四. Apache从入门到精通

# 详细信息请参考 URL:https://httpd.apache.org/docs/2.4/.
# 具体而言,请查看 URL:https://httpd.apache.org/docs/2.4/mod/directives.html 对每个配置指令的讨论.

# 请注意,在阅读这些指令之前,请确保了解它们的作用.它们只是一些提示或提醒.如果您不确定,请查阅在线文档.已经警告过您了.

# 配置和日志文件名:如果您为服务器的许多控制文件指定的文件名以 "/"(或对于Win32系统为"drive:/")开头,服务器将使用该明确的路径.如果文件名不以 "/" 开头,则会在其前面添加 ServerRoot 的值.例如,当 ServerRoot 设置为 "/www" 时,'log/access_log' 将被服务器解释为 '/www/log/access_log',而 '/log/access_log' 将被解释为 '/log/access_log'.

# ServerRoot: 服务器配置、错误和日志文件所在的目录树的顶级路径.
# 在目录路径的末尾不要添加斜杠.如果将 ServerRoot 指向非本地磁盘,请确保在 Mutex 指令中指定一个本地磁盘,如果使用基于文件的互斥锁.如果希望多个 httpd 守护进程共享相同的 ServerRoot,至少需要更改 PidFile.
ServerRoot "/etc/httpd"

# Listen: 允许您将Apache绑定到特定的IP地址和/或端口,而不是默认的.还请参阅 <VirtualHost> 指令.
# 更改以下示例中的侦听地址以防止Apache绑定到所有可用的IP地址.
# Listen 12.34.56.78:80
Listen 8080

#
# 动态共享对象(DSO)支持
#
# 要能够使用作为 DSO 构建的模块的功能,您必须在此位置放置相应的 `LoadModule` 行,以便其中包含的指令在使用之前实际可用.
# 静态编译的模块(`httpd -l` 列出的模块)不需要在此处加载.
#
# 示例:
# LoadModule foo_module modules/mod_foo.so
#
Include conf.modules.d/*.conf

#
# 如果您希望 httpd 以不同的用户或组身份运行,您必须最初以 root 身份运行 httpd,然后它将切换.
#
# 用户/组:要作为 httpd 运行的用户/组的名称(或编号).
# 通常建议为运行 httpd 创建一个专用的用户和组,就像大多数系统服务一样.
#
User apache
Group apache

# 'Main' 服务器配置
#
# 本节中的指令设置 'main' 服务器使用的值,该服务器响应未由 <VirtualHost> 定义处理的任何请求.这些值还为您稍后在文件中定义的任何 <VirtualHost> 容器提供了默认值.
#
# 所有这些指令都可以出现在 <VirtualHost> 容器内,这种情况下,这些默认设置将被用于定义的虚拟主机进行覆盖.
#
#
# ServerAdmin:您的地址,服务器问题应该通过电子邮件发送到的地方.此地址将出现在一些服务器生成的页面上,例如错误文档.例如:admin@your-domain.com
#
ServerAdmin root@localhost

#
# ServerName 指定服务器用于标识自身的名称和端口.
# 这通常可以自动确定,但我们建议您明确指定它,以避免启动期间出现问题.
#
# 如果您的主机没有注册的 DNS 名称,请在此处输入其 IP 地址.
#
# ServerName www.example.com:80


# 禁止访问服务器文件系统的全部内容.您必须在下面的其他 <Directory> 块中明确允许访问 Web 内容目录.
#
<Directory />
    AllowOverride none
    Require all denied
</Directory>

#
# 请注意,从这一点开始,您必须明确允许特定功能启用 - 因此,如果某些东西不像您期望的那样工作,请确保您已经明确启用它.
#
# DocumentRoot:您将为之提供文档的目录.默认情况下,所有请求都从此目录接收,但可以使用符号链接和别名来指向其他位置.
#
# DocumentRoot "/var/www/html"
DocumentRoot "/www/html"

#
# 放宽对 /var/www 内容的访问权限.
#
<Directory "/www/html">
    AllowOverride None
    # 允许公开访问
    Require all granted
</Directory>


# 进一步放宽对默认文档根目录的访问权限:
<Directory "/www/html">
    #
    # Options 指令的可能值为 "None"、"All" 或任何组合:
    #   Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
    #
    # 请注意,"MultiViews"必须明确命名---"Options All"不会包含它.
    #
    # Options 指令既复杂又重要.有关更多信息,请参阅
    # https://httpd.apache.org/docs/2.4/mod/core.html#options
    #
    Options Indexes FollowSymLinks

    #
    # AllowOverride 控制可以放置在 .htaccess 文件中的指令.
    # 它可以是 "All"、"None" 或以下关键字的任意组合:
    #   Options FileInfo AuthConfig Limit
    #
    AllowOverride None

    #
    # 控制谁可以从此服务器获取文件.
    #
    Require all granted
</Directory>


# DirectoryIndex: 设置当请求一个目录时,Apache 将提供的文件.
#
<IfModule dir_module>
    DirectoryIndex index.html index2.html
</IfModule>

#
# 以下行防止 Web 客户端查看 .htaccess 和 .htpasswd 文件.
#
<Files ".ht*">
    Require all denied
</Files>

#
# ErrorLog: 错误日志文件的位置.
# 如果在 <VirtualHost> 容器中没有指定 ErrorLog 指令,
# 与该虚拟主机相关的错误消息将在此处记录.
# 如果您为 <VirtualHost> 容器定义了错误日志文件,
# 则该主机的错误将在那里记录,而不是在这里.
#
ErrorLog "logs/error_log"

#
# LogLevel: 控制记录到 error_log 的消息数量.
# 可能的值包括:debug、info、notice、warn、error、crit、alert、emerg.
#
LogLevel warn

<IfModule log_config_module>
    #
    # 以下指令定义一些格式的别名,用于与 CustomLog 指令一起使用(参见下文).
    #
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
    LogFormat "%h %l %u %t \"%r\" %>s %b" common

    <IfModule logio_module>
      # 您需要启用 mod_logio.c 来使用 %I 和 %O
      LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
    </IfModule>

    #
    # 访问日志文件(通用日志文件格式)的位置和格式.
    # 如果您没有在 <VirtualHost> 容器内定义任何访问日志文件,
    # 它们将在此处记录.相反,如果您在每个 <VirtualHost> 容器中定义了独立的访问日志文件,
    # 事务将在其中记录,而不是在此文件中.
    #
    #CustomLog "logs/access_log" common

    #
    # 如果您偏好具有访问、代理和引用者信息的日志文件(组合日志文件格式),
    # 可以使用以下指令.
    #
    CustomLog "logs/access_log" combined
</IfModule>


<IfModule alias_module>
    #
    # Redirect: 允许您向客户端通知曾经存在于服务器命名空间中但现在不存在的文档.
    # 客户端将对文档在其新位置重新发起请求.
    # 示例:
    # Redirect permanent /foo http://www.example.com/bar

    #
    # Alias: 将 Web 路径映射到文件系统路径,用于访问不位于 DocumentRoot 下的内容.
    # 示例:
    # Alias /webpath /full/filesystem/path
    #
    # 如果在 /webpath 后面加上斜杠,则服务器将要求它在 URL 中存在.
    # 您还可能需要提供一个 <Directory> 部分来允许访问文件系统路径.

    #
    # ScriptAlias: 控制包含服务器脚本的目录.
    # ScriptAliases 与 Aliases 基本相同,只是目标目录中的文档被视为应用程序,并由服务器在请求时运行,而不是作为发送给客户端的文档.
    # 与 Alias 指令一样,ScriptAlias 指令也适用于尾部的斜杠规则.
    #
    ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

</IfModule>

#
# "/var/www/cgi-bin" 应更改为配置了 ScriptAlias 的 CGI 目录的实际路径.
#

<Directory "/var/www/cgi-bin">
    AllowOverride None
    Options None
    Require all granted
</Directory>

<IfModule mime_module>
    #
    # TypesConfig 指向包含从扩展名到 MIME 类型的映射列表的文件.
    #
    TypesConfig /etc/mime.types

    #
    # AddType 允许您添加或覆盖指定文件类型的 MIME 配置文件中的 MIME.
    #
    #AddType application/x-gzip .tgz
    #
    # AddEncoding 允许您让某些浏览器动态解压缩信息.
    # 注意:并非所有浏览器都支持此功能.
    #
    #AddEncoding x-compress .Z
    #AddEncoding x-gzip .gz .tgz
    #
    # 如果上面的 AddEncoding 指令被注释掉,那么您可能要定义这些扩展名以表示媒体类型:
    #
    AddType application/x-compress .Z
    AddType application/x-gzip .gz .tgz

    #
    # AddHandler 允许您将某些文件扩展名映射到"处理程序":
    # 与文件类型无关的操作.这些可以是服务器内置的,也可以是使用 Action 指令添加的(参见下文).
    #
    # 若要在 ScriptAliased 目录以外使用 CGI 脚本:
    # (您还需要在 "Options" 指令中添加 "ExecCGI".)
    #
    #AddHandler cgi-script .cgi

    # 对于类型映射(可协商的资源):
    #AddHandler type-map var

    #
    # Filters 允许您在将内容发送到客户端之前对其进行处理.
    #
    # 若要解析 .shtml 文件以进行服务器端包含(SSI):
    # (您还需要在 "Options" 指令中添加 "Includes".)
    #
    AddType text/html .shtml
    AddOutputFilter INCLUDES .shtml
</IfModule>

#
# 为所有提供的内容指定默认字符集;
# 这使得默认情况下将所有内容解释为 UTF-8.
# 若要使用默认浏览器选择(ISO-8859-1),
# 或者允许 HTML 内容中的 META 标签覆盖此选择,请将该指令注释掉.
#
AddDefaultCharset UTF-8


<IfModule mime_magic_module>
    #
    # mod_mime_magic 模块允许服务器使用文件内容本身的各种提示来确定文件类型.
    # MIMEMagicFile 指令告诉模块提示定义的位置.
    #
    MIMEMagicFile conf/magic
</IfModule>

#
# 可自定义的错误响应有三种类型:
# 1)纯文本 2)本地重定向 3)外部重定向
#
# 一些示例:
#ErrorDocument 500 "The server made a boo boo."
#ErrorDocument 404 /missing.html
#ErrorDocument 404 "/cgi-bin/missing_handler.pl"
#ErrorDocument 402 http://www.example.com/subscription_info.html
#

#
# EnableMMAP 和 EnableSendfile:在支持的系统上,
# 可以使用内存映射或 sendfile 系统调用来传送文件.
# 这通常提高服务器性能,但在从网络挂载的文件系统中提供服务时,
# 或者如果系统不支持这些功能,则必须关闭它们.
# 如果被注释,默认值为:EnableMMAP On,EnableSendfile Off.
#
#EnableMMAP off
EnableSendfile on

# 附加配置
#
# 如果有的话,在"/etc/httpd/conf.d"目录中加载配置文件.
IncludeOptional conf.d/*.conf

# 当我们还提供SSL时,除了要监听HTTP端口外,
# 还需监听HTTPS端口.

Listen 443 https

##
##  SSL全局上下文
##
##  所有SSL配置都适用于主服务器和所有启用SSL的虚拟主机.
##

#   密码对话框:
#   配置密码收集过程.
#   过滤对话程序('builtin' 是内部终端对话框)必须将密码提供给标准输出.
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

#   进程间会话缓存:
#   配置SSL会话缓存:首先是使用的机制,
#   其次是到期超时时间(以秒为单位).
SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

#   伪随机数生成器(PRNG):
#   配置一个或多个用于初始化SSL库PRNG的种子源.
#   种子数据应具有良好的随机质量.
#   警告!在某些平台上,如果没有足够的熵可用,则/dev/random会阻塞.
#   这意味着您不能使用/dev/random设备,
#   因为它会导致非常长的连接时间(与
#   提供更多熵所需的时间一样长).但通常这些
#   平台还提供了一个不会阻塞的/dev/urandom设备.如果有,请使用此设备.请阅读mod_ssl用户
#   手册了解更多详细信息.
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
#SSLRandomSeed startup file:/dev/random  512
#SSLRandomSeed connect file:/dev/random  512
#SSLRandomSeed connect file:/dev/urandom 512

#
# 使用"SSLCryptoDevice"启用任何支持的硬件
# 加速器.使用 "openssl engine -v" 列出支持
# 的引擎名称.注意:如果启用加速器,但
# 服务器无法启动,请查阅错误日志并确保
# 您的加速器正常工作.
#
SSLCryptoDevice builtin
#SSLCryptoDevice ubsec

##
## SSL虚拟主机上下文
##

<VirtualHost _default_:443>

# 从全局配置继承的虚拟主机的常规设置


ServerName apache_server.killer.com:443
DocumentRoot "/www/html"

# 为SSL虚拟主机使用单独的日志文件;注意LogLevel
# 不会从httpd.conf继承.
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn

#   SSL引擎开关:
#   启用/禁用此虚拟主机的SSL.
SSLEngine on

#   SSL协议支持:
# 列出客户端将能够连接的启用的协议级别.
# 默认禁用SSLv2访问:
SSLProtocol all -SSLv2 -SSLv3

#   SSL加密套件:
#   列出客户端允许协商的加密套件.
#   有关完整列表,请参阅mod_ssl文档.
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA

#   优化速度的SSL加密套件配置:
#   如果速度是您的主要关注点(例如在繁忙的HTTPS服务器上),
#   您可能希望强制客户端使用特定的、性能优化的加密套件.在这种情况下,将这些加密套件
#   添加到SSLCipherSuite列表的前面,并启用SSLHonorCipherOrder.
#   注意:通过提前RC4-SHA和AES128-SHA(如下例中所示),
#   大多数连接将不再具有完全前向保密性--如果服务器的密钥被
#   破解,过去或未来的流量的捕获也必须被视为已被破解.
#SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
#SSLHonorCipherOrder on 

#   服务器证书:
# 将SSLCertificateFile指向一个PEM编码的证书.如果
# 证书被加密,则会提示您输入密码.
# 请注意,kill -HUP命令将再次提示.可以使用genkey(1)命令生成新证书.
SSLCertificateFile /etc/pki/tls/certs/apache_server.killer.com.crt

#   服务器私钥:
# 如果密钥没有与证书合并,请使用此指令指向密钥文件.
# 请记住,如果您同时拥有RSA和DSA私钥,
# 您可以并行配置两者(以允许使用DSA密码等).
SSLCertificateKeyFile /etc/pki/tls/private/apache_server.killer.com.key

#   服务器证书链:
# 将SSLCertificateChainFile指向一个包含PEM编码的CA证书
# 的连接的文件.或者,当CA证书直接附加到服务器
# 证书时,引用的文件可以与SSLCertificateFile相同.
#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

#   证书颁发机构(CA):
# 设置CA证书验证路径,以查找CA证书,用于客户端认证,
# 或者一个包含所有CA证书的巨大文件(文件必须为PEM编码).
#SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt

#   客户端认证(类型):
# 客户端证书验证类型和深度.类型为
# none、optional、require和optional_no_ca.深度是指在
# 在决定证书无效之前验证证书
# 颁发者链的级别.
#SSLVerifyClient require
#SSLVerifyDepth  10

#   访问控制:
# 使用SSLRequire可以基于任意复杂的布尔表达式
# 包含服务器变量检查和其他查找指令的目录访问控制.
# 语法是C和Perl的混合体.有关详