今天收到一个老用户的电话，说一直在运行的Apache（HTTPD） 服务突然无法启动。据说没有修改任何的配置文件，就是昨晚重启机器后服务就无法起来了。类似的问题，首先排除的是系统和服务日志，messages 和httpd下面的error.log都没发现报错信息。在httpd 服务中加入-x 排错标记，发现是httpd 执行失败，怀疑与Apache 上额外的模块有关。把/etc/httpd/conf.d中的文件都移走，HTTPD服务可正常启动。逐一排除，发现问题是nss.conf 配置导致的。但从配置文件的修改时间来看，该文件在最近并没有修改，而是与其他配置一样都保持在系统刚安装的时间。
    再次查看服务日志，从/var/log/httpd/nss_error_log 文件中看到如下的错误：

    看来是证书过期了。

    Apache中设置虚拟主机时，ServerName 的设置不支持扩展符，故若需支持泛域名解析，应用ServerAlias 进行配置。

    最早接触Satisfy，是这样一个情况，一个目录启用了密码保护，想单独开放它的一个子目录，让这个子目录无须密码即可访问，那么需要这样设置：

    经过前面的讲解，相信大家对Subversion的使用也基本了解。但之前讲述的svn://协议和http://采用的都是明文方式，这可能会带来安全问题。我们可以采用svn+ssh或Apache+SSL的方式增强安全性。

    在前面的日志中，讲述了如何使用Subversion提供的svnserve服务，通过svn://协议访问远端的仓库数据。实际上，Subversion的设计包括了一个抽象的网络层，这意味着版本库是可以通过各种服务器进程访问的。理论上来会说，Subversion可以使用无限数量的网络协议来实现，甚至可以直接用perl利用相关的接口来编写自定义协议。但日常中，用得最多的就是svn://协议，和用mod_dav_svn模块通过Apache服务进行访问。
    通过HTTP协议访问版本库是Subversion的亮点之一，这种方式具备许多svnserve服务器所没有的特性，使用上更加灵活。

    今天在调整网站架构时，突然发现可以直接浏览到子目录下的结构和文件。我觉得这是一个比较危险的情况，特别是Apache配置中是打开该选项的，有必要关闭它。

    昨天提到，当想在Web页面上去调用一个需要root权限的命令时，可以使用赋予脚本suid权限，并且交换euid和uid的方式来解决。但现在又遇到一个新问题，httpd服务器与需执行的root权限命令并不在一台服务器上。也就是说，需要从Web页面上调用一个远程服务器上的需root权限的系统命令。这可是一个让人头疼的问题。

    为了安全保护，apache默认的编译选项是不支持root作为其服务运行的用户的，而应使用apache用户来运行。但在某些情况下，我们确实有这样的需求，如：编写了某个CGI程序，其中需要调用/sbin下的命令，挂载某个设备文件、修改iptables参数等。下面我们利用suid权限来解决，提供两个方法。
（注意，一旦给脚本赋予suid权限，让apache可运行root权限的程序时，务必做好安全检查，特别是由客户端输入的信息。）

    默认情况下，Apache 只允许在cgi-bin目录下执行 CGI 程序，而不像lighttpd等可以全目录下运行。但有时候为了方便使用或调试，我们希望全部目录都能执行CGI。下面是解决方法。

   正如前面提到的，syslog-ng是可用于替代系统原来的sysklog日志服务器。其配置简单，并且支持多种不同的日志目的导向方式，包括mysql数据库。以下再配合php-syslog-ng套件，即可从浏览器实现日志的观察和过滤，相当方便。
演示环境：http://syslog.linuxfly.org
用户名和密码都是：demo

   几天前出差，在某酒店上网，发现除80外，所有的端口都给屏蔽了。这可麻烦了，很多事情都做不了，后来，只能先从网上找了一个临时代理，然后通过VPN绕过网关，速度慢些，但起码可用吧。回来就马上搭建一个本地的代理服务器，为减轻服务器的负载，不想再多开端口，先试试Apache吧。
   我要实现的功能很简单，就是一个正向代理，并可允许通过VPN链接即可：
一、平台
操作系统：红旗DC Server 5.0 SP2
应用平台：Apache 2.0