Linux下Apache服务器深度配置指南:从基础到高阶调优
基础配置与核心概念解析
Apache配置文件通常位于/etc/httpd/conf/httpd.conf或/etc/apache2/apache2.conf,核心指令包括:
Listen:指定监听端口(默认为80)。ServerRoot:服务器根目录(如/etc/apache2)。DocumentRoot:网站文件根目录(如/var/www/html)。<Directory>:定义目录访问权限。ErrorLog、CustomLog:日志文件路径。
关键安全配置:
# 禁用目录列表
Options -Indexes
# 隐藏Apache版本信息
ServerTokens Prod
ServerSignature Off
# 限制敏感文件访问
<FilesMatch "\.(htaccess|htpasswd|ini|log|sh|sql)$">
Require all denied
</FilesMatch>
虚拟主机(Virtual Host)实战
场景: 单服务器托管example.com与test.org。
<VirtualHost *:80>
ServerName example.com
DocumentRoot /var/www/example
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
<Directory /var/www/example>
Require all granted
Options FollowSymLinks
AllowOverride FileInfo
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName test.org
DocumentRoot /var/www/test
# 其他配置类似...
</VirtualHost>
经验案例: 曾遇虚拟主机配置失效,原因是主配置中未启用NameVirtualHost *:80(Apache 2.2)或确保Listen 80存在(Apache 2.4+)。
HTTPS配置与SSL/TLS强化
-
生成证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/ssl/private/example.key -out /etc/ssl/certs/example.crt
-
配置SSL虚拟主机:
<VirtualHost *:443> ServerName example.com SSLEngine on SSLCertificateFile /etc/ssl/certs/example.crt SSLCertificateKeyFile /etc/ssl/private/example.key # 强制HSTS (谨慎启用) Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" # 其他配置... </VirtualHost> -
安全加固建议:
- 使用强加密套件(如
TLS_AES_256_GCM_SHA384) - 禁用SSLv2、SSLv3及弱TLS版本(如TLS 1.0/1.1)
- 启用OCSP Stapling
- 使用强加密套件(如
性能调优与高并发处理
| 参数 | 默认值 | 生产建议值 | 说明 |
|---|---|---|---|
StartServers |
5 | 根据内存和负载调整 | 启动时创建的子进程数 |
MinSpareThreads |
75 | 50-100 | 最小空闲线程数 |
MaxSpareThreads |
250 | 150-250 | 最大空闲线程数 |
MaxRequestWorkers |
150 (MPM prefork) | 500-4000 (根据内存) | 最大并发连接数(关键!) |
MaxConnectionsPerChild |
0 (无限) | 10000 | 子进程处理请求数上限,防内存泄漏 |
KeepAlive |
On | On | 启用持久连接 |
KeepAliveTimeout |
5 | 2-5 | 持久连接超时时间(秒) |
调优案例: 某电商网站在大促时出现响应延迟,分析发现MaxRequestWorkers设置过低(仅150),导致请求队列堆积,结合服务器内存(32GB),将其提升至2000,并启用mod_cache缓存静态资源,TPS提升300%。
安全加固进阶
- 防DDoS/暴力破解: 使用
mod_evasive或mod_security。# mod_evasive 示例 <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 60 </IfModule> - 文件权限: 确保DocumentRoot目录权限为
755,文件为644,所有者设为非root用户(如www-data)。 - 禁用危险模块: 如非必要,禁用
mod_autoindex,mod_cgi,mod_include等。
日志管理与分析
- 定制日志格式: 在
httpd.conf中定义包含更多信息的格式:LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %D" combined_timing%D记录请求处理时间(微秒)。
- 日志轮转: 使用
logrotate工具定期压缩和归档日志。
FAQs:
Q1:启用KeepAlive一定提升性能吗?
A: 不一定,对于高并发且多为短连接的场景(如API服务器),启用KeepAlive可能导致空闲连接占用过多进程/线程资源,反而降低并发能力,需结合
KeepAliveTimeout和服务器资源综合评估,通常内容型网站建议开启,API密集型服务需测试验证。
Q2:如何为多个虚拟主机配置通配符证书(Wildcard SSL)?
A: 使用通配符证书(如
*.example.com)可简化管理,配置时:
- 将同一份证书和私钥应用于所有匹配该域名的虚拟主机。
- 确保每个
<VirtualHost>块的ServerName或ServerAlias匹配证书域名(如shop.example.com,api.example.com)。- 注意:通配符证书仅覆盖一级子域名(
*.example.com不包含a.b.example.com)。
国内权威文献来源:
- 倪继利. 《Linux安全体系分析与编程》. 电子工业出版社. (深入解析Linux安全机制与服务器防护)
- 陈祥琳, 王洪涛. 《高性能Linux服务器构建实战:运维监控、性能调优与集群应用》. 机械工业出版社. (含Apache调优实战案例)
- 鸟哥. 《鸟哥的Linux私房菜:服务器架设篇(第四版)》. 人民邮电出版社. (经典教材,涵盖Apache基础到进阶配置)
- 张勤, 杨章伟. 《Web服务器技术与应用开发(Apache+PHP+MySQL)》. 清华大学出版社. (高校教材,理论与实践结合)
