张文兴的博客

进退有度，才不至进退维谷；宠辱皆忘，方可以宠辱不惊。

Allow 指令
说明: 控制哪些主机能够访问服务器的一个区域
语法: Allow from all|host|env=env-variable [host|env=env-variable] …
上下文: 目录, .htaccess
覆盖项: Limit
状态: Base
模块: mod_access

Allow指令影响哪些主机可以访问服务器的一个区域。可以用主机名、IP地址、 IP地址范围或者其他环境变量中捕获的客户端请求特性来对访问进行控制。

这个指令的第一个参数总是from。随后的参数可以有三种不同形式。 如果指定Allow from all，则允许所有主机访问，需要 Deny和Order指令像下面讨论的那样配置。 要只允许特定一部分主机或主机群访问服务器，host可以用下面任何一种格式来指定：

一个域名(部分)
例子：Allow from apache.org
允许名字与给定字符串匹配或者以该字符串结尾的主机访问。 只有完整的名字组成部分才被匹配，因此上述例子将匹配foo.apache.org而不能匹配fooapache.org。 这样的配置将引起服务器执行一个对客户IP地址的反查域名操作而不管HostnameLookups指令是否设置
完整的IP地址
例子：Allow from 10.1.2.3
允许一个主机的一个IP地址访问。
部分IP地址
例子：Allow from 10.1
IP地址的开始1到3个字节，用于子网限制。
网络/掩码对
例子：Allow from 10.1.0.0/255.255.0.0
一个网络a.b.c.d，和一个掩码w.x.y.z。用于更精确的子网限制。
网络/nnn 无内别域间路由规格
例子：Allow from 10.1.0.0/16
同前一种情况相似，除了掩码由nnn个高位字节构成。
注意以上后三个例子完全匹配同一组主机。

IPv6地址和IPv6子网可以像下面这样指定：

Allow from fe80::a00:20ff:fea7:ccea
Allow from fe80::a00:20ff:fea7:ccea/10

Allow指令的第三种参数格式允许对服务器的访问由 环境变量的一个扩展指定。指定 Allow from env=env-variable时，如果环境变量env-variable存在则访问请求被允许。 使用由mod_setenvif提供的指令，服务器用一种基于客户端请求的弹性方式提供了设置环境变量的能力。 因此，这条指令可以用于允许基于像User-Agent(浏览器类型)、Referer或者其他Http请求头字段 的访问。

例子：
SetEnvIf User-Agent ^KnockKnock/2.0 let_me_in
<Directory /docroot>
Order Deny,Allow
Deny from all
Allow from env=let_me_in
</Directory>

这种情况下，发送以KnockKnock/2.0开头的用户代理标示的浏览器将被允许访问，而所有其他浏览器将被禁止访问。

Deny 指令
说明: 控制哪些主机被禁止访问服务器
语法: Deny from all|host|env=env-variable [host|env=env-variable] …
上下文: 目录, .htaccess
覆盖项: Limit
状态: Base
模块: mod_access

这条指令允许基于主机名、IP地址或者环境变量限制对服务器的访问。 Deny指令的参数设置和Allow指令完全相同。

Order 指令
说明: 控制缺省的访问状态和Allow与Deny指令被评估的顺序。
语法: Order ordering
默认值: Order Deny,Allow
上下文: 目录, .htaccess
覆盖项: Limit
状态: Base
模块: mod_access

Order指令控制缺省的访问状态和 Allow与Deny指令被评估的顺序。 Ordering是以下几种范例之一：

Deny,Allow
Deny指令在 Allow指令之前被评估。缺省允许所有访问。 任何不匹配Deny指令或者匹配 Allow指令的客户都被允许访问服务器。
Allow,Deny
Allow指令在 Deny指令之前被评估。缺省禁止所有访问。 任何不匹配Allow指令或者匹配 Deny指令的客户都将被禁止访问服务器。
Mutual-failure
只有出现在Allow列表并且不出现在 Deny列表中的主机才被允许访问。 这种顺序与Order Allow,Deny具有同样效果，不赞成使用，它包括了哪一种配置。
关键字只能用逗号分隔；它们之间不能有空格。注意在所有情况下每个Allow和Deny指令语句都将被评估。

在下面的例子中，apache.org域中所有主机都允许访问，而其他任何主机访问都被拒绝。

Order Deny,Allow
Deny from all
Allow from apache.org

下面例子中，apache.org域中所有主机，除了foo.apache.org子域包含的主机被拒绝访问以外，都允许访问。 而所有不在apache.org域中的主机都不允许访问，因为缺省状态是拒绝对服务器的访问。

Order Allow,Deny
Allow from apache.org
Deny from foo.apache.org

另一方面，如果上个例子中的Order指令改变为Deny,Allow， 将允许所有主机的访问。这是因为，不管配置文件中指令的实际顺序如何， Allow from apache.org指令会最后被评估到并覆盖之前的 Deny from foo.apache.org。所有不在apache.org 域中的主机也允许访问是因为缺省状态被改变到了允许。

即使没有伴随Allow和Deny指令，一个Order 指令的存在也会影响到服务器上某一个部分的访问， 这是由于他对缺省访问状态的影响。例如，

<Directory /www>
Order Allow,Deny
</Directory>

这样将会禁止所有对/www目录的访问，因为缺省状态将被设置为拒绝.

Order指令只在服务器配置的每个段内部控制访问指令的处理。 这暗示着，例如，一个在<Location>段出现的 Allow或者Deny指令总是将会在一个<Directory>段或者 .htaccess文件中出现的 Allow或Deny 指令之后被评估，而不管Order指令中的设置为何。要了解配置段落合并的详细信息， 参看How Directory, Location and Files sections work相关文档
1.只允许 12.34.56.01访问，其他的都不允许访问，当然包含12.34.56.78
<Directory /var/www/html/internal>
order allow,deny
allow from 12.34.56.01
</Directory>

2.只拒绝12.34.56.78，其他都允许：
<Directory /var/www/html/internal>
order deny,allow
deny from 12.34.56.78
</Directory>

tar命令
tar [-cxtzjvfpPN] 文件与目录 ….
参数：
-c ：建立一个压缩文件的参数指令(create 的意思)；
-x ：解开一个压缩文件的参数指令！
-t ：查看 tarfile 里面的文件！
特别注意，在参数的下达中， c/x/t 仅能存在一个！不可同时存在！
因为不可能同时压缩与解压缩。
-z ：是否同时具有 gzip 的属性？亦即是否需要用 gzip 压缩？
-j ：是否同时具有 bzip2 的属性？亦即是否需要用 bzip2 压缩？
-v ：压缩的过程中显示文件！这个常用，但不建议用在背景执行过程！
-f ：使用档名，请留意，在 f 之后要立即接档名喔！不要再加参数！
　　　例如使用『 tar -zcvfP tfile sfile』就是错误的写法，要写成
　　　『 tar -zcvPf tfile sfile』才对喔！
-p ：使用原文件的原来属性（属性不会依据使用者而变）
-P ：可以使用绝对路径来压缩！
-N ：比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中！
–exclude FILE：在压缩的过程中，不要将 FILE 打包！
范例：
范例一：将整个 /etc 目录下的文件全部打包成为 /tmp/etc.tar
[root@linux ~]# tar -cvf /tmp/etc.tar /etc<==仅打包，不压缩！
[root@linux ~]# tar -zcvf /tmp/etc.tar.gz /etc<==打包后，以 gzip 压缩
[root@linux ~]# tar -jcvf /tmp/etc.tar.bz2 /etc<==打包后，以 bzip2 压缩
# 特别注意，在参数 f 之后的文件档名是自己取的，我们习惯上都用 .tar 来作为辨识。
# 如果加 z 参数，则以 .tar.gz 或 .tgz 来代表 gzip 压缩过的 tar file ～
# 如果加 j 参数，则以 .tar.bz2 来作为附档名啊～
# 上述指令在执行的时候，会显示一个警告讯息：
# 『tar: Removing leading `/” from member names』那是关於绝对路径的特殊设定。

范例二：查阅上述 /tmp/etc.tar.gz 文件内有哪些文件？
[root@linux ~]# tar -ztvf /tmp/etc.tar.gz
# 由於我们使用 gzip 压缩，所以要查阅该 tar file 内的文件时，
# 就得要加上 z 这个参数了！这很重要的！

范例三：将 /tmp/etc.tar.gz 文件解压缩在 /usr/local/src 底下
[root@linux ~]# cd /usr/local/src
[root@linux src]# tar -zxvf /tmp/etc.tar.gz
# 在预设的情况下，我们可以将压缩档在任何地方解开的！以这个范例来说，
# 我先将工作目录变换到 /usr/local/src 底下，并且解开 /tmp/etc.tar.gz ，
# 则解开的目录会在 /usr/local/src/etc 呢！另外，如果您进入 /usr/local/src/etc
# 则会发现，该目录下的文件属性与 /etc/ 可能会有所不同喔！

范例四：在 /tmp 底下，我只想要将 /tmp/etc.tar.gz 内的 etc/passwd 解开而已
[root@linux ~]# cd /tmp
[root@linux tmp]# tar -zxvf /tmp/etc.tar.gz etc/passwd
# 我可以透过 tar -ztvf 来查阅 tarfile 内的文件名称，如果单只要一个文件，
# 就可以透过这个方式来下达！注意到！ etc.tar.gz 内的根目录 / 是被拿掉了！

范例五：将 /etc/ 内的所有文件备份下来，并且保存其权限！
[root@linux ~]# tar -zxvpf /tmp/etc.tar.gz /etc
# 这个 -p 的属性是很重要的，尤其是当您要保留原本文件的属性时！

范例六：在 /home 当中，比 2005/06/01 新的文件才备份
[root@linux ~]# tar -N “2005/06/01″ -zcvf home.tar.gz /home

范例七：我要备份 /home, /etc ，但不要 /home/dmtsai
[root@linux ~]# tar –exclude /home/dmtsai -zcvf myfile.tar.gz /home/* /etc

范例八：将 /etc/ 打包后直接解开在 /tmp 底下，而不产生文件！
[root@linux ~]# cd /tmp
[root@linux tmp]# tar -cvf – /etc | tar -xvf -
# 这个动作有点像是 cp -r /etc /tmp 啦～依旧是有其有用途的！
# 要注意的地方在於输出档变成 – 而输入档也变成 – ，又有一个 | 存在～
# 这分别代表 standard output, standard input 与管线命令啦！
# 这部分我们会在 Bash shell 时，再次提到这个指令跟大家再解释啰！

服务器确实开着selinux的，更改selinux的配置文件将其设为disable，可我不想重启服务器，有以下解决办法：

执行命令：setenforce 0

就可以不重启关闭selinux了，不过关闭selinux而使zend optimizer生效毕竟不是完美的解决办法，继续关注中。

附selinux的资料：

selinux简介

SElinux 在linux内核级别上提供了一个灵活的强制访问控制系统(MAC)，这个强制访问控制系统是建立在自由访问控制系统(DAC)之上的。

DAC是指系统的安全访问控制都是由系统管理员root自由管理的，不是系统强制行为

MAC运行的时候，比如一个应用程序或者一个线程以某个用户UID或者SUID运行的时候同样对一些其他的对象拥有访问控制限制，比如文件,套接子（sockets）或者其他的线程

通过运行SElinux MAC内核可以保护系统不受到恶意程序的侵犯，或者系统本身的bug不会给系统带来致命影响（把影响限定在一定范围内）

SElinux为每一个用户，程序，进程，还有文件定义了访问还有传输的权限。然后管理所有这些对象之间的交互关系

对于SELinux设定的对象全限是可以根据需要在安装时候规定严格程度，或者完全禁用

在大多数情况下，SElinux对于用户来说是完全透明的，普通用户根本感觉不到Selinux的存在，只有系统管理员才需要对这些用户环境，以及策略进行考虑。这些策略可以按照需要宽松的部署或者应用严格的限制，Selinux提供了非常具体的控制策略，范围覆盖整个linux系统

比如，当一个对象如应用程序要访问一个文件对象，内核中的控制程序检查访问向量缓存(AVC),从这里寻找目标和对象的权限，如果在这里没有发现权限定义，则继续查询安全定义的上下关联，以及文件权限，然后作出准许访问以及拒绝访问的决定。如果在var/log/messages出现avc: denied信息,则表明访问拒绝。

目标和对象通过安装的策略来决定自身的安全关联，同时这些安装的策略也负责给系统产生安全列表提供信息。

除了运行强制模式以外，SELinux可以运行在许可模式，这时候，检查AVC之后，拒绝的情况被记录。Selinux不强制使用这种策略.

以下介绍一下SELinux相关的工具

/usr/bin/setenforce 修改SELinux的实时运行模式

setenforce 1 设置SELinux 成为enforcing模式

setenforce 0 设置SELinux 成为permissive模式

如果要彻底禁用SELinux 需要在/etc/sysconfig/selinux中设置参数selinux=0 ，或者在/etc/grub.conf中添加这个参数

/usr/bin/setstatus -v

察看系统的状态

以下是运行输出，请参考

SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: enforcing

Policy version: 18

一、动态页面本身

动态页面输出两个必要要素：

1、  Last-Modified

Last-Modified的时间可以不用很在意，它不会对缓存时间产生影响。

格式以asp页面为例：

Response.AddHeader “Last-Modified”,”Wed, 07 Jan 2010 10:35:56 GMT”

2、  Cache-Control

关键。指要缓存的时间。

格式以asp页面为例：

Response.CacheControl=”max-age=120″

缓存两分钟。

二、关于精确的缓存时间
 

①：浏览器第一次请求，Squid无缓存对象；

②：向后端请求；

③：（重要！）

第一：后端响应Squid的请求；

第二：Squid收到后端响应，把对象放入cache，并把后端响应时后端web服务器的当前时间（time_A）作为对象缓存时间的下限；Web服务器响应请求时会在响应header里加一个Date值,表示响应请求的时间；

④：Squid响应浏览器；

⑤：（重要！）浏览器再次请求同一对象

       第一：Squid得到自己服务器当前时间（time_B）；

       第二：计算响应header中age的值

       Age= time_B- time_A

       第三：判断过期

       如果age> max-age则重新从后端获取；

       如果age< max-age则后cache响应浏览器(HTTP/1.0 304 Not Modified)

    第四：如果web服务器的时间小于squid服务器时间,会使age偏大,使页面缓存时间小于页面max-age指定的时间;反之会使age偏小,使页面缓存时间大于页面max-age指定的时间

三、关于浏览器刷新

1、IE刷新

IE刷新会请求头里添加If-Modified-Since及其它不与缓存相关的东西；

2、Firefox、Opera、傲游等

它们的刷新会添加请求header里添加Cache-Control=max-age=0，这样导致squid重新从后端获取数据。