sclife

linux下如何删除老文件

hoifish_010@163.om(hotfish) — Wed,19 May 2010 16:59:06 +0800

http://www.linuxboy.net/wordpress/?p=110

唉, 要删除2006年的文件
ls -la|grep 2006|awk ‘{print $9}’|xargs rm -rf

2007年的文件
ls -la|grep 2007|awk ‘{print $9}’|xargs rm -rf

今年一月份的文件
ls -la|grep Jan|awk ‘{print $9}’|xargs rm -rf

利用了如下道理:

在Linux中，没有文件创建时间的概念。只有文件的访问时间、修改时间、状态改变时间。也就是说不能知道文件的创建时间。但如果文件创建后就没有修改过，修改时间=创建时间；如果文件创建后，状态就没有改变过，那么状态改变时间=创建时间；如果文件创建后，没有被读取过，那么访问时间=创建时间，这个基本不太可能。

与文件相关的几个时间：

1、访问时间，读一次这个文件的内容，这个时间就会更新。比如对这个文件使用more命令。ls、stat命令都不会修改文件的访问时间。

2、修改时间，对文件内容修改一次，这个时间就会更新。比如：vi后保存文件。ls -l列出的时间就是这个时间。

3、状态改变时间。通过chmod命令更改一次文件属性，这个时间就会更新。查看文件的详细的状态、准确的修改时间等，可以通过stat命令+文件名。

比如： [jing@zhjh c]$ stat temp.c

File: ‘temp.c’
Size: 66 Blocks: 8 IO Block: 4096 \u4e00\u822c\u6587\u4ef6
Device: 807h/2055d Inode: 1191481 Links: 1
Access: (0664/-rw-rw-r–) Uid: ( 500/ jing) Gid: ( 500/ jing)
Access: 2008-03-12 20:19:45.000000000 +0800
Modify: 2008-03-12 20:19:45.000000000 +0800
Change: 2008-03-12 20:19:45.000000000 +0800

说明：Access访问时间。Modify修改时间。Change状态改变时间。可以stat *查看这个目录所有文件的状态。

LVS基本概念及要诀(优化)

hoifish_010@163.om(hotfish) — Mon,17 May 2010 15:30:01 +0800

原文链接：http://bbs.linuxtone.org/thread-2056-1-1.html IT运维专家网--"自由平等，互助分享！"

作者：NetSeek http://www.linuxtone.org
一、基本术语:
Load Balancer(负载均衡器)：
Load Balancer是整个集群系统的前端，负责把客户请求转发到Real Server上。
Backup是备份Load Balancer，当Load Balancer不可用时接替它，成为实际的Load Balancer。
Load Balancer通过Ldirectord监测各Real Server的健康状况。在Real Server不可用时把它从群中剔除，恢复时重新加入。
Server Array(服务器群)：
Server Array是一组运行实际应用服务的机器，比如WEB, Mail, FTP, DNS, Media等等。在实际应用中，Load Balancer和Backup也可以兼任Real Server的角色。以下的测试就是一台服务器既担任了LVSserver,同时也是realserver节点.
Shared Storage(共享存储)：
Shared Storage为所有Real Server提供共享存储空间和一致的数据内容。
Director: 前端负载均衡器即运行LVS服务可以针对web、ftp、cache、mms甚至mysql等服务做load balances。
RealServer: 后端需要负载均衡的服务器，可以为各类系统，Linux、Solaris、Aix、BSD、Windows都可，甚至Director本身也可以作为 RealServer使用.
LVS( Linux Virtual Server),Linux下的负载均衡器，支持LVS-NAT、 LVS-DR、LVS-TUNL三种不同的方式，nat用的不是很多，主要用的是DR、TUNL方式。DR方式适合所有的RealServer同一网段下，即接在同一个交换机上.
TUNL方式就对于RealServer的位置可以任意了，完全可以跨地域、空间，只要系统支持Tunnel就可以,方便以后扩充的话直接Tunl方式即可

基础知识介绍：
1、LVS基础及介绍
LVS是Linux Virtual Server的简写，意即Linux虚拟服务器，是一个虚拟的服务器集群系统。本项目在1998年5月由章文嵩博士成立，是中国国内最早出现的自由软件项目之一。
目前有三种IP负载均衡技术（VS/NAT、VS/TUN和VS/DR）；十种调度算法（rrr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq）
【参考资料:】
1)官方中文参考资料: http://www.linuxvirtualserver.org/zh/index.html
[LVS项目介绍] [LVS集群的体系结构] [LVS集群中的IP负载均衡技术]
[LVS集群的负载调度]
2)LinuxTone 相关LVS技术档汇总: http://bbs.linuxtone.org/thread-1191-1-1.html

2、 LVS 三种IP负载均衡技术对比:
三种IP负载均衡技术的优缺点归纳在下表中：

	VS/NAT	VS/TUN	VS/DR
Server	any	Tunneling	Non-arp device
server network	private	LAN/WAN	LAN
server number	low (10~20)	High (100)	High (100)
server gateway	load balancer	own router	Own router

【注】以上三种方法所能支持最大服务器数目的估计是假设调度器使用100M网卡，调度器的硬件配置与后端服务器的硬件配置相同，而且是对一般Web服务。使用更高的硬件配置（如千兆网卡和更快的处理器）作为调度器，调度器所能调度的服务器数量会相应增加。当应用不同时，服务器的数目也会相应地改变。所以，以上数据估计主要是为三种方法的伸缩性进行量化比较。

3、LVS目前实现的几种调度算法
IPVS在内核中的负载均衡调度是以连接为粒度的。在HTTP协议（非持久）中，每个对象从WEB服务器上获取都需要建立一个TCP连接，同一用户的不同请求会被调度到不同的服务器上，所以这种细粒度的调度在一定程度上可以避免单个用户访问的突发性引起服务器间的负载不平衡。
在内核中的连接调度算法上，IPVS已实现了以下十种调度算法：
* 轮叫调度（Round-Robin Scheduling）
* 加权轮叫调度（Weighted Round-Robin Scheduling）
* 最小连接调度（Least-Connection Scheduling）
* 加权最小连接调度（Weighted Least-Connection Scheduling）
* 基于局部性的最少链接（Locality-Based Least Connections Scheduling）
* 带复制的基于局部性最少链接（Locality-Based Least Connections with Replication Scheduling）
* 目标地址散列调度（Destination Hashing Scheduling）
* 源地址散列调度（Source Hashing Scheduling）
* 最短预期延时调度（Shortest Expected Delay Scheduling）
* 不排队调度（Never Queue Scheduling）
对应: rr|wrr|lc|wlc|lblc|lblcr|dh|sh|sed|nq,

Ldirecotrd配置选项及ipvsadm使用参数.

ldirectord配置选项	ipvsadm使用的参数	ipvsadm -L的输出	LVS转发方法
gate	-g	Route	LVS-DR
ipip	-i	Tunnel	LVS-TUN
masq	-m	Masq	LVS-NAT

4、集群架构时我们应该采用什么样的调度算法?

在一般的网络服务（如HTTP和Mail Service等）调度中，我会使用加权最小连接调度wlc或者加权轮叫调度wrr算法。

基于局部性的最少链接LBLC和带复制的基于局部性最少链接LBLCR主要适用于Web Cache集群。

目标地址散列调度和源地址散列调度是用静态映射方法，可能主要适合防火墙调度。

最短预期延时调度SED和不排队调度NQ主要是对处理时间相对比较长的网络服务。

其实，它们的适用范围不限于这些。我想最好参考内核中的连接调度算法的实现原理，看看那种调度方法适合你的应用。

5、LVS的ARP问题
2.4.x kernels:
Hidden Patch
arptable
iptables

2.6.x kernels: （关闭arp查询响应请求）
net.ipv4.conf.eth0.arp_ignore = 1
net.ipv4.conf.eth0.arp_announce = 2
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
arping tools

二、基础知识及一些要点.
1、InActConn并不代表错误连接，它是指不活跃连接(Inactive Connections)，
我们将处于TCP ESTABLISH状态以外的连接都称为不活跃连接，例如处于SYN_RECV状态的连接，处于TIME_WAIT状态的连接等。

2、用四个参数来关闭arp查询响应请求：
echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

3、ipvsadm -L -n --stats
Prot LocalAddress:Port Conns InPkts OutPkts InBytes OutBytes
连接数输入包输出包输入流量输出流量

4、注意事项:
1）在LVS方案中，虚拟ip地址与普通网络接口大大不同，这点需要特别注意。
虚拟ip地址的广播地址是它本身，子网掩码是255.255.255.255。为什么要这样呢？因为有若干机器要使用同一个ip地址，
用本身做广播地址和把子网掩码设成4个255就不会造成ip地址冲突了,否则lvs将不能正常转发访问请求。

2）假如两台VS之间使用的互备关系，那么当一台VS接管LVS服务时，可能会网络不通，这时因为路由器的MAC缓存表里关于vip这个地址的MAC地址还是被替换的VS的MAC，有两种解决方法，一种是修改新VS的MAC地址，另一种是使用send_arp 命令（piranha软件包里带的一个小工具）格式如下：
send_arp:
send_arp [-i dev] src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr
这个命令不一定非要在VS上执行，只+要在同一VLAN即可。
/sbin/arping -f -q -c 5 -w 5 -I eth0 -s $WEB_VIP -U $GW

5.Virtual Server via Direct Routing（VS/DR）
VS/DR通过改写请求报文的MAC地址，将请求发送到真实服务器，而真实服务器将响应直接返回给客户。同VS/TUN技术一样，VS/DR技术可极大地提高集群系统的伸缩性。这种方法没有IP隧道的开销，对集群中的真实服务器也没有必须支持IP隧道协议的要求，但是要求调度器与真实服务器都有一块网卡连在同一物理网段上。

6. LVS 经验:
1). LVS调度的最小单位是“连接”。
2). 当apache的KeepAlive被设置成Off时，“连接”才能被较均衡的调度。
3). 在不指定-p参数时，LVS才真正以“连接”为单位按“权值”调度流量。
4). 在指定了-p参数时，则一个client在一定时间内，将会被调度到同一台RS。
5). 可以通过”ipvsadm –set tcp tcpfin udp”来调整TCP和UDP的超时，让连接淘汰得快一些。
6). 在NAT模式时，RS的PORT参数才有意义。
7). DR和TUN模式时，InActConn 是没有意义的(Thus the count in the InActConn column for LVS-DR, LVS-Tun is
inferred rather than real.)
/sbin/arping -f -q -c 5 -w 5 -I eth0 -s $WEB_VIP -U $GW

三、LVS 性能调优
Least services in System or Compile kernel.

Performace Tuning base LVS:
LVS self tuning( ipvsadm Timeout (tcp tcpfin udp)).
ipvsadm -Ln --timeout
Timeout (tcp tcpfin udp): 900 120 300
ipvsadm --set tcp tcpfin udp

Improving TCP/IP performance
net.ipv4.tcp_tw_recyle=1
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_max_syn_backlog=8192
net.ipv4.tcp_keepalive_time=1800
net.ipv4.tcp_fin_timeout=30
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.core.netdev_max_backlog=3000

sysctl.conf优化方案(完整)

hoifish_010@163.om(hotfish) — Mon,17 May 2010 11:51:19 +0800

http://blueicer.blog.51cto.com/395686/118394

sysctl.conf优化方案-----完整的
关于sysctl.conf的优化方案网上有各种版本方案，大多数都是抄来抄去的，让新人看了很迷茫。下现出一个完整的方案！
###################################################################################
所有rfc相关的选项都是默认启用的，因此网上的那些还自己写rfc支持的都可以扔掉了
###################################################################################
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
############################################################
通过源路由，攻击者可以尝试到达内部IP地址 --包括RFC1918中的地址，所以
不接受源路由信息包可以防止你的内部网络被探测。
################################################################
net.inet.tcp.drop_synfin=1
##################################################################
安全参数，编译内核的时候加了options TCP_Drop_SYNFIN才可以用，可以阻止某些OS探测。
#################################################################
kern.maxvnodes=8446
#########################################################
vnode 是对文件或目录的一种内部表达。因此，增加可以被操作系统利用的 vnode 数量将降低磁盘的 I/O。
一般而言，这是由操作系统自行完成的，也不需要加以修改。但在某些时候磁盘 I/O 会成为瓶颈，
而系统的 vnode 不足，则这一配置应被增加。此时需要考虑是非活跃和空闲内存的数量。
要查看当前在用的 vnode 数量：
# sysctl vfs.numvnodes
vfs.numvnodes: 91349
要查看最大可用的 vnode 数量：
# sysctl kern.maxvnodes
kern.maxvnodes: 100000
如果当前的 vnode 用量接近最大值，则将 kern.maxvnodes 值增大 1,000 可能是个好主意。
您应继续查看 vfs.numvnodes 的数值，如果它再次攀升到接近最大值的程度，
仍需继续提高 kern.maxvnodes。在 top(1) 中显示的内存用量应有显著变化，
更多内存会处于活跃 (active) 状态。
###################################################################

kern.maxproc: 964
#########################################################
Maximum number of processes
###################################################################
kern.maxprocperuid: 867
#########################################################
Maximum processes allowed per userid
###################################################################
因为我的maxusers设置的是256，20+16*maxusers＝4116。
maxprocperuid至少要比maxproc少1，因为init(8) 这个系统程序绝对要保持在运作状态。
我给它设置的2068。

kern.maxfiles: 1928
#########################################################
系统中支持最多同时开启的文件数量，如果你在运行数据库或大的很吃描述符的进程，那么应该设置在20000以上，
比如kde这样的桌面环境，它同时要用的文件非常多。
一般推荐设置为32768或者65536。
####################################
kern.argmax: 262144
#########################################################
maximum number of bytes (or characters) in an argument list.
命令行下最多支持的参数，比如你在用find命令来批量删除一些文件的时候
find . -name "*.old" -delete，如果文件数超过了这个数字，那么会提示你数字太多的。
可以利用find . -name "*.old" -ok rm {} \;来删除。
默认的参数已经足够多了，因此不建议再做修改。
###################################################################
kern.securelevel: -1
#########################################################
-1：这是系统默认级别，没有提供任何内核的保护错误；
0：基本上作用不多，当你的系统刚启动就是0级别的，当进入多用户模式的时候就自动变成1级了。
1：在这个级别上，有如下几个限制：
　　a. 不能通过kldload或者kldunload加载或者卸载可加载内核模块；
　　b. 应用程序不能通过/dev/mem或者/dev/kmem直接写内存；
　　c. 不能直接往已经装在(mounted)的磁盘写东西，也就是不能格式化磁盘，但是可以通过标准的内核接口执行写操作；
　　d. 不能启动X-windows，同时不能使用chflags来修改文件属性；
2：在 1 级别的基础上还不能写没装载的磁盘，而且不能在1秒之内制造多次警告，这个是防止DoS控制台的；
3：在 2 级别的级别上不允许修改IPFW防火墙的规则。
　　如果你已经装了防火墙，并且把规则设好了，不轻易改动，那么建议使用3级别，如果你没有装防火墙，而且还准备装防火墙的话，不建议使用。
我们这里推荐使用 2 级别，能够避免比较多对内核攻击。
###################################################################
kern.maxfilesperproc: 1735
#########################################################
每个进程能够同时打开的最大文件数量，网上很多资料写的是32768
除非用异步I/O或大量线程，打开这么多的文件恐怕是不太正常的。
我个人建议不做修改，保留默认。
###################################################################

kern.ipc.maxsockbuf: 262144
#########################################################
最大的套接字缓冲区，网上有建议设置为2097152（2M）、8388608（8M）的。
我个人倒是建议不做修改，保持默认的256K即可，缓冲区大了可能造成碎片、阻塞或者丢包。
####################################

kern.ipc.somaxconn: 128
#########################################################
最大的等待连接完成的套接字队列大小，即并发连接数。
高负载服务器和受到Dos攻击的系统也许会因为这个队列被塞满而不能提供正常服务。
默认为128，推荐在1024-4096之间，根据机器和实际情况需要改动，数字越大占用内存也越大。
####################################

kern.ipc.nmbclusters: 4800
#########################################################
这个值用来调整系统在开机后所要分配给网络 mbufs 的 cluster 数量，
由于每个 cluster 大小为 2K，所以当这个值为 1024 时，也是会用到 2MB 的核心内存空间。
假设我们的网页同时约有 1000 个联机，而 TCP 传送及接收的暂存区大小都是 16K，
则最糟的情况下，我们会需要 (16K+16K) * 1024，也就是 32MB 的空间，
然而所需的 mbufs 大概是这个空间的二倍，也就是 64MB，所以所需的 cluster 数量为 64MB/2K，也就是 32768。
对于内存有限的机器，建议值是 1024 到 4096 之间，而当拥有海量存储器空间时，我们可以将它设定为 4096 到 32768 之间。
我们可以使用 netstat 这个指令并加上参数 -m 来查看目前所使用的 mbufs 数量。
要修改这个值必须在一开机就修改，所以只能在 /boot/loader.conf 中加入修改的设定
kern.ipc.nmbclusters=32768
###################################################################

kern.ipc.shmmax: 33554432
########################################################################################
共享内存和信号灯("System VIPC")如果这些过小的话，有些大型的软件将无法启动
安装xine和mplayer提示的设置为67108864，即64M，
如果内存多的话，可以设置为134217728，即128M
###################################################################

kern.ipc.shmall: 8192
#########################################################
共享内存和信号灯("System VIPC")如果这些过小的话，有些大型的软件将无法启动
安装xine和mplayer提示的设置为32768
###################################################################
kern.ipc.shm_use_phys: 0
########################################################################################
如果我们将它设成 1，则所有 System V 共享内存 (share memory，一种程序间沟通的方式)部份都会被留在实体的内存 (physical memory) 中，
而不会被放到硬盘上的 swap 空间。我们知道物理内存的存取速度比硬盘快许多，而当物理内存空间不足时，
部份数据会被放到虚拟的内存上，从物理内存和虚拟内存之间移转的动作就叫作 swap。如果时常做 swap 的动作，
则需要一直对硬盘作 I/O，速度会很慢。因此，如果我们有大量的程序 (数百个) 需要共同分享一个小的共享内存空间，
或者是共享内存空间很大时，我们可以将这个值打开。
这一项，我个人建议不做修改，除非你的内存非常大。
###################################################################

kern.ipc.shm_allow_removed: 0
########################################################################################
共享内存是否允许移除？这项似乎是在fb下装vmware需要设置为1的，否则会有加载SVGA出错的提示
作为服务器，这项不动也罢。
###################################################################

接上
kern.ipc.numopensockets: 12
########################################################################################
已经开启的socket数目，可以在最繁忙的时候看看它是多少，然后就可以知道maxsockets应该设置成多少了。
####################################
kern.ipc.maxsockets: 1928
########################################################################################
这是用来设定系统最大可以开启的 socket 数目。如果您的服务器会提供大量的 FTP 服务，
而且常快速的传输一些小档案，您也许会发现常传输到一半就中断。因为 FTP 在传输档案时，
每一个档案都必须开启一个 socket 来传输，但关闭 socket 需要一段时间，如果传输速度很快，
而档案又多，则同一时间所开启的 socket 会超过原本系统所许可的值，这时我们就必须把这个值调大一点。
除了 FTP 外，也许有其它网络程序也会有这种问题。
然而，这个值必须在系统一开机就设定好，所以如果要修改这项设定，我们必须修改 /boot/loader.conf 才行
kern.ipc.maxsockets="16424"
###################################################################
kern.ipc.nsfbufs: 1456
########################################################################################
经常使用 sendfile(2) 系统调用的繁忙的服务器，
有必要通过 NSFBUFS 内核选项或者在 /boot/loader.conf (查看 loader(8) 以获得更多细节) 中设置它的值来调节 sendfile(2) 缓存数量。
这个参数需要调节的普通原因是在进程中看到 sfbufa 状态。sysctl kern.ipc.nsfbufs 变量在内核配置变量中是只读的。
这个参数是由 kern.maxusers 决定的，然而它可能有必要因此而调整。
在/boot/loader.conf里加入
kern.ipc.nsfbufs="2496"
###################################################################

kern.maxusers: 59
########################################################################################
maxusers 的值决定了处理程序所容许的最大值，20+16*maxusers 就是你将得到的所容许处理程序。
系统一开机就必须要有 18 个处理程序 (process)，即便是简单的执行指令 man 又会产生 9 个 process，
所以将这个值设为 64 应该是一个合理的数目。
如果你的系统会出现 proc table full 的讯息的话，可以就把它设大一点，例如 128。
除非您的系统会需要同时开启很多档案，否则请不要设定超过 256。
可以在 /boot/loader.conf 中加入该选项的设定，
kern.maxusers=256
####################################
kern.coredump: 1
########################################################################################
如果设置为0，则程序异常退出时不会生成core文件，作为服务器，不建议这样。
####################################
kern.corefile: %N.core
########################################################################################
可设置为kern.corefile="/data/coredump/%U-%P-%N.core"
其中 %U是UID，%P是进程ID，%N是进程名，当然/data/coredump必须是一个实际存在的目录
####################################

vm.swap_idle_enabled: 0
vm.swap_idle_threshold1: 2
vm.swap_idle_threshold2: 10
#########################
在有很多用户进入、离开系统和有很多空闲进程的大的多用户系统中很有用。
可以让进程更快地进入内存，但它会吃掉更多的交换和磁盘带宽。
系统默认的页面调度算法已经很好了，最好不要更改。
########################

vfs.ufs.dirhash_maxmem: 2097152
#########################
默认的dirhash最大内存,默认2M
增加它有助于改善单目录超过100K个文件时的反复读目录时的性能
建议修改为33554432（32M）
############################################################

vfs.vmiodirenable: 1
################################################
这个变量控制目录是否被系统缓存。大多数目录是小的，在系统中只使用单个片断(典型的是1K)并且在缓存中使用的更小 (典型的是512字节)。
当这个变量设置为关闭 (0) 时，缓存器仅仅缓存固定数量的目录，即使您有很大的内存。
而将其开启 (设置为1) 时，则允许缓存器用 VM 页面缓存来缓存这些目录，让所有可用内存来缓存目录。
不利的是最小的用来缓存目录的核心内存是大于 512 字节的物理页面大小(通常是 4k)。
我们建议如果您在运行任何操作大量文件的程序时保持这个选项打开的默认值。
这些服务包括 web 缓存，大容量邮件系统和新闻系统。
尽管可能会浪费一些内存，但打开这个选项通常不会降低性能。但还是应该检验一下。
##################################################################################

vfs.hirunningspace: 1048576
###########################################################
这个值决定了系统可以将多少数据放在写入储存设备的等候区。通常使用默认值即可，
但当我们有多颗硬盘时，我们可以将它调大为 4MB 或 5MB。
注意这个设置成很高的值(超过缓存器的写极限)会导致坏的性能。
不要盲目的把它设置太高！高的数值会导致同时发生的读操作的迟延。
############################################################

vfs.write_behind: 1
########################################################
这个选项预设为 1，也就是打开的状态。在打开时，在系统需要写入数据在硬盘或其它储存设备上时，
它会等到收集了一个 cluster 单位的数据后再一次写入，否则会在一个暂存区空间有写入需求时就立即写到硬盘上。
这个选项打开时，对于一个大的连续的文件写入速度非常有帮助。但如果您遇到有很多行程延滞在等待写入动作时，您可能必须关闭这个功能。
###########################################################
net.local.stream.sendspace: 8192
#################################################################
本地套接字连接的数据发送空间
建议设置为65536
##################################################################
net.local.stream.recvspace: 8192
#################################################################
本地套接字连接的数据接收空间
建议设置为65536
##################################################################

net.inet.ip.portrange.lowfirst: 1023
net.inet.ip.portrange.lowlast: 600
net.inet.ip.portrange.first: 49152
net.inet.ip.portrange.last: 65535
net.inet.ip.portrange.hifirst: 49152
net.inet.ip.portrange.hilast: 65535
##################################################
以上六项是用来控制TCP及UDP所使用的port范围，这个范围被分成三个部份，低范围、预设范围、及高范围。
这些是你的服务器主动发起连接时的临时端口的范围，预设的已经1万多了，一般的应用就足够了。
如果是比较忙碌的FTP server，一般也不会同时提供给1万多人访问的，
当然如果很不幸，你的服务器就要提供很多，那么可以修改first的值，比如直接用1024开始
########################################################

net.inet.ip.redirect: 1
########################################################
设置为0，屏蔽ip重定向功能
##########################################################
net.inet.ip.rtexpire: 3600
net.inet.ip.rtminexpire: 10
#######################################################
很多apache产生的CLOSE_WAIT状态，这种状态是等待客户端关闭，但是客户端那边并没有正常的关闭，于是留下很多这样的东东。
建议都修改为2
########################################################

net.inet.ip.intr_queue_maxlen: 50
#######################################################
Maximum size of the IP input queue，如果下面的net.inet.ip.intr_queue_drops一直在增加，
那就说明你的队列空间不足了，那么可以考虑增加该值。
##########################
net.inet.ip.intr_queue_drops: 0
####################
Number of packets dropped from the IP input queue,如果你sysctl它一直在增加，
那么增加net.inet.ip.intr_queue_maxlen的值。
#######################

net.inet.ip.fastforwarding: 0
#############################
如果打开的话每个目标地址一次转发成功以后它的数据都将被记录进路由表和arp数据表，节约路由的计算时间
但会需要大量的内核内存空间来保存路由表。
如果内存够大，打开吧，呵呵
#############################

net.inet.ip.random_id: 0
#####################
默认情况下，ip包的id号是连续的，而这些可能会被攻击者利用，比如可以知道你nat后面带了多少主机。
如果设置成1，则这个id号是随机的，嘿嘿。
#####################
net.inet.icmp.maskrepl: 0
############################
防止广播风暴，关闭其他广播探测的响应。默认即是，无须修改。
###############################

net.inet.icmp.icmplim: 200
##############################
限制系统发送ICMP速率，改为100吧，或者保留也可，并不会给系统带来太大的压力。
###########################
net.inet.icmp.icmplim_output: 1
###################################
如果设置成0，就不会看到提示说Limiting icmp unreach response from 214 to 200 packets per second 等等了
不过禁止输出容易让我们忽视攻击的存在。这个自己看着办吧。
######################################
net.inet.icmp.drop_redirect: 0
net.inet.icmp.log_redirect: 0
###################################
设置为1，屏蔽ICMP重定向功能
###################################
net.inet.icmp.bmcastecho: 0
############################
防止广播风暴，关闭广播ECHO响应，默认即是，无须修改。
###############################

net.inet.tcp.mssdflt: 512
net.inet.tcp.minmss: 216
###############################
数据包数据段最小值，以上两个选项最好不动！或者只修改mssdflt为1460，minmss不动。
#############################

net.inet.tcp.keepidle: 7200000
######################
TCP的套接字的空闲时间，默认时间太长，可以改为600000（10分钟）。
##########################
net.inet.tcp.sendspace: 32768
##########################
最大的待发送TCP数据缓冲区空间，应用程序将数据放到这里就认为发送成功了，系统TCP堆栈保证数据的正常发送。
####################################
net.inet.tcp.recvspace: 65536
###################################
最大的接受TCP缓冲区空间，系统从这里将数据分发给不同的套接字，增大该空间可提高系统瞬间接受数据的能力以提高性能。
###################################
这二个选项分别控制了网络 TCP 联机所使用的传送及接收暂存区的大小。预设的传送暂存区为 32K，而接收暂存区为 64K。
如果需要加速 TCP 的传输，可以将这二个值调大一点，但缺点是太大的值会造成系统核心占用太多的内存。
如果我们的机器会同时服务数百或数千个网络联机，那么这二个选项最好维持默认值，否则会造成系统核心内存不足。
但如果我们使用的是 gigabite 的网络，将这二个值调大会有明显效能的提升。
传送及接收的暂存区大小可以分开调整，
例如，假设我们的系统主要做为网页服务器，我们可以将接收的暂存区调小一点，并将传送的暂存区调大，如此一来，我们就可以避免占去太多的核心内存空间。
net.inet.udp.maxdgram: 9216
#########################
最大的发送UDP数据缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，
如果要调整，可以试试24576。
##############################
net.inet.udp.recvspace: 42080
##################
最大的接受UDP缓冲区大小，网上的资料大多都是65536，我个人认为没多大必要，
如果要调整，可以试试49152。
#######################
以上四项配置通常不会导致问题，一般说来网络流量是不对称的，因此应该根据实际情况调整，并观察其效果。
如果我们将传送或接收的暂存区设为大于 65535，除非服务器本身及客户端所使用的操作系统都支持 TCP 协议的 windows scaling extension (请参考 RFC 1323 文件)。
FreeBSD默认已支持 rfs1323 (即 sysctl 的 net.inet.tcp.rfc1323 选项)。
###################################################

net.inet.tcp.log_in_vain: 0
##################
记录下任何TCP连接，这个一般情况下不应该更改。
####################
net.inet.tcp.blackhole: 0
##################################
建议设置为2，接收到一个已经关闭的端口发来的所有包，直接drop，如果设置为1则是只针对TCP包
#####################################
net.inet.tcp.delayed_ack: 1
###########################
当一台计算机发起TCP连接请求时，系统会回应ACK应答数据包。
该选项设置是否延迟ACK应答数据包，把它和包含数据的数据包一起发送。
在高速网络和低负载的情况下会略微提高性能，但在网络连接较差的时候，
对方计算机得不到应答会持续发起连接请求，反而会让网络更加拥堵，降低性能。
因此这个值我建议您看情况而定，如果您的网速不是问题，可以将封包数量减少一半
如果网络不是特别好，那么就设置为0，有请求就先回应，这样其实浪费的网通、电信的带宽速率而不是你的处理时间
############################

net.inet.tcp.inflight.enable: 1
net.inet.tcp.inflight.debug: 0
net.inet.tcp.inflight.rttthresh: 10
net.inet.tcp.inflight.min: 6144
net.inet.tcp.inflight.max: 1073725440
net.inet.tcp.inflight.stab: 20
###########################
限制 TCP 带宽延迟积和 NetBSD 的 TCP/Vegas 类似。
它可以通过将 sysctl 变量 net.inet.tcp.inflight.enable 设置成 1 来启用。
系统将尝试计算每一个连接的带宽延迟积，并将排队的数据量限制在恰好能保持最优吞吐量的水平上。
这一特性在您的服务器同时向使用普通调制解调器，千兆以太网，乃至更高速度的光与网络连接 (或其他带宽延迟积很大的连接) 的时候尤为重要，
特别是当您同时使用滑动窗缩放，或使用了大的发送窗口的时候。
如果启用了这个选项，您还应该把 net.inet.tcp.inflight.debug 设置为 0 (禁用调试)，
对于生产环境而言，将 net.inet.tcp.inflight.min 设置成至少 6144 会很有好处。
然而，需要注意的是，这个值设置过大事实上相当于禁用了连接带宽延迟积限制功能。
这个限制特性减少了在路由和交换包队列的堵塞数据数量，也减少了在本地主机接口队列阻塞的数据的数量。
在少数的等候队列中、交互式连接，尤其是通过慢速的调制解调器，也能用低的往返时间操作。
但是，注意这只影响到数据发送 (上载/服务端)。对数据接收(下载)没有效果。
调整 net.inet.tcp.inflight.stab 是不推荐的。
这个参数的默认值是 20，表示把 2 个最大包加入到带宽延迟积窗口的计算中。
额外的窗口似的算法更为稳定，并改善对于多变网络环境的相应能力，
但也会导致慢速连接下的 ping 时间增长 (尽管还是会比没有使用 inflight 算法低许多)。
对于这些情形，您可能会希望把这个参数减少到 15， 10，或 5；
并可能因此而不得不减少 net.inet.tcp.inflight.min (比如说， 3500) 来得到希望的效果。
减少这些参数的值，只应作为最后不得已时的手段来使用。
############################
net.inet.tcp.syncookies: 1
#########################
SYN cookies是一种用于通过选择加密的初始化TCP序列号，可以对回应的包做验证来降低SYN'洪水'攻击的影响的技术。
默认即是，不需修改
########################

net.inet.tcp.msl: 30000
#######################
这个值网上很多文章都推荐的7500，
还可以改的更小一些(如2000或2500)，这样可以加快不正常连接的释放过程(三次握手2秒、FIN_WAIT4秒)。
#########################
net.inet.tcp.always_keepalive: 1
###########################
帮助系统清除没有正常断开的TCP连接，这增加了一些网络带宽的使用，但是一些死掉的连接最终能被识别并清除。
死的TCP连接是被拨号用户存取的系统的一个特别的问题，因为用户经常断开modem而不正确的关闭活动的连接。
#############################
net.inet.udp.checksum: 1
#########################
防止不正确的udp包的攻击，默认即是，不需修改
##############################
net.inet.udp.log_in_vain: 0
#######################
记录下任何UDP连接,这个一般情况下不应该修改。
#######################
net.inet.udp.blackhole: 0
####################
建议设置为1，接收到一个已经关闭的端口发来的所有UDP包直接drop
#######################

net.inet.raw.maxdgram: 8192
#########################
Maximum outgoing raw IP datagram size
很多文章建议设置为65536，好像没多大必要。
######################################
net.inet.raw.recvspace: 8192
######################
Maximum incoming raw IP datagram size
很多文章建议设置为65536，好像没多大必要。
#######################
net.link.ether.inet.max_age: 1200
####################
调整ARP清理的时间，通过向IP路由缓冲填充伪造的ARP条目可以让恶意用户产生资源耗竭和性能减低攻击。
这项似乎大家都未做改动，我建议不动或者稍微减少，比如300（HP-UX默认的5分钟）
#######################
net.inet6.ip6.redirect: 1
###############################
设置为0，屏蔽ipv6重定向功能
###########################

net.isr.direct: 0
#########################################################
所有MPSAFE的网络ISR对包做立即响应,提高网卡性能，设置为1。
####################################

hw.ata.wc: 1
#####################
这个选项用来打开 IDE 硬盘快取。当打开时，如果有数据要写入硬盘时，硬盘会假装已完成写入，并将数据快取起来。
这种作法会加速硬盘的存取速度，但当系统异常关机时，比较容易造成数据遗失。
不过由于关闭这个功能所带来的速度差异实在太大，建议还是保留原本打开的状态吧，不做修改。
###################

security.bsd.see_other_uids: 1
security.bsd.see_other_gids: 1
#####################
不允许用户看到其他用户的进程,因此应该改成0，

linux并发连接上百万的配置

hoifish_010@163.om(hotfish) — Mon,17 May 2010 11:45:16 +0800

原文链接：http://bbs.linuxtone.org/thread-1516-1-1.html IT运维专家网--"自由平等，互助分享！" linux并发连接上百万的配置
从七猫的藏经阁作者：Diviner
To support over 500k users, you *need*

- A 64 bits hardware/kernel (AMD64, Opterons)
- At least 8GB of ram
- A recent linux kernel (2.6.x)

About tuning, I prefer to not fully disclose them because servers are targets of many attacks, so it's better not help hackers.

The most touchy thing is the IP route cache : You have to tune it or else the machine drops many connections

(hint : rhash_entries=... in the boot append string)
hints :
echo 1 > /proc/sys/net/ipv4/route/gc_interval
echo 150 >/proc/sys/net/ipv4/route/gc_timeout
echo 2 >/proc/sys/net/ipv4/route/gc_elasticity

- Use of hugeTLB pages
hint :
echo xxx >/proc/sys/vm/nr_hugepages

Tune tcp :
echo "4096 49152 131072" >/proc/sys/net/ipv4/tcp_wmem
echo xxxx >/proc/sys/net/ipv4/tcp_max_syn_backlog
echo xxxx >/proc/sys/net/core/somaxconn
echo 1200000 > /proc/sys/net/ipv4/tcp_max_tw_buckets
echo 7 >/proc/sys/net/ipv4/tcp_retries2
echo "600000 650000 700000" >/proc/sys/net/ipv4/tcp_mem
echo 0 >/proc/sys/net/ipv4/tcp_timestamps
echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
echo 0 >/proc/sys/net/ipv4/tcp_sack
echo 330000 >/proc/sys/net/ipv4/tcp_max_orphans
echo "10000 62000" >/proc/sys/net/ipv4/ip_local_port_range

others :
echo 1300000 >/proc/sys/fs/file-max

Apache的Order Allow,Deny 详解

hoifish_010@163.om(hotfish) — Mon,17 May 2010 10:47:37 +0800

FROM:http://hi.baidu.com/stpehenfeng/blog/item/4fdb823387cc49ff1b4cff2f.html

Allow和Deny可以用于apache的conf文件或者.htaccess文件中（配合Directory, Location, Files等），用来控制目录和文件的访问授权。
所以，最常用的是：
order Deny,Allow
Allow from All

注意“Deny,Allow”中间只有一个逗号，也只能有一个逗号，有空格都会出错；单词的大小写不限。上面设定的含义是先设定“先检查禁止设定，没有禁止的全部允许”，而第二句没有Deny，也就是没有禁止访问的设定，直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置，开放所有内容的访问权。

按照上面的解释，下面的设定是无条件禁止访问：
order Allow,Deny
Deny from All

如果要禁止部分内容的访问，其他的全部开放：
order Deny,Allow
Deny from ip1 ip2
或者
order Allow,Deny
Allow from all
Deny from ip1 ip2

apache会按照order决定最后使用哪一条规则，比如上面的第二种方式，虽然第二句allow允许了访问，但由于在order中allow不是最后规则，因此还需要看有没有deny规则，于是到了第三句，符合ip1和ip2的访问就被禁止了。注意，order决定的“最后”规则非常重要，下面是两个错误的例子和改正方式：

order Deny,Allow
Allow from all
Deny from domain.org
错误：想禁止来自domain.org的访问，但是deny不是最后规则，apache在处理到第二句allow的时候就已经匹配成功，根本就不会去看第三句。
解决方法：Order Allow,Deny，后面两句不动，即可。

order Allow,Deny
Allow from ip1
Deny from all
错误：想只允许来自ip1的访问，但是，虽然第二句中设定了allow规则，由于order中deny在后，所以会以第三句deny为准，而第三句的范围中又明显包含了ip1（all include ip1），所以所有的访问都被禁止了。
解决方法一：直接去掉第三句。
解决方法二：
order Deny,Allow
Deny from all
Allow from ip1

下面是测试过的例子：
--------------------------------
order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行
-------------------------------
order deny,allow
deny from 219.204.253.8
allow from all
#全部都可以通行
-------------------------------
order allow,deny
deny from 219.204.253.8
allow from all
#只有219.204.253.8不能通行
-------------------------------
order allow,deny
allow from all
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
-------------------------------
order allow,deny
deny from all
allow from 219.204.253.8
#全部都不能通行
-------------------------------
order allow,deny
allow from 219.204.253.8
deny from all
#全部都不能通行
-------------------------------
order deny,allow
allow from 219.204.253.8
deny from all
#只允许219.204.253.8通行
-------------------------------
order deny,allow
deny from all
allow from 219.204.253.8
#只允许219.204.253.8通行
-------------------------------
--------------------------------
order deny,allow
#全部都可以通行（默认的）
-------------------------------
order allow,deny
#全部都不能通行（默认的）
-------------------------------
order allow,deny
deny from all
#全部都不能通行
-------------------------------
order deny,allow
deny from all
#全部都不能通行
-------------------------------
对于上面两种情况，如果换成allow from all，则全部都可以通行！
-------------------------------
order deny,allow
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
order allow,deny
deny from 219.204.253.8
#全部都不能通行
-------------------------------
order allow,deny
allow from 219.204.253.8
#只允许219.204.253.8通行
-------------------------------
order deny,allow
allow from 219.204.253.8
#全部都可以通行
-------------------------------
-------------------------------
order deny,allow
allow from 218.20.253.2
deny from 218.20
#代表拒绝218.20开头的IP，但允许218.20.253.2通过；而其它非218.20开头的IP也都允许通过。
-------------------------------
order allow,deny
allow from 218.20.253.2
deny from 218.20
#和上面的差不多，只是掉换的order语句中的allow、deny先后顺序，但最终结果表示全部都拒绝！

form:http://hi.baidu.com/enjoypain/blog/item/f48c7aecdba298d12f2e21ac.html

前段时间做了个Apache的HTTP代理服务器，其中的order allow，deny这部分弄的不太懂，于是上网找资料看，谁知道越看越糊涂，其中有些难以分辨对错甚至是误导。就像破解windows系统密码的一些文章那样，很多都是人云亦云的，并没有经过测试。废话少说，先把我经过测试后分析总结出来的结论show出来，相信这对大家的理解非常有帮助。

总则——

影响最终判断结果的只有两点：

1.       order语句中allow、deny的先后顺序；

2.       allow、deny语句中各自包含的范围。

温馨提醒——

1.       修改完配置后要保存好并重启Apache服务，配置才能生效；

2.       开头字母不分大小写；

3.       allow、deny语句不分先后顺序，谁先谁后不影响最终判断结果；但都会被判断到；

4.       order语句中，“allow,deny”之间“有且只有”一个逗号（英文格式的），而且先后顺序很重要；

5.       Apache有一条缺省规则，“order allow,deny”本身就默认了拒绝所有的意思，因为deny在allow的后面；同理，“order deny,allow”本身默认的是允许所有；当然，最终判断结果还要综合下面的allow、deny语句中各自所包含的范围；（也就是说order语句后面可以没有allow、deny语句）

6.       allow、deny语句中，第二个单词一定是“from”，否则Apache会因错而无法启动，

7.       “order allow,deny”代表先判断allow语句再判断deny语句，反之亦然。

上面说的都是要记住的，而下面说的是我独创的理解方法。如果有人看了而没有豁然开朗的感觉，那算是我的失败！

判断原则分4步走——

1.       首先判断默认的；

2.       然后判断逗号前的；

3.       最后判断逗号后的；

4.       最终按顺序叠加而得出判断结果。

上面三点我说的简单而形象，主要是为了便于记忆。暂时不理解不要紧，继续看下面详细的解说自然会明白。下面以一个普通例子来做解释——

order deny,allow

allow from 218.20.253.2

deny from 218.20

1.       所谓“首先判断默认的”，就是判断“order deny,allow”这句，它默认是允许所有；

2.       所谓“然后判断逗号前的”，因为在本例子中的order语句里面，deny在逗号的前面，所以现在轮到判断下面的deny语句了——“deny from 218.20”；

3.       所谓“最后判断逗号后的”，因为在本例子中的order语句里面，allow在逗号的后面，所以最后轮到判断下面的allow语句了——“allow from 218.20.253.2”。

4.       所谓“最终按顺序叠加而得出判断结果”，这是一个形象化了的说法，我把每一步判断都看作一个“不透明的图层”，然后一步步按顺序叠加上去，最终得出的“图像”就是判断结果。

用过作图软件的人应该都知道“图层”是怎么回事，我估计Apache关于order allow deny这方面的设计理念和photoshop等作图软件关于图层的设计理念是一样的。即“游戏规则”是一样的。

那么上面的例子就可以是这么一个步骤和图像——

1.       先画一个白色的大圆，代表“order deny,allow”语句，默认意思是允许所有；

2.       然后画一个小一点的黑色圆，代表“deny from 218.20”语句，意思是拒绝所有以218.20开头的IP，放进白色的大圆里面；

3.       最后再画一个白色的圆，代表“allow from 218.20.253.2”语句，意思是允许218.20.253.2通过，放在黑色圆的上面。

4.       到此为止，我们已经可以看到一个结果了，白色大圆上面有一个黑色圆，黑色圆上面还有一个白色圆。最后，我们所能看到的黑色部分就是拒绝通行的，剩下的白色部分都是允许通行的。判断的结果就是这么简单形象！

如果不懂的用作图软件，我们再来个非常贴近生活的比喻——

把上面的例子改动一点点，以便更好的理解：

order deny,allow

allow from 218.20.253.2

deny from 219.30

1.       首先拿一张A4白纸，代表第order语句，意思是允许全部；

2.       然后拿一张黑色纸剪一个圆，放在A4纸里面的某个位置上，代表deny语句，意思是拒绝所有以219.30开头的IP；

3.       最后拿白纸再剪一个圆，放在黑色圆的旁边，代表allow语句，意思是允许218.20.253.2通过；注意，这个例子不是放进黑色圆里面了，因为deny和allow语句不再有相互包含的关系了。

4.       A4纸上面有一个黑色圆和一个白色圆，结果自然很明显了。不过白色的A4纸上再放一个白色的圆，显然是多余的了，因为大家都是白色的，都代表允许，所以就重复了，可以去掉白色的圆而不会影响判断结果。

如果看到这里还没明白，那一定是我还有什么没说清楚的。那么请好好分析我所做过的测试例子，将在最后列出来。

在这里再啰嗦一下，allow、deny语句后面跟的参数有多种形式，有不同的表达方式，我在网上看到的做法是deny from IP1 IP2 IP3或allow from domain.com等。其它的表达方式大家再找别的资料看吧。我想说的是另一种表达方式：

order deny,allow

allow from IP1 IP2

allow from domain.info

allow from 219.20.55.0/24

deny from all

我没具体验证过这是否对，不过这样是可以正常启动Apache服务的，按道理应该是正确的表达方式。哈哈，像我这样的入门者只能这样了，还希望大家多多指教！

下面是测试过的例子：
--------------------------------
order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行
-------------------------------
order deny,allow
deny from 219.204.253.8
allow from all
#全部都可以通行
-------------------------------
order allow,deny
deny from 219.204.253.8
allow from all
#只有219.204.253.8不能通行
-------------------------------
order allow,deny
allow from all
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
-------------------------------
order allow,deny
deny from all
allow from 219.204.253.8
#全部都不能通行
-------------------------------
order allow,deny
allow from 219.204.253.8
deny from all
#全部都不能通行
-------------------------------
order deny,allow
allow from 219.204.253.8
deny from all
#只允许219.204.253.8通行
-------------------------------
order deny,allow
deny from all
allow from 219.204.253.8
#只允许219.204.253.8通行
-------------------------------
--------------------------------
order deny,allow
#全部都可以通行（默认的）
-------------------------------
order allow,deny
#全部都不能通行（默认的）
-------------------------------
order allow,deny
deny from all
#全部都不能通行
-------------------------------
order deny,allow
deny from all
#全部都不能通行
-------------------------------
对于上面两种情况，如果换成allow from all，则全部都可以通行！
-------------------------------
order deny,allow
deny from 219.204.253.8
#只有219.204.253.8不能通行
-------------------------------
order allow,deny
deny from 219.204.253.8
#全部都不能通行
-------------------------------
order allow,deny
allow from 219.204.253.8
#只允许219.204.253.8通行
-------------------------------
order deny,allow
allow from 219.204.253.8
#全部都可以通行
-------------------------------
-------------------------------
order deny,allow
allow from 218.20.253.2
deny from 218.20
#代表拒绝218.20开头的IP，但允许218.20.253.2通过；而其它非218.20开头的IP也都允许通过。
-------------------------------
order allow,deny
allow from 218.20.253.2
deny from 218.20
#和上面的差不多，只是掉换的order语句中的allow、deny先后顺序，但最终结果表示全部都拒绝！

LAMP 安全设置

hoifish_010@163.om(hotfish) — Mon,17 May 2010 09:35:46 +0800

lamp安全加固
本文来自: IT运维专家网(LinuxTone.Org) 作者: kindle 日期: 前天 16:12 阅读: 103 人打印收藏
lamp, 加固
原文链接：http://bbs.linuxtone.org/thread-6253-1-1.html IT运维专家网--"自由平等，互助分享！" 本帖最后由 kindle 于 2010-5-15 23:46 编辑

新人报道第一贴，发个以前自己总结的文章首先参考
Securing_&_Hardening_Linux_v1.0
L.A.M.P环境配置文档更新
CentOS下Apache 2.x的安装、优化及安全设置
做完配置，接下来开始入正题
apache方面:
1.修改banner
编译源代码，修改默认的banner
ServerTokens ProductOnly
ServerSignature Off
在apache的源码包中找到ap_release.h将
#define AP_SERVER_BASEPRODUCT “Apache”
修改为
#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/6.0”
os/unix下的os.h文件
#define PLATFORM “Unix”
修改为
#define PLATFORM “Win32“
2.修改默认的http状态响应码404,503等默认页面
3.Apache的访问权限控制
htpasswd -b -c /(存放密码文件路径)/.htpasswd username password
Alias /hack “/var/www/html/hack/”

authname “test”
authtype basic
authuserfile /var/www/html/hack/.htpasswd
require user kindle

4.关闭危险指令
清除FollowSymlinks指令
关闭索引目录
Options Indexes FollowSymLinks
关闭CGI执行程序
5.open_basedir 限制目录
用法:php_admin_value open_basedir /var/www
php_admin_value open_basedir 引起的上传文件失败解决方法
将上传文件的临时目录加入到php_admin_value open_basedir后面，最后看起来是这样的：

php_admin_value open_basedir “/usr/local/apache/htdocs/www/:/tmp/”

注意：两个目录之间是冒号隔开。
把PHP脚本操作限制在web目录可以避免程序员使用copy函数把系统文件拷贝到web目录。move_uploaded_file不受open_basedir的限制，所以不必修改php.ini里upload_tmp_dir的值。
6.掌握Apache的Order Allow Deny判断原则
1. 首先判断默认的；
2. 然后判断逗号前的；
3. 最后判断逗号后的；
4. 最终按顺序叠加而得出判断结果。
ex:
apache的php扩展名解析漏洞

order Allow,Deny
Deny from all

apache设置上传目录无执行权限

order allow,deny
Deny from all

7.mod_rewrite重写URL
重写规则的作用范围
1．使用在Apache主配置文件httpd.conf中。
2．使用在httpd.conf里定义的配置中。
3．使用在基本目录的跨越配置文件.htaccess中。
1.url重定向80到443端口
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/?(.*)$ https://www.kindle.com/$1 [L,R]
含义是这样的：为了让用户访问传统的http://转到https://上来，用了一下rewrite规则:
第一句：启动rewrite引擎
第二句：rewrite的条件是访问的服务器端口不是443端口
第三句：这是正则表达式，^是开头，$是结束，/?表示有没有/都可以（0或1个），(.*)是任何数量的任意字符
整句的意思是讲：启动rewrite模块，将所有访问非443端口的请求，url地址内容不变，将http://变成https://
9.Speling模块去除url大小写
确认speling模块存在并已加载
启动speling

CheckSpelling .
AllowOverride None
order allow,deny
Allow from all

8. Limit模块限制IP连接数
下载模块 http://dominia.org/djao/limit/mod_limitipconn-0.04.tar.gz
安装:
tar zxvf mod_limitipconn-0.04.tar.gz
cd mod_limitipconn-0.04
make APXS=/usr/local/apache/bin/apxs   ß—–这里要按你自己的路径设置
make install APXS=/usr/local/apache/bin/apxs ß—–这里要按你自己的路径设置
编辑httpd.conf
添加
全局变量:
< IfModule mod_limitipconn.c >
< Location / >    # 所有虚拟主机的/目录
MaxConnPerIP 3      # 每IP只允许3个并发连接
NoIPLimit image/*   # 对图片不做IP限制
< /Location >
< Location /mp3 >   # 所有主机的/mp3目录
MaxConnPerIP 1          # 每IP只允许一个连接请求
OnlyIPLimit audio/mpeg video     # 该限制只对视频和音频格式的文件
< /Location >
< /IfModule >
9.让apache支持安全HTTPS协议
yum -y install mod_ssl
cd /etc/httpd/conf     进入HTTP服务器配置文件所在目录
rm -rf ssl.*/server.*   删除默认或残留的服务器证书相关文件
rpm -qa |grep openssl
openssl genrsa -out www.kindle.com.key 1024 建立服务器密钥
openssl req -new –key www.kindle.com.key -out www.kindle.com.csr 建立服务器公钥
openssl x509 -req -days 365 -in www.kindle.com.csr -signkey www.kindle.com.key -out www.kindle.com.crt   建立服务器证书
/etc/rc.d/init.d/httpd restart  重启服务
netstat -ntpl |grep 443
可以到http://www.startssl.com获取合法证书(免费)
10.安装配置mod_security
下载：http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz
http://fedoranews.org/jorge/mod_security/mod_security.conf
安装：下载到/opt/soft目录下。
# tar –zxvf modsecurity-1.8.7.tar.gz
# cd modsecurity-1.8.7
#cd apache2
# /opt/apache/bin/ apxs -cia mod_security.c
#copy mod_security.conf /opt/apache/conf
配置：
在/opt/apache/conf/httpd.conf中添加下面一行：
Include conf/mod_security.conf
/opt/apache/bin/apachectl stop
/opt/apache/bin/apachectl startssl
更详细的mod_security的配置
http://www.modsecurity.org/docum ... ultipage/index.html
Php方面:
1.打开php的安全模式
php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd但是默认的php.ini是没有打开安全模式的，我们把它打开：safe_mode = on
当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置为：safe_mode_gid = off
如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。
2.安全模式下执行程序主目录
如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录:safe_mode_exec_dir = D:/usr/bin
一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：safe_mode_exec_dir = D:/tmp/cmd
但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：
safe_mode_exec_dir = D:/usr/www
3.安全模式下包含文件
如果要在安全模式下包含某些公共文件，那么就修改一下选项：
safe_mode_include_dir = D:/usr/www/include/
其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。
4.控制php脚本能访问的目录
使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问.不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：
open_basedir = /var/www/html
5.关闭危险函数
如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作
disable_functions = phpinfo,exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。
注:disable_classes可以禁用某些类，如果有多个用逗号分隔类名
6.关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：
expose_php = Off
比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。
7.关闭注册全局变量
在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，那么就要用$_GET['var']来进行获取，这个php程序员要注意。
8.打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：
magic_quotes_gpc = Off
这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 \’等，这对防止sql注射有重大作用。所以我们推荐设置为：
magic_quotes_gpc = On
9.错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：
display_errors = Off
如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：
error_reporting = E_WARNING & E_ERROR
当然，我还是建议关闭错误提示。
10.错误日志
建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：
log_errors = On
同时也要设置错误日志存放的目录，建议根apache的日志存在一起：
error_log = D:/usr/local/apache2/logs/php_error.log
注意：给文件必须允许apache用户的和组具有写的权限。
11.关闭远程文件打开
allow_url_fopen = off
防止黑客远程远程包含漏洞
12.Php.ini包含补丁文件
在php.ini中引用。在配置文件内引用的话，将影响到所以的网站，包含所有页面
在php.ini中，找到此节：
; Automatically add files before or after any PHP document.
;auto_prepend_file = “phpids.php”
;auto_append_file = “alert.php”
默认是空，请添加所包含的文件。同时找到：
; UNIX: “/path1:/path2″
;include_path = “.:/php/includes”
;
; Windows: “\path1;\path2″
include_path = “.;F:\PHPnow\htdocs”13.使用Suhosin保护PHP应用系统，具体参考http://www.hardened-php.net/suhosin/configuration.html
mysql方面:
1.修改root用户口令，删除空口令
缺省安装的MySQL的root用户是空密码的，为了安全起见，必须修改为强密码，所谓的强密码，至少8位，由字母、数字和符号组成的不规律密码。使用MySQL自带的命令mysaladmin修改root密码，同时也可以登陆数据库，修改数据库mysql下的user表的字段内容，修改方法如下所示：
# /usr/local/mysql/bin/mysqladmin -u root password “upassword” //使用mysqladmin
#mysql> use mysql;
#mysql> update user set password=password(‘upassword’) where user=’root’;
#mysql> flush privileges; //强制刷新内存授权表，否则用的还是在内存缓冲的口令
2.删除默认数据库和数据库用户
一般情况下，MySQL数据库安装在本地，并且也只需要本地的php脚本对mysql进行读取，所以很多用户不需要，尤其是默认安装的用户。MySQL初始化后会自动生成空用户和test库，进行安装的测试，这会对数据库的安全构成威胁，有必要全部删除，最后的状态只保留单个root即可，当然以后根据需要增加用户和数据库。
#mysql> show databases;
#mysql> drop database test; //删除数据库test
#use mysql;
#delete from db; //删除存放数据库的表信息，因为还没有数据库信息。
#mysql> delete from user where not (user=’root’) ; // 删除初始非root的用户
#mysql> delete from user where user=’root’ and password=”; //删除空密码的root，尽量重复操作
Query OK, 2 rows affected (0.00 sec)
#mysql> flush privileges; //强制刷新内存授权表。
3.改变默认mysql管理员帐号
4.关于密码的管理
密码是数据库安全管理的一个很重要因素，不要将纯文本密码保存到数据库中。如果你的计算机有安全危险，入侵者可以获得所有的密码并使用它们。相反，应使用MD5()、SHA1()或单向哈希函数。也不要从词典中选择密码，有专门的程序可以破解它们，请选用至少八位，由字母、数字和符号组成的强密码。在存取密码时，使用mysql的内置函数password（）的sql语句，对密码进行加密后存储。例如以下方式在users表中加入新用户。
#mysql> insert into users values (1,password(1234),’test’);
5.使用独立用户运行msyql
绝对不要作为使用root用户运行MySQL服务器。这样做非常危险，因为任何具有FILE权限的用户能够用root创建文件(例如，~root/.bashrc)。mysqld拒绝使用root运行，除非使用–user=root选项明显指定。应该用普通非特权用户运行mysqld。正如前面的安装过程一样，为数据库建立独立的linux中的mysql账户，该账户用来只用于管理和运行MySQL。
要想用其它Unix用户启动mysqld，，增加user选项指定/etc/my.cnf选项文件或服务器数据目录的my.cnf选项文件中的[mysqld]组的用户名。
#vi /etc/my.cnf
[mysqld]
user=mysql
该命令使服务器用指定的用户来启动，无论你手动启动或通过mysqld_safe或mysql.server启动，都能确保使用mysql的身份。也可以在启动数据库是，加上user参数。
# /usr/local/mysql/bin/mysqld_safe –user=mysql &
作为其它linux用户而不用root运行mysqld，你不需要更改user表中的root用户名，因为MySQL账户的用户名与linux账户的用户名无关。确保mysqld运行时，只使用对数据库目录具有读或写权限的linux用户来运行。
6.禁止远程连接数据库
在命令行netstat -ant下看到，默认的3306端口是打开的，此时打开了mysqld的网络监听，允许用户远程通过帐号密码连接数本地据库，默认情况是允许远程连接数据的。为了禁止该功能，启动skip-networking，不监听sql的任何TCP/IP的连接，切断远程访问的权利，保证安全性。假如需要远程管理数据库，可通过安装PhpMyadmin来实现。假如确实需要远程连接数据库，至少修改默认的监听端口，同时添加防火墙规则，只允许可信任的网络的mysql监听端口的数据通过。
# vi /etc/my.cf
将#skip-networking注释去掉。
# /usr/local/mysql/bin/mysqladmin -u root -p shutdown //停止数据库
#/usr/local/mysql/bin/mysqld_safe –user=mysql & //后台用mysql用户启动mysql
7.限制连接用户的数量
数据库的某用户多次远程连接，会导致性能的下降和影响其他用户的操作，有必要对其进行限制。可以通过限制单个账户允许的连接数量来实现，设置my.cnf文件的mysqld中的max_user_connections变量来完成。GRANT语句也可以支持资源控制选项来限制服务器对一个账户允许的使用范围。
#vi /etc/my.cnf
[mysqld]
max_user_connections 2
8.用户目录权限限制
默认的mysql是安装在/usr/local/mysql，而对应的数据库文件在/usr/local/mysql/var目录下，因此，必须保证该目录不能让未经授权的用户访问后把数据库打包拷贝走了，所以要限制对该目录的访问。确保mysqld运行时，只使用对数据库目录具有读或写权限的linux用户来运行。
# chown -R root  /usr/local/mysql/  //mysql主目录给root
# chown -R mysql.mysql /usr/local/mysql/var //确保数据库目录权限所属mysql用户
9.命令历史记录保护
数据库相关的shell操作命令都会分别记录在.bash_history，如果这些文件不慎被读取，会导致数据库密码和数据库结构等信息泄露，而登陆数据库后的操作将记录在.mysql_history文件中，如果使用update表信息来修改数据库用户密码的话，也会被读取密码，因此需要删除这两个文件，同时在进行登陆或备份数据库等与密码相关操作时，应该使用-p参数加入提示输入密码后，隐式输入密码，建议将以上文件置空。
# rm .bash_history .mysql_history  //删除历史记录
# ln -s /dev/null .bash_history   //将shell记录文件置空
# ln -s /dev/null .mysql_history  //将mysql记录文件置空
10.禁止MySQL对本地文件存取
在mysql中，提供对本地文件的读取，使用的是load data local infile命令，默认在5.0版本中，该选项是默认打开的，该操作令会利用MySQL把本地文件读到数据库中，然后用户就可以非法获取敏感信息了，假如你不需要读取本地文件，请务必关闭。应该禁止MySQL中用“LOAD DATA LOCAL INFILE”命令。网络上流传的一些攻击方法中就有用它LOAD DATA LOCAL INFILE的，同时它也是很多新发现的SQL Injection攻击利用的手段！黑客还能通过使用LOAD DATALOCAL INFILE装载“/etc/passwd”进一个数据库表，然后能用Select显示它，这个操作对服务器的安全来说，是致命的。可以在my.cnf中添加local-infile=0，或者加参数local-infile=0启动mysql。
#/usr/local/mysql/bin/mysqld_safe –user=mysql –local-infile=0 &
#mysql> load data local infile ’sqlfile.txt’ into table users fields terminated by ‘,’;
#ERROR 1148 (42000): The used command is not allowed with this MySQL version
–local-infile=0选项启动mysqld从服务器端禁用所有LOAD DATA LOCAL命令，假如需要获取本地文件，需要打开，但是建议关闭。
11.MySQL服务器权限控制
MySQL权限系统的主要功能是证实连接到一台给定主机的用户，并且赋予该用户在数据库上的Select、Insert、Update和Delete等权限（详见user超级用户表）。它的附加的功能包括有匿名的用户并对于MySQL特定的功能例如LOAD DATA INFILE进行授权及管理操作的能力。
管理员可以对user，db，host等表进行配置，来控制用户的访问权限，而user表权限是超级用户权限。只把user表的权限授予超级用户如服务器或数据库主管是明智的。对其他用户，你应该把在user表中的权限设成’N'并且仅在特定数据库的基础上授权。你可以为特定的数据库、表或列授权，FILE权限给予你用LOAD DATA INFILE和Select … INTO OUTFILE语句读和写服务器上的文件，任何被授予FILE权限的用户都能读或写MySQL服务器能读或写的任何文件。(说明用户可以读任何数据库目录下的文件，因为服务器可以访问这些文件）。 FILE权限允许用户在MySQL服务器具有写权限的目录下创建新文件，但不能覆盖已有文件在user表的File_priv设置Y或N。，所以当你不需要对服务器文件读取时，请关闭该权限。
#mysql> load data infile ’sqlfile.txt’ into table loadfile.users fields terminated by ‘,’;
Query OK, 4 rows affected (0.00 sec) //读取本地信息sqlfile.txt’
Records: 4  Deleted: 0  Skipped: 0  Warnings: 0
#mysql> update user set File_priv=’N’ where user=’root’; //禁止读取权限
Query OK, 1 row affected (0.00 sec)
Rows matched: 1  Changed: 1  Warnings: 0
mysql> flush privileges; //刷新授权表
Query OK, 0 rows affected (0.00 sec)
#mysql> load data infile ’sqlfile.txt’ into table users fields terminated by ‘,’; //重登陆读取文件
#ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES) //失败
# mysql> select * from loadfile.users into outfile ‘test.txt’ fields terminated by ‘,’;
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
为了安全起见，随时使用SHOW GRANTS语句检查查看谁已经访问了什么。然后使用REVOKE语句删除不再需要的权限。
12.使用chroot方式来控制MySQL的运行目录
Chroot是linux中的一种系统高级保护手段，它的建立会将其与主系统几乎完全隔离，也就是说，一旦遭到什么问题，也不会危及到正在运行的主系统。这是一个非常有效的办法，特别是在配置网络服务程序的时候。
13.关闭对无关的Web程序访问的支持
如果不打算让Web访问使用MySQL数据库，没有提供诸如PHP这样的Web语言的时候，重新设置或编译你的PHP，取消它们对MySQL的默认支持。假如服务器中使用php等web程序，试试用Web形式非法的请求，如果得到任何形式的MySQL错误，立即分析原因，及时修改Web程序，堵住漏洞，防止MySQL暴露在web面前。
对于Web的安全检查，在MySQL官方文档中这么建议，对于web应用，至少检查以下清单：
试试用Web形式输入单引号和双引号(‘’’和‘”’)。如果得到任何形式的MySQL错误，立即分析原因。
试试修改动态URL，可以在其中添加%22(‘”’)、%23(‘#’)和%27(‘’’)。
试试在动态URL中修改数据类型，使用前面示例中的字符，包括数字和字符类型。你的应用程序应足够安全，可以防范此类修改和类似攻击。
试试输入字符、空格和特殊符号，不要输入数值字段的数字。你的应用程序应在将它们传递到MySQL之前将它们删除或生成错误。将未经过检查的值传递给MySQL是很危险的！
将数据传给MySQL之前先检查其大小。
用管理账户之外的用户名将应用程序连接到数据库。不要给应用程序任何不需要的访问权限。
14.数据库备份策略
使用 mysqldump进行备份非常简单，如果要备份数据库” nagios_db_backup ”，使用命令，同时使用管道gzip命令对备份文件进行压缩，建议使用异地备份的形式，可以采用Rsync等方式，将备份服务器的目录挂载到数据库服务器，将数据库文件备份打包在，通过crontab定时备份数据：
#!/bin/sh
time=`date +”(“%F”)”%R`
$/usr/local/mysql/bin/mysqldump -u nagios -pnagios nagios | gzip >/home/sszheng/nfs58/nagiosbackup/nagios_backup.$time.gz
# crontab -l
# m h  dom mon dow   command
00 00 * * * /home/sszheng/shnagios/backup.sh
恢复数据使用命令：
gzip -d nagios_backup.$2008-01-24$00\:00.gz
nagios_backup.(2008-01-24)00:00
#mysql –u root -p nagios       <  /home/sszheng/nfs58/nagiosbackup/nagios_backup.$2008-01-24$12\:00
15. Mysqld安全相关启动选项
–local-infile[={0|1}]
如果用–local-infile=0启动服务器，则客户端不能使用LOCAL in LOAD DATA语句。
–old-passwords
强制服务器为新密码生成短(pre-4.1)密码哈希。当服务器必须支持旧版本客户端程序时，为了保证兼容性这很有用。
(OBSOLETE) –safe-show-database
在以前版本的MySQL中，该选项使SHOW DATABASES语句只显示用户具有部分权限的数据库名。在MySQL 5.1中，该选项不再作为现在的默认行为使用，有一个SHOW DATABASES权限可以用来控制每个账户对数据库名的访问。
–safe-user-create
如果启用，用户不能用GRANT语句创建新用户，除非用户有mysql.user表的Insert权限。如果你想让用户具有授权权限来创建新用户，你应给用户授予下面的权限：
mysql> GRANT Insert(user) ON mysql.user TO ‘user_name’@'host_name’;
这样确保用户不能直接更改权限列，必须使用GRANT语句给其它用户授予该权限。
–secure-auth
不允许鉴定有旧(pre-4.1)密码的账户。
16.information_schema 安全
在用户角度来看，INFORMATION_SCHEMA只是一个以插件方式存在的存储引擎，编译安装的时候
–disable-information-schema 就行了
added TRIGGER_ACL check for I_S.TRIGGERS
http://bugs.mysql.com/bug.php?id=38837
http://bugs.mysql.com/bug.php?id=27629
Phpmyadmin里隐藏方法
$cfg['servers'][$i]['hide_db'] = ‘information_schema’;
再用vsftpd结合pam_mysql基本上一个web服务器大致就完工了
Iptables方面:
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -P INTPUT Drop
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -update -seconds 60 -hitcount 30 -j REJECT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -set -j ACCEPT
iptables -P OUTPUT Drop
iptables  -A OUTPUT -p tcp –sport 80 -j ACCEPT
iptables  -A OUTPUT -p tcp –sport 21 -j ACCEPT
iptables  -A OUTPUT -p tcp –sport 22 -j ACCEPT
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -update -seconds 60 -hitcount 30 -j REJECT
iptables -A INPUT -p tcp -dport 80 -m recent -name BAD_HTTP_ACCESS -set -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
如果您还不放心的话，最后用各类安全扫描工具扫描下服务器是否存在其他漏洞

Apache mod_cache

hoifish_010@163.om(hotfish) — Thu,13 May 2010 10:38:07 +0800

Apache 的缓存方式有两种，一种是基于硬盘文件的缓存，由 mod_disk_cache 实现，另一种是使用内存缓存，由 mod_mem_cache 实现，不过它们都是依赖 mod_cache 模块的，mod_cache 模块提供了一些缓存配置的指令供它们使用，而 mod_file_cache 模块是搭配 mod_mem_cache 模块使用的，下面分别进行介绍。

1、基于硬盘文件的缓存
基于硬盘文件存储的缓存由 mod_disk_cache 模块实现，先看个简单的配置例子：

    CacheDefaultExpire 86400

    CacheEnable disk /
    CacheRoot /tmp/apacheCache
    CacheDirLevels 5
    CacheDirLength 4
    CacheMaxFileSize 1048576
    CacheMinFileSize 10


把上面的配置加到 Apache 的 httpd.conf 文件中，如果缓存相关的模块都已经编译进了 Apache 的核心，则无需加载模块，直接就能使用上面的指令。指令的详细说明如下：

CacheDefaultExpire：设定缓存过期的时间（秒），默认是1小时，只有当缓存的文档没有设置过期时间或最后修改时间时这个指令才会生效
CacheEnable：启用缓存，第1个参数是缓存类弄，这里当然是 disk了，第2个参数是缓存路径，指的是 url 路径，这里是缓存所有的东西，直接写上“/”即可，如“/docs”则只缓存 /docs 下的所有文件
CacheRoot：缓存文件所在的目录，运行 Apache 的用户（如daemon 或 nobody）要能对其进行读写，如果不清楚的话可以直接设置成 777，请手动建立该目录并设置好访问权限
CacheDirLevels：缓存目录的深度，默认是3，这里设置为5
CacheDirLength：缓存目录名的字符长度，默认是4，这里设置为5
CacheMaxFileSize 和 CacheMaxFileSize：缓存文件的最大值和最小值（byte），当超过这个范围时将不再缓存，这里设置为 1M 和 10bytes
基于硬盘文件存储的文件基本上就这些内容，设置好后重启 Apache 应该就能使用了。一切正常的话，可以在缓存目录下看到 Apache 自动建立的一些目录和缓存的数据文件。

2、基于内存的缓存
基于内存的缓存主要由 mod_mem_cache 模块实现，还是看个简单的配置吧，这样比较直观:-)


       CacheEnable mem /
       MCacheMaxObjectCount 20000
       MCacheMaxObjectSize 1048576
       MCacheMaxStreamingBuffer 65536
       MCacheMinObjectSize 10
       MCacheRemovalAlgorithm GDSF
       MCacheSize 131072


简单说一下上面一些指令的意思：

CacheEnable：启用缓存，使用基于内存的方式存储
MCacheMaxObjectCount：在内存中最多能存储缓存对象的个数，默认是1009，这里设置为20000
MCacheMaxObjectSize：单个缓存对象最大为 1M，默认是10000bytes
MCacheMaxStreamingBuffer：在缓冲区最多能够放置多少的将要被缓存对象的尺寸，这里设置为 65536，该值通常小于100000或 MCacheMaxObjectSize 设置的值
MCacheMinObjectSize：单个缓存对象最小为10bytes，默认为1bytes
MCacheRemovalAlgorithm：清除缓存所使用的算法，默认是 GDSF，还有一个是LRU，可以查一下 Apache 的官方文档，上面有些介绍
MCacheSize：缓存数据最多能使用的内存，单位是 kb，默认是100kb，这里设置为128M
保存重启 Apache 基于内存的缓存系统应该就能生效了，根据需要可以使基于内存的存储或硬盘文件的存储方式一起使用，只要指明不同的URL路径即可。

3、注意事项
使用缓存需要注意如下事项：

要使用缓存，必须使用指令 CacheEnable 启用它，目前可用的缓存类型为 disk 或 mem，禁止缓存可以使用 CacheDisable，如 CacheDisable /private
待缓存的 URL 返回的状态值必须为： 200、203、300、301 或 410
URL 的请求方式必须是 GET 方式
发送请求时，头部中包含 “Authorization: ”的字符串时，返回的内容将不会被缓存
URL 包含查询字符串，如问号?后的那些东西，除非返回的内容包含“Expires:”，否则不会被缓存
如果返回的状态值是 200，则返回的头部信息必须包含以下的一种才会被缓存：Etag、Last-Modified、Expires，除非设置了指令 CacheIgnoreNoLastMod On
如果返回内容的头部信息“Cache-Control:”中包含“private”，除非设置了指令 CacheStorePrivate On，否则不会被缓存
如果返回内容的头部信息“Cache-Control:”中包含“no-sotre”，除非设置了指令 CacheStoreNoStore On，否则不会被缓存
如果返回内容的头部信息“Vary:”中包含了“*”，不会被缓存

4、其它一些指令的介绍
如果你的网站有几个文件的访问非常频繁而又不经常变动，则可以在 Apache 启动的时候就把它们的内容缓存到内存中（当然要启用内存缓存系统），使用的是 mod_file_cache 模块，具体如下：
有多个文件可以用空格格开
MMapFile /var/www/html/index.html /var/www/html/articles/index.html
上面是缓存文件的内容到内存中，除此之外，还可以只缓存文件的打开句柄到内存中，当有请求进来的时候，Apache 直接从内存中获取文件的句柄，返回内容，和 MMapFile 指令很像，具体如下：
CacheFile /var/www/html/index.html /var/www/html/articles/index.html
上面两个指令所缓存的文件如果有修改的话，必须重启 Apache 或使用 graceful 之类的方式强制使 Apache 更新缓存数据，否则当用户访问的时候获取的不是最新的数据。

有时候需要根据某些特殊的头部信息来决定是否进行缓存，则可以使用如下指令：
当头部信息中包含 Set-Cookie 时则跳过不进行缓存操作
CacheIgnoreHeaders Set-Cookie
有时候需要缓存的时候跳过 URL 中的查询字符串？使用如下指令：
CacheIgnoreQueryString On

Apache 的缓存系统不仅可以缓存服务器本身的文件，也可以缓存通过代理得到的内容，对了，Apache 可以像 Squid 一样做代理，而且做的还不错，下篇文章就介绍一下 Apache 的代理功能吧。善用 Apache 的缓存功能，可以让你的网站速度提升不少。做为一个网站来说，虽然可用的各种缓存方案很多，但在 Web 服务器层做缓存的效率还是很值得一试的。

apache编译安装的时候没有启用cache功能，默认情况下，apache安装完以后，是不允许被cache的。访问量大增，需要cache功能，重新编译：

[-]#/usr/local/apache2/bin/apxs -cia mod_cache.c cache_util.c cache_cache.c cache_storage.c cache_pqueue.c cache_hash.c

和mod_disk_cache.c

mod_mem_cache.c

会在/usr/local/apache2/modules下自动生成mod_cache.so,mod_disk_cache.so和mod_mem_cache.so

httpd.conf配置以及详解如下

LoadModule cache_module modules/mod_cache.so

LoadModule disk_cache_module modules/mod_disk_cache.so

LoadModule mem_cache_module modules/mod_mem_cache.so

CacheForceCompletion 100

CacheDefaultEXPire 3600

CacheMaxExpire 86400

CacheLastModifiedFactor 0.1

CacheEnable disk /

CacheRoot “/var/cache/mod_proxy”

CacheSize 327680

CacheDirLength 4

CacheDirLevels 5

CacheGcInterval 4

CacheEnable mem /

MCacheSize 8192

MCacheMaxObjectCount 10000

MCacheMinObjectSize 1

MCacheMaxObjectSize 51200

####################################################

参考数据

mod_cache：

CacheEnable: 启动 mod_cache，其后接两个参数。第一个参数指定快取的种类，应设为 mem (内存快取) 或 disk (磁盘高速缓存) 之其一；第二个参数指定使用快取的 URI 路径，如果对整个网XP (或虚拟主机) 进行快取，简单指定为根目录(/) 即可。

CacheForceCompletion: 这个值指定当 HTTP request 被取消时，内容的产生动作要完成的百分比；预设是 60(%)。

CacheDefaultExpire: 指定快取的预设过期秒数；默认值是一小时 (3600)。

CacheMaxExpire: 指定快取最大的过期秒数；默认值是一天 (86400)。

CacheLastModifiedFactor: 用来从响应里 Last Modified 信息算出 expir date。计算方式是：expire period (过期时距) = 最后更新后至今的时间间距 *CacheLastModifiedFactor而expire date = 目前时间 + expire period不过无论如何，过期时间不能超过 CacheMaxExpire 的设定值。

mod_disk_cache：

CacheRoot: 指定磁盘高速缓存所使用的目录。

CacheSize: 以 KByte 为单位指定快取使用的磁盘空间大小。

CacheDirLength: 指定各目录 (的键值) 存在于快取阶层 (hierarchy) 中所使用的字符数。

CacheDirLevels: 指定快取的目录层数； CacheDirLength 与此 CacheDirLevels设定值相乘不能超过 20。

CacheGcInterval: 指定收垃圾 (Garbage Collection) 的动作间隔时间；单位是小时。不过根据 Apache2 文件，这个指令还没有被实作。

mod_mem_cache：

MCacheSize: 以 KByte 为单位指定快取使用的内存空间大小。

MCacheMaxObjectCount: 指定快取对象数目的最大值；默认值是 1009。

MCacheMaxObjectSize: 指定最大可快取对象的大小，单位是 Byte；默认值是10000 (Bytes)。

MCacheMinObjectSize: 指定最小可快取对象的大小，单位是 Byte；默认值是 0 (Bytes)。

配apache mod_cache 后 httpd -k start

apache出现以下信息：

Cannot load /usr/local/apache/modules/mod_cache.so into server: /usr/local/apache/modules/mod_cache.so: undefined symbol: cache_generate_key_default

正规解决方案:

modules/cache下面有很多的.c文件，大致用途如：
mod_cache.c 编译得到mod_cache.so 主要用来控制整个apache的cache功能。
mod_file_cache.c,mod_mem_cache.c,mod_disk_cache.c这个三个文件编译后得到各自的cache支持模块。

mod_cache.c还需要其他的程序来进行工作，包括cache_*.c这些文件。因此apxs动态加载一个模块的时候，需要把这些文件和mod_cache.c 一起编译：/usr/local/apache2/bin/apxs -cia mod_cache.c cache_util.c cache_cache.c cache_storage.c cache_pqueue.c cache_hash.c

本帖最后由 netbox 于 2010-5-13 22:55 编辑

补充：apache官方已经将mod_mem_cache从apache最新的文档的模块列表时清除掉了，根据apache社区的一些讨论，可能是mod_mem_cache的实现机制导致它在apache多进程模式下共享内存缓存的开销比较大。官方推荐使用mod_disk_cache来取代的mod_mem_cache.
LoadModule cache_module       modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
CacheRoot /cache
CacheEnable disk /
CacheDirLevels 5
CacheDirLength 3
CacheMaxExpire 3600
CacheIgnoreHeaders Set-Cookie

apache2.2的优化及模块安装

hoifish_010@163.om(hotfish) — Thu,13 May 2010 09:54:51 +0800

http://blog.chinaunix.net/u/29960/showart_1409188.html

apache2.2的优化及模块安装2008-04-18 22:53一、安装

# 解压缩
tar jxvf httpd-2.2.2.tar.bz2
cd httpd-2.2.0

# vi server/mpm/worker/worker.c
找到下面几行，并改成如下的数值，其目的是在源码中修改apache可支持的最大线程数和最大客户端数目。
# define DEFAULT_SERVER_LIMIT 256
# define MAX_SERVER_LIMIT 40000
# define DEFAULT_THREAD_LIMIT 256
# define MAX_THREAD_LIMIT 40000

# 编译和安装 apr 1.2
cd srclib/apr
./configure –prefix=/home/liuchao/local/apr
make
make install

# 编译和安装 apr-util 1.2
cd ../apr-util
./configure –prefix=/home/local/apr-util –with-apr=/home/local/apr
make
make install

优化编译选项及配置apache可加载的模块
patch -p1 < ../mod_limitipconn-0.22/apachesrc.diff
/usr/local/apache2.2.3/bin/apxs -c -i -a mod_limitipconn.c
/usr/local/apache2.2/bin/apxs -c -i -a mod_evasive20.c

更改2Glogs
export CFLAGS=”-O2 -D_FILE_OFFSET_BITS=64 -D_LARGEFILE_SOURCE -D_LARGEFILE64_SOURCE”
然后编译cronolog即可
CHOST=”i686-pc-linux-gnu”
CFLAGS=”-march=pentium4 -O3 -pipe -fomit-frame-pointer”
CXXFLAGS=”-march=pentium4 -O3 -pipe -fomit-frame-pointer”

./configure –prefix=/usr/local/apache2.2.3 –enable-mods-shared=all –enable-so –with-mpm=worker –enable-deflate –enable-cache –enable-disk-cache –enable-mem-cache –enable-file-cache –enable-proxy –enable-rewrite –enable-charset-lite –enable-suexec –with-suexec-bin=/usr/sbin/suexec –disable-ipv6 -disable-dav –with-apr=/usr/local/apr –with-apr-util=/usr/local/apr-util

# 编译及安装
gmake && make install

二、优化apache配置选项

在主配置文件httpd.conf注释下一行，这样做的目的是把apache的功能配置分成小文件，便于修改和移植
Include conf/Includes/*.conf

修改MPM（多道处理器）参数
# cd /usr/local/apache2.2
# vi conf/extra/httpd-mpm.conf
找到如下选项，并改成对应的数值

          ServerLimit           64
          ThreadLimit          128
          StartServers           8
          MaxClients          8192
          MinSpareThreads       64
          MaxSpareThreads       256
          ThreadsPerChild       128
          MaxRequestsPerChild    0

      ServerLimit              64
      ThreadLimit              64
      StartServers              8
      MaxClients             4096
      MinSpareThreads          64
      MaxSpareThreads         256
      ThreadsPerChild          64
      MaxRequestsPerChild     500

测试过的配置：
         ServerLimit          32
         ThreadLimit          64
         StartServers          8
         MaxClients         2048
         MinSpareThreads      64
         MaxSpareThreads      256
         ThreadsPerChild       64
         MaxRequestsPerChild   0

修改apache2.2子进程所有者
# vi /usr/local/apache2.2/conf/httpd.conf
把daemon改为nobody
User nobody
Group nobody

一般说来，可以不需要的模块包括：
#LoadModule env_module libexec/mod_env.so
#LoadModule negotiation_module libexec/mod_negotiation.so
#LoadModule status_module libexec/mod_status.so
#server side include已经过时了
#LoadModule includes_module libexec/mod_include.so
#不需要将没有缺省index文件的目录下所有文件列出
#LoadModule autoindex_module libexec/mod_autoindex.so
#尽量不使用CGI：一直是Apache安全问题最多的地方
#LoadModule cgi_module libexec/mod_cgi.so
#LoadModule asis_module libexec/mod_asis.so
#LoadModule imap_module libexec/mod_imap.so
#LoadModule action_module libexec/mod_actions.so
#不使用安全认证可以大大提高访问速度
#LoadModule access_module libexec/mod_access.so
#LoadModule auth_module libexec/mod_auth.so
#LoadModule setenvif_module libexec/mod_setenvif.so
最好保留的有：
#用于定制log格式
LoadModule config_log_module libexec/mod_log_config.so
#用于增加文件应用的关联
LoadModule mime_module libexec/mod_mime.so
#用于缺省index文件：index.php等
LoadModule dir_module libexec/mod_dir.so

可用可不用的有：
#比如：需要在~/username/下调试php可以将
LoadModule userdir_module libexec/mod_userdir.so
#比如：需要将以前的URL进行转向或者需要使用CGI scrīpt-alias
LoadModule alias_module libexec/mod_alias.so

三、配置模块

1.配置静态页面压缩输出模块deflate

使用mod_deflate模块

在httpd.conf中加入以下设置：

SetOutputFilter DEFLATE
DeflateFilterNote ratio
SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)＄ no-gzip dont-vary
SetEnvIfNoCase Request_URI \.(?:exe|t?gz|zip|bz2|sit|rar)＄ no-gzip dont-vary
SetEnvIfNoCase Request_URI \.pdf＄ no-gzip dont-vary

或者

DeflateFilterNote ratio
AddOutputFilterByType DEFLATE text/*
AddOutputFilterByType DEFLATE application/ms* application/vnd* application/postscrīpt

两种配置方法的作用差不多，其目的主要是把一些不必要压缩的文件禁止压缩。

2.配置mod_cache模块

# cd /usr/local/apache2.2/conf/Includes
# vi mod_cache.conf
在配置文件里添加如下语句

LoadModule disk_cache_module modules/mod_disk_cache.so

CacheRoot /
CacheSize 256
CacheEnable disk /
CacheDirLevels 5
CacheDirLength 3

LoadModule mem_cache_module modules/mod_mem_cache.so

CacheEnable mem /
MCacheSize 4096
MCacheMaxObjectCount 100
MCacheMinObjectSize 1
MCacheMaxObjectSize 2048

vi /usr/local/apache2/conf/httpd.conf
在末尾添加上：

CacheForceCompletion 100
CacheDefaultExpire 3600
CacheMaxExpire 86400
CacheLastModifiedFactor 0.1

设置虚拟目录
然后保存退出。启动apache

参数的解释：
mod_cache：
CacheEnable: 启动 mod_cache，其后接两个参数。第一个参数指定快取的种类，应设为 mem (记忆体快取) 或 disk (磁碟快取) 之其一；第二个参数指定使用快取的 URI 路径，如果对整个网站 (或虚拟主机) 进行快取，简单指定为根目录(/) 即可。
CacheForceCompletion: 这个值指定当 HTTP request 被取消时，内容的产生动作要完成的百分比；预设是 60(%)。
CacheDefaultExpire: 指定快取的预设过期秒数；预设值是一小时 (3600)。
CacheMaxExpire: 指定快取最大的过期秒数；预设值是一天 (86400)。
CacheLastModifiedFactor: 用来从回应里 Last Modified 资讯算出 expire date。
计算方式是：
expire period (过期时距) = 最后更新后至今的时间间距 * CacheLastModifiedFactor
而
expire date = 目前时间 + expire period
不过无论如何，过期时间不能超过 CacheMaxExpire 的设定值。

现在。如果用squid对该服务器进行反向代理的话，就可以通过cache 实现web的加速了

3.配置mod_expires模块

mod_expires可以减少10%左右的重复请求，让重复的用户对指定的页面请求结果都CACHE在本地，根本不向服务器发出请求。

mod_expires的安装配置：

      ExpiresActive on
      ExpiresByType image/gif “access plus 1 month”
      ExpiresByType text/css “now plus 1 month”
      ExpiresDefault “now plus 1 day”

注释：
所有的.gif文件1个月以后过期
所有的文件缺省1天以后过期

4.配置dosevasive模块
/usr/local/apache2.2/bin/apxs -i -a -c mod_dosevasive20.c

编辑httpd.conf，加入以下内容：

LoadModule dosevasive20_module modules/mod_dosevasive20.so

DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10

5.配置mod_limitipconn模块

mod_limitipconn.c是一个非官方的apache防止多线程下载模块，可以用来作为WEB文件的下载限制，但是它是使用ExtendedStatus On形式，工作在应用层。当同一个IP的连接到达限制的时候，apache对get请求发送：

HTTP/1.1 503 Service Temporarily Unavailable

从而使用户不能下载，但并不能阻止这种攻击，仍旧允许连接的。

# /usr/local/apache2.2/bin/apxs -c -i -a mod_limitipconn.c

修改apache配置文件：

# vi /usr/local/apache/conf/httpd.conf

同时需要设置以下参数在 httpd.conf 中 , 也可以在单个虚拟服务器中。
　
ExtendedStatus On

修改配置文件:

1 全局控制:

　　在httpd.conf加上以下几行:

　　
    　　         # 所有虚拟主机的/目录
          　　MaxConnPerIP 3       # 每IP只允许3个并发连接
　　          NoIPLimit image/*    # 对图片不做IP限制


　　    # 所有主机的/mp3目录
　　　　MaxConnPerIP 1           # 每IP只允许一个连接请求
　　　　OnlyIPLimit audio/mpeg video      # 该限制只对视频和音频格式的文件


2 局部限制,你也可以在虚拟主机的配置文件里设置IP限制,方法是完全一样:

　　< VirtualHost xx.xxx.xx.xx >
　　　　ServerAdmin chenlf@chinalinuxpub.com
　　　　ServerName server.domain.com
          ServerAlias *.domain.com
          UseCanonicalName OFF
          VirtualDocumentRoot /htdoc/domain/%1
　　< IfModule mod_limitipconn.c >
　　      < Location / >      # 所有虚拟主机的/目录
　　　　　　MaxConnPerIP 5           # 每IP只允许3个并发连接
          　　NoIPLimit image/*        # 对图片不做IP限制
　　      < /Location >
      　　< Location /mp3 >      # 所有主机的/mp3目录
　　　　　　MaxConnPerIP 2           # 每IP只允许一个连接请求
　　　　　　OnlyIPLimit audio/mpeg video # 该限制只对视频和音频格式的文件
      　　< /Location >
　　< /IfModule >
　　ErrorLog /home/my/logs/error_log
　　CustomLog /home/my/logs/access_log common
< /VirtualHost >

重启apache，用多线程的下载工具下载时，大于3个线程，其余的将得到信息：
HTTP/1.1 503 Service Temporarily Unavailable

或者根据User_Agent判断，把已知的多线程工具都给deny 掉
in httpd.conf
…..
BrowserMatch “NetAnt” badguy
BrowserMatch “GetRight” badguy
BrowserMatch “JetCar” badguy
BrowserMatch “Mass Downloader” badguy
BrowserMatch “ReGet” badguy
BrowserMatch “DLExpert” badguy
BrowserMatch “FlashGet” badguy
BrowserMatch “Offline Explorer” badguy
BrowserMatch “Teleport” badguy
………..

order deny,allow
deny from env=badguy
allow from all

注意httpd里面应该有 mod_setenvif模块。
在你的apache的conf文件里面加入
LoadModule limitipconn_module lib/apache/mod_limitipconn.so
ExtendedStatus On

6.安装modsecurity（mod_security 可以加强apache的安全性，特别是在防sql 注入上有很好的效果。）
下载站点：http://www.modsecurity.org/download/

# /usr/local/httpd220/bin/apxs -cia mod_security.c
打开httpd.conf查看是否有如下文字加入

在httpd.conf中添加下列一段mod_security的配置文件

LoadModule security_module      modules/mod_security.so

SecFilterEngine On
SecFilterCheckURLEncoding On
SecFilterDefaultAction “deny,log,status:500″
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
SecAuditLog logs/audit_log
###
SecFilter “\.\./”
#####
SecFilter /etc/*passwd
SecFilter /bin/*sh

#for CSS (Cascading Style Sheets) attack
SecFilter “<( | *scrīpt”
SecFilter “<(.| +>”
#for sql attack
SecFilter “delete[ ]+from”
SecFilter “insert[ ]+into”
SecFilter “select.+from”
SecFilter “union[ ]+from”
SecFilter “drop[ ]”

四、滚卷log

编译前设置export CFLAGS=”-O2 -D_FILE_OFFSET_BITS=64 -D_LARGEFILE_SOURCE -D_LARGEFILE64_SOURCE”
使其支持2G以上文件。

ErrorLog “|/usr/local/sbin/cronolog    /usr/local/apache2.2/logs/error_%Y%m%d.log”
CustomLog “|/usr/local/sbin/cronolog    /usr/local/apache2.2/logs/access_%Y%m%d.log” combined
用gzip压缩每天的日志：
30 4 * * * /usr/bin/gzip -f /home/apache/logs/`date -d yesterday +%w`/access_log
日志的定期删除：
30 5 * * */usr/bin/find /home/apache/logs/ -name access_log.gz -mtime +3 |xargs -r /bin/rm -f

运行语法检查命令检查语法，出现错误后继续调整。
# ./bin/apachectl -t

html网页跳转

使apache的日志文件里不记录图片文件
     找到:
      LogFormat “%h %l %u %t \”%r\” %>s %b \”%{Referer}i\” \”%{User-Agent}i\”" combined
      LogFormat “%h %l %u %t \”%r\” %>s %b” common
      LogFormat “%{Referer}i -> %U” referer
      LogFormat “%{User-agent}i” agent
    再后面加上图片文件的类型
      SetEnvIf Request_URI \.gif＄ gif-image
      SetEnvIf Request_URI \.GIF＄ gif-image
      SetEnvIf Request_URI \.jpg＄ gif-image
      SetEnvIf Request_URI \.JPG＄ gif-image
      SetEnvIf Request_URI \.png＄ gif-image
      SetEnvIf Request_URI \.js＄    gif-image
      SetEnvIf Request_URI \.bmp＄ gif-image
      SetEnvIf Request_URI \.css＄ gif-image
      SetEnvIf Request_URI \.mid＄ gif-image
      SetEnvIf Request_URI \.swf＄ gif-image
      SetEnvIf Request_URI \.mmf＄ gif-image
      SetEnvIf Request_URI \.wma＄ gif-image
      SetEnvIf Request_URI \.midi＄ gif-image
    日志
      CustomLog /usr/local/apache/logs/access.log combined env=!gif-image

使用两个
ProxyPassReverse / http://%{HTTP_HOST}:8088/
RewriteEngine on
RewriteCond     %{REQUEST_URI} !.*\.(gif|png|jpg)＄
RewriteRule ^/(.*) http://%{HTTP_HOST}:8088/ ＄1 [P]

Linux下检测Apache进程数量并自动重启的脚本

在/etc/crontab里,定时执行检测脚本,检测系统的Apache,和Mysql进程是否超出标准,超标的话,自动重启,没有的话,记录进程数据.

Crontab的内容(每30分钟执行一次,并将结果记录在/var/log/chksys.log)

0,30 * * * * root /usr/local/chksys.sh >> /var/log/chksys.log

/usr/local/chksys.sh代码:

#!/bin/bash
#check apache,mysql thread and auto reboot system
#Powered by ipaddr(aspbiz)

#config
MaxApacheThread=300
MaxMysqlThread=250

NeedReboot=0

ApacheThread=`ps -A|grep http|wc -l`
MysqlThread=`ps -A|grep mysql|wc -l`

if [ ＄ApacheThread -gt ＄MaxApacheThread ]
then
NeedReboot=1
fi

if [ ＄MysqlThread -gt ＄MaxMysqlThread ]
then
NeedReboot=1
fi

if [ ＄NeedReboot -eq 1 ]
then
echo “—————————–”
echo ＄(date +”%y-%m-%d %H:%M:%S”
echo “—————————–”
echo “Apache:＄ApacheThread;Mysql:＄MysqlThread.”
echo “System is busy,reboot”
reboot
else
echo “—————————–”
echo ＄(date +”%y-%m-%d %H:%M:%S”
echo “—————————–”
echo “Apache:＄ApacheThread;Mysql:＄MysqlThread.”
echo “System is normal”
fi

SVN服务器搭建完全手册
cvs, 版本控制, 系统维护, Linux, svn准备，下载所需要文件.
检查已安装的 Apache2 是否已经安装了 mod_dav .
编译SVN，遇到的问题和解决方法
使用默认文件系统(fsfs) 保存数据
使用 Berkeley DB 保存数据
配置Apache和SVN，测试.
其它小结
从Windows平台上数据转移
配置文件,使用其支持对文件中的 $Id$ 标签每次提交的时候自动更新版本信息.
基于路径的权限控制
常用SVN命令
相关资源
准备，下载所需要文件
本文测试环境

Linux MY_SERVER 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux

Apache 2.2.2

最新的版本 Subversion 可以在这里找到：http://subversion.tigris.org/project_packages.html

检查已安装的 Apache2 是否已经安装了 mod_dav
如果已经成功安装了Apache，使用 httpd -M 来查看有没有安装 dav_module，如果没有的话必须附加 ‘–enable-dav’ ‘–enable-dav-fs’ 两个参数重新编译 Apache，否则即使编译通过了svn,apache也会启动不起来.

编译APACHE2.2

修改部分源代码

# vi server/mpm/worker/worker.c

找到下面几行，并改成如下的数值，其目的是在源码中修改apache可支持的最大线程数和最大客户端数目。

# define DEFAULT_SERVER_LIMIT 256
# define MAX_SERVER_LIMIT 40000
# define DEFAULT_THREAD_LIMIT 256
# define MAX_THREAD_LIMIT 40000

编译配置
优化编译选项及配置apache可加载的模块

# CFLAGS=”-O6 -mpentiumpro -fomit-frame-pointer” CXX=gcc CXXFLAGS=”-O6 -mpentiumpro -fomit-frame-pointer -felide-constructors -fno-exceptions -fno-rtti” \
> ./configure –prefix=/usr/local/apache2.2 –enable-mods-shared=all \
> –enable-so –with-mpm=worker –enable-deflate \
> –enable-cache –enable-disk-cache –enable-mem-cache –enable-file-cache \
> –enable-proxy –enable-suexec

编译及安装

# gmake && make install

优化apache配置选项
修改MPM（多道处理器）参数

# cd /usr/local/apache2.2
# vi conf/extra/httpd-mpm.conf

找到如下选项，并改成对应的数值

ServerLimit 64
ThreadLimit 128
StartServers 8
MaxClients 8192
MinSpareThreads 50
MaxSpareThreads 256
ThreadsPerChild 128
MaxRequestsPerChild 0

修改apache2.2子进程所有者

# vi /usr/local/apache2.2/conf/httpd.conf
把daemon改为nobody
User nobody
Group nobody

编译SVN，遇到的问题和解决方法
使用默认的文件系统保存数据.

最终完整通过安装和测试的编译参数为：

./configure –with-apxs=/usr/local/apache2/bin/apxs \
–with-apr=/home/src/server/httpd-2.2.2/srclib/apr \
–with-apr-util=/home/src/server/httpd-2.2.2/srclib/apr-util

# make
# make install

其中 /home/src/server/ 为 httpd-2.2.2 源代码所在文件夹，根据实际情况调整一下.

遇到问题
–with-apr 和 –with-apr-util 如果没有加上的话，即使编译成功了也会出现
Can’t set position pointer in file ‘/home/svn/repos/db/revs/0′: Invalid argument

这样的错误提示.

暂时不能使用 Berkeley DB [* 已解决]
svn保存文件更新数据库的方法有两个，一种是直接使用 fs (filesystem)来保存,另一种是通过Oracle提供支持的开源数据库 Berkeley DB 进行保存。但是如果加上 –with-berkeley-db=/usr/local/BerkeleyDB.4.4 就会configure时就会报错.

configure: error: APR-UTIL was installed independently, it won’t be
possible to use the specified Berkeley DB: /usr/local/BerkeleyDB.4.4

我想 apr-unit 暂时不支持吧，我们就用默认的fs好了.

在make 的时候可能会遇到缺少 srclib/apr/libapr-1.la，srclib/apr-util/libaprutil-1.la 两个文件，找不到而make error.
解决办法：/usr/local/apache2/lib/ 中找到，将其复制到源代码文件夹相应的位置中.

Update!!!
使用 BerkeleyDB 保存数据
安装 BerkeleyDB

cd /usr/local/src
$ wget http://downloads.sleepycat.com/db-4.3.29.tar.gz
$ tar xzvf db-4.3.29.tar.gz
$ cd /usr/local/src/db-4.3.29/build_unix
$ ../dist/configure –enable-compat185
$ make
$ make install
更新apr和apr-util源代码

# 清理编译后的.la文件
$ cd /usr/local/src/httpd-2.2.3
$ make clean
$ cd /usr/local/src/subversion-1.3.2
$ rm -rf apr
$ rm -rf apr-util
$ cp -rf /usr/local/src/httpd-2.2.3/srclib/apr ./
$ cp -rf /usr/local/src/httpd-2.2.3/srclib/apr-util/ ./
编译安装

# /configure –with-apxs=/usr/local/apache2/bin/apxs \
> –with-berkeley-db=/usr/local/BerkeleyDB.4.3 \
> –with-ssl
# make
# make install

遇到问题
BerkeleyDB 版本不能大于 4.3.否则同样会出现以下错误.
configure: error: APR-UTIL was installed independently, it won’t be
possible to use the specified Berkeley DB: /usr/local/BerkeleyDB.4.4

主要是apr-util 暂时不支持4.4的版本.

必须更新apr，apr-util 源代码.
subversion-1.3.2 自带的 apr-util 的版本是0.9.6的,必须升级为 1.2.7 虽然能编译过去。但在 svn checkout 的时候会提示

svn: REPORT request failed on ‘/!svn/vcc/default’
svn: REPORT of ‘/!svn/vcc/default’: Could not read status line: connection was closed by server.

这个问题困扰了我很长时间，Google和官方论坛都无结果。后来昨天竟然自己无意中解决了，感动的得哭了:)

配置Apache和SVN，测试
成功编译svn后会在 httpd.conf 中自动加上

LoadModule dav_svn_module modules/mod_dav_svn.so
LoadModule authz_svn_module modules/mod_authz_svn.so

两个模块，没有的话，自行加上或检测是否真的编译成功.

假设我们现在要将一个名为 Lair 的项目导入到 SVN中

Apache的配置
在 conf/httpd.conf 或 conf/extra/httpd-vhosts.conf 中加入

DAV svn
SVNPath /home/svn/Lair

可以参考以下apache的配置，实现数据加密传输，用户身份验证.

Listen 443

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl.

SSLPassPhraseDialog exec:/etc/sendsslpwd
SSLSessionCache shmcb:/usr/local/apache2/logs/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache2/logs/ssl_mutex

DocumentRoot /var/SVNRoot
ServerName svn.yousite.com:443
ServerAdmin webmaster@yousite.com

DAV svn
SVNPath /var/SVNRoot
AuthzSVNAccessFile /etc/svnserve.conf
Satisfy Any
AuthType Basic
AuthName “yousite SVN Repository”
AuthUserFile /etc/httpd-passwords.txt
Require valid-user

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key

更详细的配置说明文档 http://svnbook.red-bean.com/nightly/en/svn.ref.mod_dav_svn.conf.html

配置，并且测试SVN，
创建一个新用户,用了保存仓库.

useradd -m svn

创建一个新模块

# su daemon #(apache是以daemon用户运行的,所以要切换身份，否则可能会报目录访问权限错误)
# svnadmin create –fs-type fsfs /home/svn/Lair

导入原来的项目

svn import /var/www/Lair http://localhost/svn/Lair -m ‘Initial import’

重新建立工作目录

# rm -rf /var/www/Lair ##(注意备份!!)
# svn checkout http://localhost/svn/Lair

测试打开 http://localhost/svn/Lair

如能看到一个你项目录列表，说明您成功了。

其它小结
数据转移:
从 Windows 平台 SVN 服务器转移
如果windows svn储存的格式也是dbd的话，直接将SVN的文件夹copy过来即可.然后
执行 svnadmin recover /var/SVNRoot 检查一下数据库是否损坏.

最后注意权限,确保 db 目录下的所有文件可写。

chmod 755 db
chmod 666 db/*

否则checkout时出现以下错误，多数是因为文件或者目录权限问题引起的，可以尝试用 chown 或者 chmod 命令修改一下权限

Could not open the requested SVN filesystem

Could not open the requested SVN filesystem

另外一种方法没有测试过，原理大致和mysqldump一样，将svn导出为文本文件，然后重新导入，好处是可以避免因为存储格式不同而导致的数据转移困难。

# dump data to file (assuming a repo @ c:\repo):

svnadmin dump c:\repo > c:\repo.txt
# Copy the file over to linux:
mkdir /repo
svnadmin create /repo
svnadmin load /repo < /repo.txt

设置访问控制
当 httpd.conf 中设置 AuthzSVNAccessFile 时，可以设置不同用户对不同目录的访问控制.以下是一个例子.

[groups]
root = admin.root
web = user1,user2
soft = user3,user4

[/]
@root = rw

[/www]

@web = rw

[/soft]
@soft = rw

详细的说明文档：http://svnbook.red-bean.com/nightly/en/svn.serverconfig.httpd.html

配置文件，使用其支持对文件中的 $Id$ 标签每次提交的时候自动更新版本信息(自动属性).
Windows : C:\Documents and Settings\%USERNAME%\Application Data\Subversion\config
Linux : ~\.subversion\config
[miscellany]

enable-auto-props = yes
[auto-props]
*.php=svn:keywords=Id
*.html=svn:keywords=Id

关于自动属性的更高级讨论

几条常用svn 命令
$ svn update
$ svn add “filename”
$ svn commit

参考
http://subversion.tigris.org/faq.html [FAQ]
http://svnbook.red-bean.com/ [文档]
http://www.svnforum.org/ [论坛]
http://d.hatena.ne.jp/cooldaemon/searchdiary?word=%2a%5bSubversion%5d
http://artis.imag.fr/~Xavier.Decoret/resources/svn/index.html
http://www.germane-software.com/~ser/R_n_R/subversion.html#ftn.N45
http://zen.sh.nu/book/zh/index.html

写的挺好的，收藏了

原文地址 http://www.xpv.cn/home/apache22deyouhuajimokuaianzhuang.html

MyISAM和InnoDB的一些记录

hoifish_010@163.om(hotfish) — Tue,11 May 2010 16:27:49 +0800

MyISAM和InnoDB的一些记录
key_buffer_size - 这对MyISAM表来说非常重要。如果只是使用MyISAM表，可以把它设置为可用内存的 30-40%。合理的值取决于索引大小、数据量以及负载。
记住，MyISAM表会使用操作系统的缓存来缓存数据，因此需要留出部分内存给它们，很多情况下数据比索引大多了。尽管如此，需要总是检查是否所有的 key_buffer 都被利用了。
.MYI 文件只有 1GB，而 key_buffer 却设置为 4GB 的情况是非常少的。这么做太浪费了。如果你很少使用MyISAM表，那么也保留低于 16-32MB 的 key_buffer_size 以适应给予磁盘的临时表索引所需。

innodb_buffer_pool_size - 这对Innodb表来说非常重要。Innodb相比MyISAM表对缓冲更为敏感。MyISAM可以在默认的 key_buffer_size 设置下运行的可以，然而Innodb在默认的 innodb_buffer_pool_size 设置下却跟蜗牛似的。由于Innodb把数据和索引都缓存起来，无需留给操作系统太多的内存，因此如果只需要用Innodb的话则可以设置它高达 70-80% 的可用内存。如果你的数据量不大，并且不会暴增，那么无需把 innodb_buffer_pool_size 设置的太大了。

innodb_additional_pool_size - 这个选项对性能影响并不太多，至少在有差不多足够内存可分配的操作系统上是这样。不过如果你仍然想设置为 20MB(或者更大)，因此就需要看一下Innodb其他需要分配的内存有多少。

innodb_log_file_size 在高写入负载尤其是大数据集的情况下很重要。这个值越大则性能相对越高，但是要注意到可能会增加恢复时间。我经常设置为 64-512MB，跟据服务器大小而异。innodb_log_buffer_size 默认的设置在中等强度写入负载以及较短事务的情况下，服务器性能还可以。如果存在更新操作峰值或者负载较大，就应该考虑加大它的值了。如果它的值设置太高了，可能会浪费内存。它每秒都会刷新一次，因此无需设置超过1秒所需的内存空间。通常 8-16MB 就足够了。越小的系统它的值越小。

innodb_flush_logs_at_trx_commit 是否为Innodb比MyISAM慢1000倍而头大？看来也许你忘了修改这个参数了。默认值是 1，这意味着每次提交的更新事务（或者每个事务之外的语句）都会刷新到磁盘中，而这相当耗费资源，尤其是没有电池备用缓存时。很多应用程序，尤其是从 MyISAM转变过来的那些，把它的值设置为 2 就可以了，也就是不把日志刷新到磁盘上，而只刷新到操作系统的缓存上。日志仍然会每秒刷新到磁盘中去，因此通常不会丢失每秒1-2次更新的消耗。如果设置为 0 就快很多了，不过也相对不安全了。MySQL服务器崩溃时就会丢失一些事务。设置为 2 指挥丢失刷新到操作系统缓存的那部分事务。

table_cache - 打开一个表的开销可能很大。例如MyISAM把MYI文件头标志该表正在使用中。你肯定不希望这种操作太频繁，所以通常要加大缓存数量，使得足以最大限度地缓存打开的表。它需要用到操作系统的资源以及内存，对当前的硬件配置来说当然不是什么问题了。如果你有200多个表的话，那么设置为 1024 也许比较合适（每个线程都需要打开表），如果连接数比较大那么就加大它的值。我曾经见过设置为 100,000 的情况。

thread_cache - 线程的创建和销毁的开销可能很大，因为每个线程的连接/断开都需要。我通常至少设置为 16。如果应用程序中有大量的跳跃并发连接并且 Threads_Created 的值也比较大，那么我就会加大它的值。它的目的是在通常的操作中无需创建新线程。

query_cache - 如果你的应用程序有大量读，而且没有应用程序级别的缓存，那么这很有用。不要把它设置太大了，因为想要维护它也需要不少开销，这会导致MySQL变慢。通常设置为 32-512Mb。设置完之后最好是跟踪一段时间，查看是否运行良好。在一定的负载压力下，如果缓存命中率太低了，就启用它。

开始mysql的慢查询

hoifish_010@163.om(hotfish) — Tue,11 May 2010 16:03:55 +0800

http://faq.comsenz.com/viewnews-58

在运营网站的过程中，可能会遇到网站突然变慢的问题，一般情况下和 MySQL 慢有关系，可以通过开启慢查询，找到影响效率的 SQL ，然后采取相应的措施。下面介绍一下如何开启慢查询：

1、开启慢查询

找到 MySQL 的配置文件，my.cnf （Windows 为 my.ini ），在 MySQL 下增加下面几行：

long_query_time=2
log-slow-queries= /usr/var/slowquery.log
上面的 2 是查询的时间，即当一条 SQL 执行时间超过2秒的时候才记录，/usr/var/slowquery.log 是日志记录的位置。

然后重新启动MySQL服务

一步通过：cat /usr/local/mysql51/tmp/mysql_slow.log| grep Query_time: | awk '{print $3}' | sort|uniq -c|sort -rn
(对数据的查询时间排序)
二步通过：然后vi /usr/local/mysql51/tmp/mysql_slow.log 通过时间找到问题的语句

mysql 5.1的方法

slow_query_log
long_query_time=2
slow_query_log_file=/usr/local/mysql51/tmp/mysql_slow.log

==============================================================
MYSQL记录慢速查询SQL语句2009-08-05 13:28在一个 SQL 服务器中，数据表都是保存在磁盘上的。索引为服务器提供了一种在表中查找特定数据行的方法，而不用搜索整个表。当必须要搜索整个表时，就称为表扫描。通常来说，您可能只希望获得表中数据的一个子集，因此全表扫描会浪费大量的磁盘 I/O，因此也就会浪费大量时间。当必须对数据进行连接时，这个问题就更加复杂了，因为必须要对连接两端的多行数据进行比较。

当然，表扫描并不总是会带来问题；有时读取整个表反而会比从中挑选出一部分数据更加有效（服务器进程中查询规划器用来作出这些决定）。如果索引的使用效率很低，或者根本就不能使用索引，则会减慢查询速度，而且随着服务器上的负载和表大小的增加，这个问题会变得更加显著。执行时间超过给定时间范围的查询就称为慢速查询。

您可以配置 mysqld 将这些慢速查询记录到适当命名的慢速查询日志中。管理员然后会查看这个日志来帮助他们确定应用程序中有哪些部分需要进一步调查。清单 1 给出了要启用慢速查询日志需要在 my.cnf 中所做的配置。

清单 1. 启用 MySQL 慢速查询日志
[mysqld]
; enable the slow query log, default 10 seconds
log-slow-queries
; log queries taking longer than 5 seconds
long_query_time = 5
; log queries that don't use indexes even if they take less than long_query_time
; MySQL 4.1 and newer only
log-queries-not-using-indexes

这三个设置一起使用，可以记录执行时间超过 5 秒和没有使用索引的查询。请注意有关 log-queries-not-using-indexes 的警告：您必须使用 MySQL 4.1 或更高版本。慢速查询日志都保存在 MySQL 数据目录中，名为 hostname-slow.log。如果希望使用一个不同的名字或路径，可以在 my.cnf 中使用 log-slow-queries = /new/path/to/file 实现此目的。

阅读慢速查询日志最好是通过 mysqldumpslow 命令进行。指定日志文件的路径，就可以看到一个慢速查询的排序后的列表，并且还显示了它们在日志文件中出现的次数。一个非常有用的特性是 mysqldumpslow 在比较结果之前，会删除任何用户指定的数据，因此对同一个查询的不同调用被计为一次；这可以帮助找出需要工作量最多的查询。