ubuntu apache log?ubuntu a start job is running
大家好,关于ubuntu apache log很多朋友都还不太明白,今天小编就来为大家分享关于ubuntu a start job is running的知识,希望对各位有所帮助!
如何在 Ubuntu 20.04 上安装 Apache
Apache是全球最广泛使用的网站服务器之一。作为开源且跨平台的HTTP服务器,它承载了互联网上大量的网站,并提供丰富功能及可扩展性。本文旨在指导Ubuntu 20.04用户如何安装和管理Apache网站服务器。
一、前提条件
确保以具有sudo权限的用户身份登录。
二、安装Apache
Apache默认包含在Ubuntu软件源中,安装过程简便。在Ubuntu和Debian系统中,Apache软件包与服务称为apache2。执行以下命令更新软件包索引,并安装Apache:
sudo apt update
sudo apt install apache2
安装完成后,Apache服务会自动启动。通过运行下面的命令验证服务运行状况:
sudo systemctl status apache2
输出显示服务正在运行且已设置为开机启动。
三、开放HTTP和HTTPS端口
Apache监听端口80(HTTP)和443(HTTPS)。在防火墙中开放这些端口,以便服务器能够从互联网上被访问。若使用UFW,请启用Apache全配置,它包含这两个端口的规则:
sudo ufw allow'Apache Full'
验证更改:
sudo ufw status
输出应显示端口被允许。
四、验证Apache安装
打开浏览器,输入服务器IP地址YOUR_IP_OR_DOMAIN/,可查看默认的Ubuntu 20.04 Apache欢迎页面。页面包含配置文件、帮助脚本及文件夹位置等基本信息。
五、设置虚拟主机
虚拟主机允许在一个服务器上运行多个网站。默认情况下,Apache启动了一个虚拟主机,所有域名都指向服务器IP地址。若托管一个简单网站,上传内容至/var/www/html,并编辑配置文件/etc/apache2/sites-enabled/000-default.conf。若需托管更多网站,为每个网站创建虚拟主机配置。为域名""设置网站,将""替换为自己的域名。首先创建根目录文件夹:
sudo mkdir-p/var/www/
在域名根文件夹下创建index.html文件:
欢迎来到
保存并退出。修改文件夹用户归属为apache(www-data):
sudo chown-R www-data:/var/www/
创建虚拟主机配置文件:
ServerName
ServerAlias
ServerAdmin webmaster@example.com
DocumentRoot/var/www/
Options-Indexes+FollowSymLinks
AllowOverride All
ErrorLog${APACHE_LOG_DIR}/example.com-error.log
CustomLog${APACHE_LOG_DIR}/example.com-access.log combined
激活虚拟主机配置:
sudo a2ensite
测试配置文件,无语法错误:
sudo apachectl configtest
重启Apache服务使修改生效:
sudo systemctl restart apache2
验证网站工作状况,在浏览器中打开[](),查看网站是否正常显示。
六、总结
至此,您已学会在Ubuntu 20.04上安装Apache。现在可以部署应用,并将Apache作为网站服务器或代理服务器使用。
Ubuntu系统下Pure-ftpd的安装及配置教程
安装
Ubuntu/Debian提供了三个不同的 Pure-FTPd的 deb安装包,分别是 pure-ftpd、pure-ftpd-ldap和 pure- ftpd-mysql,其中 ldap和 mysql分别表示 Pure-FTPd跟 ldap和 mysql集成,另外这三个包都依赖于 pure-ftpd-common。如果我们不需要 ldap和 mysql的话,选择 pure-ftpd就可以了。
代码如下:
apt-get install pure-ftp-common pure-ftpd
配置方式
不同于其他的多数守护进程(daemon),Pure-FTPd的配置比较特别:它不读取任何的配置文件,配置选项都是通过命令行参数来实现的。例如:参数'-H'被设计为通过避免 DNS查询来加快服务器的速度。要启用该特性,我们只需要将其加到命令行中: pure-ftpd-H。备选的长参数也被支持的,下面是一个等价的命令 pure-ftpd--dontresolve
针对喜欢配置文件的用户,Pure-FTPd官方给出了一种方案:通过一个封装(wrapper)工具,将配置文件解析并将其转换成命令行参数。首先根据自己的需要编辑配置文件 pure-ftpd.conf,而后通过下面的命令启动 pure-config.pl/etc/pure-ftpd.conf。pure-config.pl是一个 perl脚本,它根据配置文件采用合适的命令行选项来调用 pure-ftpd。
在 Ubuntu/Debian中,开发人员采用了另外的一种 wrapper方式:它没有采用单一的配置文件,而是在/etc下建立一个pure-ftpd的目录,其下又有 conf、auth、db这三个目录和一个名为 pureftpd-alias-dir的文件。每一个配置选项都以一个文件的形式存在于/etc/pure-ftpd/conf目录中,而且是以选项为文件名,选项值为文件内容。例如如果想配置AnonymousOnly=yes(只允许匿名用户),则在/etc/pure-ftpd/conf中创建一个名为 AnonymousOnly的文件,里面只有一行内容:yes。
在 Ubuntu中,我们只关注最后一种配置方式。
配置选项
通过 pure-ftpd的手册页我们可以得到详细的命令行参数列表及其解释:
复制代码
代码如下:
man pure-ftpd
通过 pure-ftpd-wrapper的手册页我们可以得到可用的配置文件选项列表:
代码如下:
man pure-ftpd-wrapper
下面是前面我们介绍的第二种方式的配置文件,我们这儿可以将其作为第三种方式来理解。比如要限制所有用户在其主目录中,在/etc/pure-ftpd/conf中创建一个名为 ChrootEveryone的文件,里面加入一行内容:yes即可。
#限制所有用户在其主目录中
ChrootEveryone yes
#如果前一个指令被设置为了"no",下面组的成员(GID)就不受主目录的限制了。而其他的用户还是
#会被限制在自己的主目录里。如果你不想把任何用户限制在自己的主目录里,只要注释掉 ChrootEveryone
#和 TrustedGID就可以了。
# TrustedGID 100
#兼容ie等比较非正规化的ftp客户端
BrokenClientsCompatibility no
#服务器总共允许同时连接的最大用户数
MaxClientsNumber 50
#做为守护(doemon)进程运行(Fork in background)
Daemonize yes
#同一IP允许同时连接的用户数(Maximum number of sim clients with the same IP address)
MaxClientsPerIP 8
#如果你要记录所有的客户命令,设置这个指令为"yes"。
# This directive can be duplicated to also log server responses.
VerboseLog no
#即使客户端没有发送'-a'选项也列出隐藏文件( dot-files)。
DisplayDotFiles yes
#不允许认证用户-仅作为一个公共的匿名FTP。
AnonymousOnly no
#不允许匿名连接,仅允许认证用户使用。
NoAnonymous no
# Syslog facility(auth, authpriv, daemon, ftp, security, user, local*)
#缺省的功能( facility)是"ftp"。"none"将禁止日志。
SyslogFacility ftp
#定制用户登陆后的显示信息(Display fortune cookies)
# FortunesFile/usr/share/fortune/zippy
#在日志文件中不解析主机名。日志没那么详细的话,就使用更少的带宽。在一个访问量很大
#的站点中,设置这个指令为"yes",如果你没有一个能工作的DNS的话。
DontResolve yes
#客户端允许的最大的空闲时间(分钟,缺省15分钟)
MaxIdleTime 15
# LDAP配置文件(参考 README.LDAP)
# LDAPConfigFile/etc/pureftpd-ldap.conf
# MySQL配置文件(参考 README.MySQL)
# MySQLConfigFile/etc/pureftpd-mysql.conf
# Postgres配置文件(参考 README.PGSQL)
# PGSQLConfigFile/etc/pureftpd-pgsql.conf
# PureDB用户数据库(参考 README.Virtual-Users)
# PureDB/etc/pureftpd.pdb
# pure-authd的socket路径(参考 README.Authentication-Modules)
# ExtAuth/var/run/ftpd.sock
#如果你要启用 PAM认证方式,去掉下面行的注释。
# PAMAuthentication yes
#如果你要启用简单的 Unix系统认证方式(/etc/passwd),去掉下面行的注释。
# UnixAuthentication yes
#请注意,LDAPConfigFile, MySQLConfigFile, PAMAuthentication和
# UnixAuthentication这些指令只能被使用一次,不过,他们能被混合在一起用。例如:如果你使用了
# MySQLConfigFile和 UnixAuthentication,那么 SQL服务器将被访问。如果因为用户名未找
#到而使 SQL认证失败的话,就会在/etc/passwd和/etc/shadow中尝试另外一种认证,如果因
#为密码错误而使 SQL认证失败的话,认证就会在此结束了。认证方式由它们被给出来的顺序而被链
#接了起来。
#'ls'命令的递归限制。第一个参数给出文件显示的最大数目。第二个参数给出最大的子目录深度。
LimitRecursion 2000 8
#允许匿名用户创建新目录?
AnonymousCanCreateDirs no
#如果系统被 loaded超过下面的值,匿名用户会被禁止下载。
MaxLoad 4
#被动连接响应的端口范围。- for firewalling.
# PassivePortRange 30000 50000
#强制一个IP地址使用被动响应( PASV/EPSV/SPSV replies)。- for NAT.
# Symbolic host names are also accepted for gateways with dynamic IP
# addresses.
# ForcePassiveIP 192.168.0.1
#匿名用户的上传/下载的比率。
# AnonymousRatio 1 10
#所有用户的上传/下载的比率。
# This directive superscedes the previous one.
# UserRatio 1 10
#不接受所有者为"ftp"的文件的下载。例如:那些匿名用户上传后未被本地管理员验证的文件。
AntiWarez yes
第二个文件
#客户端登录的时候的默认编码,开启这个选项的话,windows登录时就不会显示不了中文的了
ClientCharset gbk
#服务监听的IP地址和端口。(缺省是所有IP地址和21端口)
# Bind 127.0.0.1,21
#匿名用户的最大带宽(KB/s)。
# AnonymousBandwidth 8
#所有用户的最大带宽(KB/s),包括匿名用户。
# Use AnonymousBandwidth*or* UserBandwidth, both makes no sense.
# UserBandwidth 8
#新建目录及文件的属性掩码值。文件掩码;:目录掩码;.
# 177:077 if you feel paranoid.
Umask 133:022
#认证用户允许登陆的最小组ID(UID)。
MinUID 100
#仅允许认证用户进行 FXP传输。
AllowUserFXP yes
#对匿名用户和非匿名用户允许进行匿名 FXP传输。
AllowAnonymousFXP no
#用户不能删除和写点文件(文件名以'.'开头的文件),即使用户是文件的所有者也不行。
#如果 TrustedGID指令是 enabled,文件所属组用户能够访问点文件(dot-files)。
ProhibitDotFilesWrite no
#禁止读点文件(文件名以'.'开头的文件)(.history,.ssh...)
ProhibitDotFilesRead no
#永不覆盖文件。当上传的文件,其文件名已经存在时,自动重命名,如: file.1, file.2, file.3,...
AutoRename no
#不接受匿名用户上传新文件( no=允许上传)
AnonymousCantUpload no
#仅允许来自以下IP地址的非匿名用户连接。你可以使用这个指令来打开几个公网IP来提供匿名FTP,
#而保留一个私有的防火墙保护的IP来进行远程管理。你还可以只允许一内网地址进行认证,而在另外
#一个IP上提供纯匿名的FTP服务。
#TrustedIP 10.1.1.1
#如果你要为日志每一行添加 PID去掉下面行的注释。
# LogPID yes
#使用类似于Apache的格式创建一个额外的日志文件,如:
# fw.c9x.org- jedi [13/Dec/1975]"GET/ftp/linux.tar.bz2" 200 21809338
#这个日志文件能被 www流量分析器处理。
# AltLog clf:/var/log/pureftpd.log
#使用优化过的格式为统计报告创建一个额外的日志文件。
# AltLog stats:/var/log/pureftpd.log
#使用标准的W3C格式创建一个额外的日志文件。(与大部分的商业日志分析器兼容)
# AltLog w3c:/var/log/pureftpd.log
#不接受 CHMOD命令。用户不能更改他们文件的属性。
# NoChmod yes
#允许用户恢复和上传文件,却不允许删除他们。
# KeepAllFiles yes
#用户主目录不存在的话,自动创建。
# CreateHomeDir yes
#启用虚拟的磁盘限额。第一个数字是最大的文件数。
#第二个数字是最大的总的文件大小(单位:Mb)。
#所以,1000:10就限制每一个用户只能使用 1000个文件,共10Mb。
# Quota 1000:10
#如果你的 pure-ftpd编译时加入了独立服务器( standalone)支持,你能够改变 pid文件
#的位置。缺省位置是/var/run/pure-ftpd.pid。
# PIDFile/var/run/pure-ftpd.pid
#如果你的 pure-ftpd编译时加入了 pure-uploadscript支持,这个指令将会使 pure-ftpd
#发送关于新上传的情况信息到/var/run/pure-ftpd.upload.pipe,这样 pure-uploadscript
#就能读然后调用一个脚本去处理新的上传。
# CallUploadScript yes
#这个选项对允许匿名上传的服务器是有用的。当/var/ftp在/var里时,需要保留一定磁盘空间
#来保护日志文件。当所在磁盘分区使用超过百分之 X时,将不在接受新的上传。
MaxDiskUsage 99
#如果你不想要你的用户重命名文件的话,就设置为'yes'。
# NoRename yes
#是'customer proof':工作区(workaround)反对普通的客户错误,类似于:'chmod 0 public_html'的错误。
#那是一个有效的命令,不过,将导致无知的客户所定他们自己的文件,将使你的技术支持忙于愚蠢的的问题中。
#如果你确信你所有的用户都有基本的Unix知识的话,这个特性将没什么用了。不过,如果你是一个主机提供商
#的话,启用它。
CustomerProof yes
#每一个用户的并发限制。只有在添加了--with-peruserlimits编译选项进行编译后,这个指令才起
#作用。(大部分的二进制的发布版本就是例子)
#格式是:每一个用户最大允许的进程;:最大的匿名用户进程;
#例如: 3:20意思是同一个认证用户最大可以有3个同时活动的进程。而且同时最多只能有20个匿名用户进程。
# PerUserLimits 3:20
如何在Ubuntu上搭建一台安全的Apache Web服务器
本教程假设你已有一台在运行的Ubuntu服务器,网络方面已设置好,而且可以通过SSH进行访问。
Apache2是许多安装的Linux发行版使用的默认Web服务器。它不是对所有环境来说唯一可用的Web服务器,也不是最佳的Web服务器,但是它适合许多使用场景。在安装过程中,系统可能会询问你哪个Web服务器要自动重新配置。选择“apache2”即可。
安装Apache2
使用下面这个命令,安装Apache2及其他库。
$ sudo apt-get-y install apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt libapache2-mod-suphp libopenssl-ruby libapache2-mod-ruby
更新时区(TimeZone)和检查正确时间
为了减小共享数据或镜像数据方面的混淆,所有服务器在运行时都应该尽可能接近同步状态。一些加密密钥管理系统需要准确的时间。最后,就企业服务器而言,《萨班斯-奥克斯利法案》(Sarbanes-Oxley)和《健康保险可携性及责任性法案》(HIPAA)的安全规则要求正确的时间戳机制。
$ sudo apt-get-y install openntpd tzdata
$ sudo dpkg-reconfigure tzdata
$ sudo service openntpd restart
禁止AppArmor冲突
虽然AppArmor这个套件的确提供了一层额外的安全,但在我看来,需要为每个系统创建自定义配置文件。这不是本教程所探讨的内容。所以眼下,我们会禁用AppArmor,防止与任何默认的配置发生冲突。
$ sudo/etc/init.d/apparmor stop
$ sudo update-rc.d-f apparmor remove
$ sudo apt-get remove apparmor apparmor-utils
注意:如果是生产环境下的Web服务器,不建议禁用AppArmor。如果有些人想创建自定义的AppArmor配置文件,请参阅官方说明文档()。
阻止分布式拒绝服务(DDoS)攻击
DDoS攻击是一种分布式拒绝服务攻击。有一个Apache模块可以阻止这类攻击。
$ sudo apt-get-y install libapache2-mod-evasive
$ sudo mkdir-p/var/log/apache2/evasive
$ sudo chown-R www-data:root/var/log/apache2/evasive
把下面这个命令添加到mod-evasive.load的末尾处。
$ sudo nano/etc/apache2/mods-available/mod-evasive.load DOSHashTableSize 2048
DOSPageCount 20#请求同一页面的最大数量
DOSSiteCount 300#同一侦听器上同一客户端IP请求任何对象的总数量
DOSPageInterval 1.0#页面数量阈值的间隔
DOSSiteInterval 1.0#站点数量阈值的间隔
DOSBlockingPeriod 10.0#客户机IP被阻止的时间段
DOSLogDir“/var/log/apache2/evasive”
DOSEmailNotify admin@domain.com
阻止Slowloris攻击
还有一个Apache模块可以阻止Slowloris攻击,不过模块名称取决于你使用的Ubuntu的具体版本。如果是Ubuntu 12.10或以后版本:
$ sudo apt-get-y install libapache2-mod-qos
然后,检查qos.conf中的配置:
$ sudo nano/etc/apache2/mods-available/qos.conf
##服务质量方面的设置
#处理来自多达100000个不同IP的连接
QS_ClientEntries 100000
#只允许每个IP仅50条连接
QS_SrvMaxConnPerIP 50
#活动TCP连接的最大数量限制在256条
MaxClients 256
#当70%的TCP连接被占用时,禁用保持活动连接状态
QS_SrvMaxConnClose 180
#最小请求/响应速度(拒绝阻塞服务器的慢速客户端,即slowloris保持连接开启,不提出任何请求):
QS_SrvMinDataRate 150 1200
#并限制请求标题和主体(注意,这还限制了上传和发帖请求):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
注意:如果你运行12.04之前的Ubuntu版本,改而使用下面这个命令:
$ sudo apt-get-y install libapache2-mod-antiloris
检查antiloris.conf中的配置
$ sudo nano/etc/apache2/mods-available/antiloris.conf
#每个IP地址处于READ状态的最大并行连接数量
IPReadLimit 5
阻止DNS注入攻击
Spamhaus这个模块使用域名系统黑名单(DNSBL),目的是为了阻止通过Web表单实现的垃圾邮件转发,防止URL注入攻击,阻止来自机器人程序的http DDoS攻击,通常保护服务器,远离已知的恶意IP地址。
$ sudo apt-get-y install libapache2-mod-spamhaus
$ sudo touch/etc/spamhaus.wl Append the config to apache2.conf
$ sudo nano/etc/apache2/apache2.conf
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList/etc/spamhaus.wl
MS_CacheSize 256
重启Apache装入新模块
$ sudo service apache2 restart
现在Web服务器已安装完毕,并在正常运行。将Web浏览器指向你的域,即可看到证明你一切正常的默认消息。作为最后的检查机制,运行下面这个命令,看看你的服务器有没有任何错误信息。要是有错误信息,你需要上谷歌搜索一下,立马解决这些错误。
$ sudo tail-200/var/log/syslog
