
#所以,必须胡乱设置一个默认的主服务器主机名
ServerName xx.xx.xx.xx

#### 目录相关

#分布式配置文件的名字
AccessFileName .htaccess
#目录仅可以使用符号链接的特性
Options FollowSymLinks

#### 应答头相关

#当应答内容是text/plain或text/html时在HTTP应答头中加入的默认字符集
AddDefaultCharset utf-8
#无法由其他方法确定内容类型时,发送的默认MIME内容类型
DefaultType application/octet-stream
#禁止生成Content-MD5应答头
ContentDigest Off
#用以创建ETag应答头的文件的属性
FileETag All

#### 貌似安全相关

#仅当一个请求映射到一个真实存在的路径时才会被接受
AcceptPathInfo Off
#禁止URL中使用经过编码的路径分割符
AllowEncodedSlashes Off

#指定内部重定向和嵌套子请求的最大数量(至少是5)
LimitInternalRecursion 10
#限制客户端发送的HTTP请求体的最大字节长度(1.2M)
LimitRequestBody 1300000
#限制基于XML的请求体的最大字节长度(1.2M)
LimitXMLRequestBody 1300000

#限制Apache子进程派生的进程占用CPU的最大秒数
RLimitCPU 1 1
#限制由Apache子进程派生的进程占用的最大内存字节数
RLimitMEM 1 1
#限制由Apache子进程派生的进程所派生的进程数目
RLimitNPROC 0 1

#禁止生成服务器端生成文档的页脚
ServerSignature Off

#### 性能相关

#在递送中使用内存映射来读取文件(某些情况下需要禁用)
EnableMMAP On
#使用操作系统内核的sendfile支持来将文件发送到客户端
EnableSendfile On
#禁用对客户端IP的DNS查找
HostnameLookups Off
#持久链接(禁用)
KeepAlive Off
KeepAliveTimeout 1
MaxKeepAliveRequests 1

#### 错误应答与错误日志

#自定义错误响应
#400 错误的请求
ErrorDocument 400 /error/http|ErrCode=400.htm
#403 禁止访问
ErrorDocument 403 /error/http|ErrCode=403.htm
#404 未找到
ErrorDocument 404 /error/http|ErrCode=404.htm
#405 方法不被允许
ErrorDocument 405 /error/http|ErrCode=405.htm
#406 资源已经找到但MIME类型与Accpet头中所指不兼容
ErrorDocument 406 /error/http|ErrCode=406.htm
#408 在服务器许可的等待时间内客户一直没有发出任何请求
ErrorDocument 408 /error/http|ErrCode=408.htm
#409 由于请求和资源的当前状态相冲突因此不能成功(通常和PUT有关)
ErrorDocument 409 /error/http|ErrCode=409.htm
#410 所请求的文档已经不再可用而且服务器不知道应该重定向到哪一个地址
ErrorDocument 410 /error/http|ErrCode=410.htm
#411 必须发送Content-Length头否则无法处理
ErrorDocument 411 /error/http|ErrCode=411.htm
#412 指定的一些前提条件失败
ErrorDocument 411 /error/http|ErrCode=412.htm
#413 请求实体太大
ErrorDocument 413 /error/http|ErrCode=413.htm
#414 请求URI太长
ErrorDocument 414 /error/http|ErrCode=414.htm
#415 不支持的MIME类型
ErrorDocument 415 /error/http|ErrCode=415.htm
#416 Range头所请求的范围无法满足
ErrorDocument 416 /error/http|ErrCode=416.htm
#417 执行失败
ErrorDocument 417 /error/http|ErrCode=417.htm
#423 锁定的错误
ErrorDocument 423 /error/http|ErrCode=423.htm
#500 内部服务器错误
ErrorDocument 500 /error/http|ErrCode=500.htm
#501 服务器不支持实现请求所需要的功能
ErrorDocument 501 /error/http|ErrCode=501.htm
#502 服务器用作网关或代理服务器时收到了无效响应
ErrorDocument 502 /error/http|ErrCode=502.htm
#503 服务器由于维护或者负载过重暂时不能提供服务
ErrorDocument 503 /error/http|ErrCode=503.htm
#504 不能及时地从远程服务器获得应答(作为代理或网关的服务器)
ErrorDocument 504 /error/http|ErrCode=504.htm
#505 服务器不支持请求中所指明的HTTP版本
#ErrorDocument 505 /error/http|ErrCode=505.htm

#返回给客户端的错误信息中包含的管理员邮件地址
ServerAdmin webmaster@oklaoshi.org

#错误日志(未使用滚动)

ErrorLog log/error.log
LogLevel info

ErrorLog /var/log/httpd/error.log
LogLevel warn

#### 处理器

#定位CGI脚本解释器(仅用于Win32)
ScriptInterpreterSource Script

#强制所有匹配的文件被一个指定的处理器处理
#SetHandler handler-name|None

#### 输入输出过滤器

#压缩输出所有文本内容(目前反对使用该指令,但因其简单故而使用)
AddOutputFilterByType DEFLATE application/x-javascript application/xhtml+xml application/xslt+xml application/xml application/xml-dtd text/css text/html text/plain text/richtext text/rtf text/xml

#设置处理客户端请求和POST输入时使用的过滤器
#SetInputFilter filter[;filter...]
#设置用于处理服务器输出应答的过滤器
#SetOutputFilter filter[;filter...]

#### 规范化

#使用客户端提供的主机名和端口构建自引用URL
#可以巧妙解决双线机房以及同目录多站点的问题 #还可以巧妙解决同时运行产品环境和开发环境的问题(本配置未使用该技巧)
UseCanonicalName Off
UseCanonicalPhysicalPort Off

#####################################################################
##### 适用于主服务器配置的动态加载模(DSO)块指令 #####

#### mod_deflate ####

#用于zlib一次压缩的片断大小(字节)(20K),一般等于较大页面的大小
DeflateBufferSize 20240
#压缩程度,取值范围在 1(最低压缩率) 到 9(最高压缩率)之间
DeflateCompressionLevel 3
#在日志中将一个指示压缩率标记附加在请求之后(关闭)
#DeflateFilterNote Input instream
#DeflateFilterNote Output outstream
#DeflateFilterNote Ratio ratio
#压缩时最多可以使用多少内存(取值范围在1到9之间)
DeflateMemLevel 9
#压缩窗口的大小(取值范围在1到15之间,越大压缩效果越好)
DeflateWindowSize 15

#目录结尾斜线(/)自动补全功能(通过重定向,强烈建议打开)
#默认的目录索引文件(强烈建议按此顺序设置)

DirectorySlash On
DirectoryIndex index.html index.htm index.php

DirectorySlash Off
DirectoryIndex none

#### mod_env #####
#### mod_setenvif #####

#传送shell中的环境变量
#PassEnv env-variable [env-variable] …
#强制gzip输出[建议不要这样,会让机器人头晕]
#SetEnv force-gzip 1
#删除环境变量(默认不记录任何访问日志)
UnsetEnv AccessLog
#根据客户端请求属性设置环境变量(仅记录对txt/php/html的访问)
SetEnvIf Request_URI “\.(txt|php|html?)$” AccessLog=1

##### mod_expires #####

#启用”Expires:”和”Cache-Control:”头
ExpiresActive On
#由MIME类型配置的Expires头的值
#ExpiresByType MIME-type seconds
#默认所有文档的有效期为30天
ExpiresDefault “access plus 30 days”
#但是php文档默认不存在有效期(随后应当根据实际情况详细设置)

ExpiresActive Off

##### mod_log_config #####

#访问日志(虚拟主机+组合日志格式)(有条件的记录)

CustomLog log/access.log “%v %h %l %u %t \”%r\” %>s %b \”%{Referer}i\” \”%{User-agent}i\”" env=AccessLog

CustomLog /var/log/httpd/access.log “%v %h %l %u %t \”%r\” %>s %b \”%{Referer}i\” \”%{User-agent}i\”" env=AccessLog

##### mod_mime #####

#在文件扩展名与特定的编码方式之间建立映射关系
#AddEncoding MIME-enc extension [extension] …
#将所有 .html.gz .css.gz 之类经过压缩的静态内容使用”Content-Encoding: gzip”头发送,
#这样既节约带宽又比使用mod_deflate的实时压缩节约CPU
#但只适用于静态内容并且要结合内容协商模块的类型表功能才能实现,而且不利于搜索引擎机器人收录,
#考虑到mod_expires的作用,这份配置放弃这种方法
#不过这样也可能和 AddOutputFilterByType DEFLATE …. 指令冲突,需要进一步实验或寻找其他有效方法
#AddEncoding gzip .gz

#为所有文件设定特定的默认语言(简体中文)
DefaultLanguage zh-CN

#在使用MultiViews查询所匹配的文件时要包含的文件类型
#NegotiatedOnly选项规定每个跟在基础名字后面的扩展名必须关联到一个在内容协商时已知的mod_mime扩展名,
#例如:字符集、内容类型、语言、编码方式。这是一种最严格也是副作用最少的实现方法,它是默认的处理方式。
MultiviewsMatch NegotiatedOnly

#在给定的文件扩展名与特定的字符集之间建立映射
#AddCharset charset extension [extension] …
#在文件扩展名与特定的语言之间建立映射
#AddLanguage MIME-lang extension [extension] …
#在文件扩展名与特定的处理器之间建立映射
#AddHandler handler-name extension [extension] …
#在文件扩展名与特定的输入过滤器之间建立映射
#AddInputFilter filter[;filter...] extension [extension] …
#在文件扩展名与特定的输出过滤器之间建立映射关系
#AddOutputFilter filter[;filter...] extension [extension] …
#在给定的文件扩展名与特定的内容类型之间建立映射
#AddType MIME-type extension [extension] …

##### mod_rewrite #####

#关闭重写引擎(不可继承,必须在每个需要的虚拟主机中单独开启)
RewriteEngine Off
#重写引擎日志的详细程度(9-最详细,0-关闭)
RewriteLogLevel 0
#强制当前配置继承其父配置(映射表、条件、规则)
#RewriteOptions inherit

#定义重写发生的条件(为了提高匹配效率)和规则(不需要考虑#..内容,因为浏览器并不发送)
RewriteCond %{REQUEST_URI} \.htm$
RewriteRule ^(.+)\.htm$ $1.php [NE,C]
RewriteRule ^([^|]+)\|(.+)\.php$ $1.php?$2 [NE,L]

#为server-info处理器显示的模块增加额外信息
#AddModuleInfo module-name string

#开启带宽限制(默认是关闭的,也就是不做任何限制)
BandWidthModule On
#强制对所有请求进行限制
ForceBandWidthModule On
#连接数上限。必须与BandWidth的子网范围对应,当然也可以不使用该指令。
MaxConnection 127.0.0.0/8 2
#带宽上限(B/s)。这里限制为16Kbps
BandWidth 127.0.0.0/8 2048
#带宽下限(B/s),设为”-1″表示仅使用上限。
MinBandWidth all -1
#将数据包分割成每小块1024字节进行延迟发送,可用值为1024-131072,默认为8192。
BandWidthPacket 1024
#将所有大于50kB的文件下载速度限制压低到8Kbps
#LargeFileLimit * 50 1024
#默认到达MaxConnection限制后将发送”503″错误代码(HTTP_SERVICE_UNAVAILABLE),
#该指令允许你自定义一个未使用的错误代码(300~599)并结合ErrorDocument指令实现自定义的错误代码说明。
#BandWidthError 510

################################################################################################
#### 第三部分 默认目录特性/认证/授权/访问控制[这些指令的作用域含有"directory"] #####
################################################################################################
## 默认特性穷尽限制与封闭之能事,因此必须在随后的配置中按需”放水” ##
## 此部分并不包含所有作用域含有”directory”的指令 ##

#禁用.htaccess文件(仅可用于目录)
AllowOverride None
#目录仅可以使用符号链接的特性(仅可用于目录)
Options FollowSymLinks
#必须同时通过认证并且满足访问控制条件
Satisfy all
#使用摘要认证
AuthType Digest
AuthDigestAlgorithm MD5
AuthDigestNonceLifetime 1200
AuthDigestQop auth
AuthDigestProvider file
AuthDefaultAuthoritative On
#所有认证共用一个用户名/密码文件

AuthUserFile conf/authn.md5

AuthUserFile /etc/httpd/authn.md5

AuthzUserAuthoritative On
AuthzDefaultAuthoritative On
#拒绝所有访问(mod_authz_host)
#Allow from 127.0.0.1
Deny from all
Order Allow,Deny

#因为在所有之后合并,所以下面可以确保拒绝访问任何”secret”目录

AllowOverride None
Options FollowSymLinks
Satisfy all
Deny from all
Order Allow,Deny

##下面是一段非常愚蠢的做法,完全推翻了上述默认的访问控制,因为在最后合并
##实际效果变成允许GET和POST访问一切目录和文件!!!
#
#企图仅仅允许GET和POST方法(实际上行不通)
#
# Order Allow,Deny
# Deny from all
#
#

############################################################################
#### 第四部分 默认虚拟主机[这些指令的作用域都含有"virtual host"] #####
############################################################################

#(共享服务器,存放与特定子站无关或无法在子站内部统一的内容)
#文档树根目录、主机名和别名
DocumentRoot /www/oklaoshi/www
ServerName oklaoshi.org
ServerAlias oklaoshi.net oklaoshi.com oklaoshi.cn
ServerAlias www.oklaoshi.org www.oklaoshi.net www.oklaoshi.com www.oklaoshi.cn

#开启重写引擎并继承主服务器配置(映射表、条件、规则)
RewriteEngine On
RewriteOptions inherit

#传送shell中指定的加密密钥(最好只传递到特定目录下的特定文件)
#PassEnv ENCRYPT_KEY

#重新设置PHP针对每个站点的不同特性
php_admin_value open_basedir “/www/oklaoshi/”
php_admin_flag file_uploads Off
php_admin_value include_path “/www/oklaoshi/secret”
php_admin_value session.name “OKLAOSHISESSIONID”
php_admin_value session.referer_check “oklaoshi.”

#默认为非本地引用
UnsetEnv Local_Referer
#判断是否为本地引用
SetEnvIf Referer “oklaoshi\.(org|net|com|cn)” Local_Referer

Order Allow,Deny
Allow from all
#防止盗链(必须放在内部)

Order Allow,Deny
Allow from env=Local_Referer

#### 下面的指令只能在虚拟主机中设置
#删除任何给定的扩展名与内容字符集之间的关联
#RemoveCharset extension [extension] …
#删除任何给定的扩展名与内容编码方式之间的关联
#RemoveEncoding extension [extension] …
#删除任何指定扩展名与处理器之间的关联
#RemoveHandler extension [extension] …
#删除指定扩展名与输入过滤器之间的关联
#RemoveInputFilter extension [extension] …
#删除指定的扩展名与内容语言之间的关联
#RemoveLanguage extension [extension] …
#删除指定扩展名与输出过滤器之间的关联
#RemoveOutputFilter extension [extension] …
#删除指定扩展名与内容类型之间的关联
#RemoveType extension [extension] …

## 服务器配置报告

SetHandler server-info
AuthName Apache_Admin
Require user Apache_Admin
Satisfy all
Order Allow,Deny
Allow from all

## 服务器状态报告

SetHandler server-status
AuthName Apache_Admin
Require user Apache_Admin
Satisfy all
Order Allow,Deny
Allow from all

############################################################################
#### 第四部分 其它虚拟主机 #####
############################################################################

#文档树根目录、主机名和别名(与”主服务器”设为相同即可取消”主服务器”)(.org/.net电信 .com/.cn网通)(其他是各地分站)
DocumentRoot /www/oklaoshi/htdocs
ServerName bj.oklaoshi.org
ServerAlias bj.oklaoshi.net bj.oklaoshi.com bj.oklaoshi.cn
ServerAlias tj.oklaoshi.org tj.oklaoshi.net tj.oklaoshi.com tj.oklaoshi.cn
ServerAlias sh.oklaoshi.org sh.oklaoshi.net sh.oklaoshi.com sh.oklaoshi.cn
ServerAlias nj.oklaoshi.org nj.oklaoshi.net nj.oklaoshi.com nj.oklaoshi.cn
ServerAlias gz.oklaoshi.org gz.oklaoshi.net gz.oklaoshi.com gz.oklaoshi.cn

#开启重写引擎并继承主服务器配置(映射表、条件、规则)
RewriteEngine On
RewriteOptions inherit

#传送shell中指定的加密密钥(最好只传递到特定目录下的特定文件)
PassEnv ENCRYPT_KEY

#重新设置PHP针对每个站点的不同特性
php_admin_value open_basedir “/www/oklaoshi/”
php_admin_flag file_uploads Off
php_admin_value include_path “/www/oklaoshi/secret”
php_admin_value session.name “OKLAOSHISESSIONID”
php_admin_value session.referer_check “oklaoshi.”

#默认为非本地引用
UnsetEnv Local_Referer
#判断是否为本地引用
SetEnvIf Referer “oklaoshi\.(org|net|com|cn)” Local_Referer

Order Allow,Deny
Allow from all
#防止盗链(必须放在内部)

Order Allow,Deny
Allow from env=Local_Referer

#网站根用户后台管理目录(需要认证)

AuthName Root_Admin
Require user Root_Admin
Satisfy all
Order Allow,Deny
Allow from all
#后台管理关闭重写引擎
RewriteEngine Off

#(数据库管理服务器(phppgadmin))

#文档树根目录、主机名和别名
DocumentRoot /www/phppgadmin
ServerName dbadmin.oklaoshi.org
ServerAlias dbadmin.oklaoshi.net dbadmin.oklaoshi.com dbadmin.oklaoshi.cn

#关闭重写引擎
RewriteEngine Off
#修改主服务器设置
AddDefaultCharset Off
LimitRequestBody 5242880
DirectorySlash On
DirectoryIndex index.html index.htm index.php

#重新设置PHP的一些特性
php_admin_value open_basedir “/www/phppgadmin”
php_admin_flag display_errors Off
php_admin_flag display_startup_errors Off
php_admin_flag html_errors Off
#php_admin_flag log_errors Off
php_admin_value max_execution_time 15
php_admin_value memory_limit 16M
php_admin_value max_input_time 600
php_admin_value max_input_nesting_level 32
php_admin_value post_max_size 4M
php_admin_flag file_uploads On
php_admin_value upload_max_filesize 4M
php_admin_value arg_separator.output “&”
php_admin_value arg_separator.input “&”
php_admin_value variables_order “GPCS”
php_admin_flag implicit_flush Off
php_admin_value output_buffering 8192
php_admin_value include_path “.”
php_admin_value default_charset none
php_admin_flag detect_unicode Off
php_admin_value ignore_user_abort On
php_admin_value session.name “DBADMINSESSIONID”
php_admin_value session.referer_check “dbadmin.oklaoshi.”
php_admin_value mbstring.func_overload 0

AuthName DB_Admin
Require user DB_Admin
Satisfy all
Order Allow,Deny
Allow from all

分类: Linux, 软件使用 标签:

nginx列出目录及对目录进行密码保护

2013年7月1日 没有评论

1、如何让nginx列目录
在对应的网站配置段中,加入:

1
2
3
4
5
6
7
location /_files
{
    root /home/wwwroot;
    autoindex on;
    autoindex_exact_size off;
    autoindex_localtime on;
}

解释一下:
root是指当前的网站根文件夹,例子中列出的根目录其实是/home/wwwroot/_files目录,如果不填则沿用上层的root配置;
autoindex是是否对该location匹配的目录在找不到索引文件(index.html、index.php等)时,列出目录,默认为off;
autoindex_exact_size是是否输出准确的大小,如果on则输出byte单位的大小,off则用GB、MB、KB来近似表示,默认为on;
autoindex_localtime是否以服务器时间输出文件时间,off则用GMT时间输出,默认为off。
参考:http://wiki.nginx.org/HttpAutoindexModule
2、对目录进行密码保护:
在对应目录的location中加入:

1
2
3
4
5
location /phpmyadmin
{
    auth_basic "Creke Server Auth";
    auth_basic_user_file /usr/local/nginx/conf/htpasswd;
}

其中auth_basic是验证时显示的标题,auth_basic_user_file是对应的用户名密码,一行一个,与apache的“.htpasswd”一样。
参考:http://wiki.nginx.org/HttpAuthBasicModule
最后,给出一个使用perl生成htpasswd中认证用户名密码的脚本,方便生成:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
 
echo "====================================="
echo "# A tool like htpasswd for Nginx    #"
echo "#-----------------------------------#"
echo "# MOD BY Creke                      #"
echo "====================================="
 
#set UserName
 
username=""
read -p "Please input UserName:" username
if [ "$username" = "" ]; then
echo "Error:UserName can't be NULL!"
exit 1
fi
echo "==========================="
echo "UserName was: $username"
echo "==========================="
 
#set password
 
unpassword=""
read -p "Please input the Password:" unpassword
if [ "$unpassword" = "" ]; then
echo "Error:Password can't be NULL!"
exit 1
fi
echo "==========================="
echo "Password was: $unpassword"
echo "==========================="
password=$(perl -e 'print crypt($ARGV[0], "pwdsalt")' $unpassword)
 
echo "$username:$password"