A：实际测试中，

如果是RHEL 5.x自带PHP 5.1.6，兼容性最好的pma版本是5.8.2。官方已经不提供下载，可以在oldapps.com下载；如果可以升级PHP为5.2+，则可以在pma官网上选择最新的发行版。

1.通过软件包自己的version参数或者debug工具
例如，MySQL软件包中的mysqlbug，执行该工具，将返回debug信息，过滤出其中的Configure command代码块即可

附上其他常用service编译参数的查看方法

All Tested OK！

2.利用SRPM包的spec文件获取build信息
以上查看Apache编译的方法，只能service是采用tar.gz安装的环境。如果是rpm安装，利用该方法是行不通的，rpm安装的service，并不会留下config.nice。
解决办法就是搜索该软件是否有发布SRPM(.src.rpm后缀)，将其解压，查看spec文件中的%build代码块。

利用fuser揪出占用该端口的进程ID，并kill掉

发送apache启动信号

参考资料

Nginx的做法
添加以下server zone

或者是将非法域名的访问重定向

Apache的做法
使用_default_虚拟主机

使用这样一个使用通配符端口的默认虚拟主机可以有效的防止请求被主服务器接收。
如果一个地址/端口对已经被一个基于域名的虚拟主机使用，那么默认虚拟主机决不会处理发向这个地址/端口的请求。
如果一个请求的 Host:头中包含未知信息，或者干脆就没有，那么它会被第一个基于域名的虚拟主机
（就是在配置文件中首先出现的使用了那个地址/端口对的虚拟主机）处理。
您可以用AliasMatch或 RewriteRule来重写任何请求，使它指向一个简单信息页面（a single information page）（或脚本）。

[11:34:29.9] root@webserver:/usr/local/webserver/nginx# runlevel

[11:34:31.8] N 2webserverwebserver

#运行开机启动项管理器,详细截图见sysv-rc-conf.png

[13:01:32.4] root@webserver:~# sysv-rc-conf

#可以看到存在一些不必要的启动服务,其中包含apache,该服务与nginx冲突

#确保rc.local服务在runlevel2被启用

#之前推测,nginx的https服务和kerio mailserver的https服务相冲突.结合了需求,该WebServer不会挂其他https站点.保留kerio mailserver,重新编译nginx,去掉https选项

[14:13:45.5] root@webserver:~/download/nginx-0.7.61# ./configure –user=www –group=www –prefix=/usr/local/webserver/nginx –with-http_stub_status_module

[14:14:04.9] root@webserver:~/download/nginx-0.7.61# make

#关闭有冲突的Apache Service

[13:07:10.1] root@webserver:~# /etc/init.d/apache2 stop

#关闭进程,重新安装nginx

[00:16:02.5] root@webserver:~# killall nginx

[00:16:12.6] root@webserver:~# cd /root/download

[00:16:28.7] root@webserver:~/download# cd nginx-0.7.61

[00:16:34.0] root@webserver:~/download/nginx-0.7.61# make install

[00:18:28.7] root@webserver:/usr/local/webserver/nginx/conf# nginx

#启动,测试rc.local是否成功执行

[00:26:00.2] root@webserver:/usr/local/webserver/nginx/conf# reboot

#查看nginx和php进程是否启动

[00:29:42.8] root@webserver:~# ps -aux|grep ngin

[00:29:55.9] www 6401 0.0 0.2 14764 11672 ? S 00:28 0:00 nginx: worker process

[00:29:55.9] root@webserver:~# ps -aux|grep php

[00:29:59.9] root 6256 0.0 0.0 88624 3708 ? Ss 00:28 0:00 /usr/local/webserver/php/bin/php-cgi –fpm –fpm-config /usr/local/webserver/php/etc/php-fpm.conf

#陷阱1

The Mysterious — MARK –

All newbie admins asks what this means in /var/log/messages:

Jul 1 16:04:53 windbag — MARK –

Jul 1 16:24:53 windbag — MARK –

Jul 1 16:44:53 windbag — MARK –

That’s just the syslog daemon letting you know that it is alive and well. You may set the interval to anything you like on Debian by editing /etc/init.d/sysklogd. This sets it to 60 minutes:

SYSLOGD=”-m 60″

Then restart the syslog daemon:

# /etc/init.d/sysklogd restart

On Red Hat and derivatives, edit /etc/sysconfig/syslog :

SYSLOGD_OPTIONS=”-m 60″

Restart syslogd with service syslog restart. Then watch it happen in realtime on any Linux with tail -f /var/log/messages. (You can monitor the changes in any text file with tail.)

#陷阱2

exiting due to signal 15

yslogd: exiting on signal 15 这个看上去是syslogd正常的退出信息

Apache是全球使用最多的Web Server之一，近期Apache的官网被黑客入侵了，素包子根据apache网站的描述，分析了下黑客的思路。大概包含5个过程，虽然道路曲折，但黑客快速通关，一步一步的接近目标，有很多可圈可点的地方，还是相当精彩的。可惜最后people.apache.org没搞下来，否则可以写小说拍电影了，不过男女主角不能是aXi和aJiao。

1、通过跨站漏洞社工了几个管理员，获得JIRA（一个项目管理程序）后台管理权限，并修改相关设置，上传jsp木马。

2、在后台看到其他用户的帐号，通过登陆入口暴力跑密码，破解了几百个帐号。

官方说是“At the same time as the XSS attack”，我不这么认为，我认为是获取后台之后，能看到帐号了，才可以高效率的破解密码。如果不通过后台就可以破解几百个帐号，那这个事情早就发生了。

3、部署了一个JAR，可以记录登陆帐号及密码，然后用JIRA的系统发邮件给apache的管理人员说：“JIRA出现故障了，请你使用邮件里的临时密码登陆，并修改密码”，相关人员登陆了，并把密码修改成自己常用的密码，当然，这些密码都被记录下来了 ：）

4、正如黑客所算计的，上述被记录的密码中，有密码可以登陆brutus.apache.org，更让黑客开心和省心的是，这个可以登陆的帐号竟然具备完全的sudo权限，提权都不用提了，直接就是root，真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla。

5、brutus.apache.org上的部分用户保存了subversion的密码，黑客用这些密码登陆了people.apache.org，但是并没获得其他权限。这个people.apache.org可是apache的主服务器之一，如果root了这个机器，那基本可以获得所有apache主要人员的密码了。可惜，黑客们功亏一篑。

整个故事到此结束，下面说说Apache是如何发现自己被入侵的。

根据apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”，我猜测apache是因为黑客重设了用户密码这个行为才发现被入侵的。

如果说的是黑客重设的是JIRA的密码，那么就是因为黑客做戏没做足全套导致的，可能apache管理人员上去看之后，发现没啥问题，被忽悠了。

如果说的是黑客重设其他密码，我想不到整个过程中还需要重设什么其他的密码。

我还是对apache的安全措施非常好奇，到底是如何发现的？到底是相关人员安全敏感度高呢，还是黑客留下了一些痕迹被安全检查措施发现了。如果是后者的话，检查周期又是多长呢？24小时？

经验教训：

回头再看看黑客的整个攻击过程，素包子相信在细节上会有很多可以吸取教训的地方。从长远来看，可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侵检测系统等等，这些都是需要企业的安全部门长期投入去做的事情；相对短平快的方法是要求重要的人员、重要的应用、重要的系统使用双因素动态密码认证。

更多Apache官网被黑内幕，请访问素包子的网站 http://baoz.net

由于网站还提供在线音乐，怀疑是由于百度和迅雷的盗链影响，d4e上很多人都在反应迅雷对他们站点的影响很恶劣。 在Apache中启用防盗链（需要mod_rewrite支持 )
附上.htaccess配置文件

RewriteEngine  On
RewriteCond %{HTTP_HOST} !([a-zA-Z]*.)?sends.cc$ [NC] [OR]
RewriteCond %{HTTP_REFERER} !^http://([a-zA-Z]*.)?sends.cc/.*$ [NC]
RewriteRule .(mp3|wav|flv|gif|jpg|wma)$ – [F]
如上配置，在一定程度上缓解了服务器压力。Apache此时差不多可以顶1400个连接数，由此也引来一个问题，Apache子进程大量派生，Load average经常都上100（2×2核心，单个CPU此时的load大约在25左右（危急状态）。 Apache默认MaxRequestsPerChild为0，子进程在完成所有请求仍然不会退出，处于等候状态。在Apache2.conf中将其修改为适当的数字，我将其改成10000，子进程在处理完10000个Web请求之后自动退出，不再占用系统资源。
对访问优化
因为页面中含有大量图片和音视频的多媒体文件，所以可以使用高速Web缓存在解决访问速度问题。Apache有自带的缓存代理模块，不过效率不高，实际生产中却是很少用。我使用的是开源软件中享有盛名的Squid，该软件既有代理和缓存的双重功能，这里我们只用其缓存功能。
注：关于代理以及Squid的基本原理，http://home.arcor.de/jeffpang/squid/上有详细的解释，这里不再累述。
迄今，Squid的稳定版是squid-2.6.STABLE17，网上有各种归档文件，rpm和deb安装包都有，这里推荐源码包安装squid-2.6.STABLE17.tar.gz ，理由是可定制强，在实际应用中才能发挥最大功效。

configure很重要，这里提供我使用的参数给大家参考：
‘–with-maxfd=65535′ ‘–prefix=/usr/local/squid/’ ‘–disable-internal-dns’ ‘–enable-async-io’
–disable-internal-dns
squid源代码包含两个不同的DNS解决方案，叫做“内部的”和“外部的”。内部查询是默认的，但某些人可能要使用外部技术。该选项禁止内部功能，转向使用旧的方式。

内部查询使用 squid自己的DNS协议执行工具。也就是说，squid产生未完成的DNS查询并且将它们发送到一个解析器。假如超时，它重新发送请求，你能指定任意数量的解析器。该工具的有利处之一是，squid获得准确无误的DNS响应的TTLs。

外部查询利用C库的gethostbyname()和gethostbyaddr()函数。squid使用一个外部进程池来制造并行查询。使用外部DNS解析的主要弊端是你需要更多的辅助进程，增加squid的负载。另一个麻烦是C库函数不在响应里传输TTLs，这样squid使用postive_dns_ttl指令提供的一个常量值。

请注意–enable-async-io是打开其他三个./configure选项的快捷方式，它等同于：
–with-aufs-threads=N_THREADS

–with-pthreads

–enable-storeio=ufs,aufs

–with-pthreads
该选项导致编译过程链接到你系统中的P线程库。aufs存储模块是squid中唯一需要使用线程的部分。通常来说，如果你使用–enable-saync-io选项，那么不必再单独指定该选项，因为它被自动激活了。#Very Important,事实证明该参数对Squid的效率有强悍的催化作用。异步I/O是squid技术之一，用以提升存储性能。aufs模块使用大量的线程来执行磁盘I/O操作。该代码仅仅工作在linux和solaris系统中。=N_THREADS参数改变squid使用的线程数量。
make；make clean；make install
无误的话，就可以正常启动Squid了
squid -z #创建缓存区域
squid start（如果没在/usr/bin里建立squid的软链接用/usr/local/squid/sbin/squid start启动）
附上我的配置文件（squid.conf）
visible_hostname a.server
#—-端口设置—-
http_port 192.168.0.1:80 vhost vport
#xx.xx.xx.xx为这台服务器的IP地址
icp_port 0

#—-缓存设置—-
cache_mem 2000 MB
#设置Squid所能使用的内存共2000MB，这个值因人而异
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
#最大缓存文件大小，超过这个值则不缓存，最好不要过大，10MB以内比较合适，过大严重影响性能
maximum_object_size_in_memory 4096 KB
cache_dir aufs /raid/cache_web 100000 16 256
#磁盘缓存的类型和目录，大小，一二级目录的设置，这里磁盘缓存大小是20G

#—-日志设置—-
cache_store_log none
#这个设置是不记录store.log
emulate_httpd_log on
#打开emulate_httpd_log选项,将使Squid仿照Aapche的日志格式
pid_filename /var/log/squid/squid.pid
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log

#—-反向代理-完成高速WEB缓存功能
cache_peer 192.168.0.1 parent 8080 0 no-query originserver
cache_peer_domain 192.168.0.1 a.test.cc
acl QUERY urlpath_regex .wmv .mp3 .flv
cache deny QUERY

#—-访问控制列表—-
acl all src 0.0.0.0/0.0.0.0
#acl dst dstdomain .sends.cc
#acl dst_other dst 0.0.0.0/0.0.0.0
http_access allow all
#http_access allow dst
#http_access deny dst_other
#—-启动用户组
cache_effective_user proxy
cache_effective_group proxy

对用户访问进行限速（适用于低带宽或者容易堵塞的网络环境）
Apache的mod_bw提供了该功能，详细配置相对容易找到，请参看相关文档。
下载最新版本
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz

解压
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz
root# tar -vfxz mod_bw-0.7.tgz
root# cd mod_bw-0.7

修改mod_bw 0.7的bug：
由於mod_bw 0.7在编译时bug，会导致在安装后出现apr_atomic_add找不到的错误，所以要修改mod_bw.c
将原本的：
/* Compatibility for ARP < 1 */
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif

改成：
/* Compatibility for ARP < 1 */
/*
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif
*/

更新Debian软件包：
root# apt-get update

安装apxs2：
root# apt-get install apache2-prefork-dev

安装gcc：
root# apt-get install gcc

执行模组安装：
root# apxs2 -i -a -c mod_bw.c

这时就会安装到你的Apache的模组里，并且http.conf也已经自动加上了：
LoadModule bw_module modules/mod_bw.so

建立mod_bandwidth工作目录
root# mkdir -p /tmp/apachebw/link
root# mkdir -p /tmp/apachebw/master
root# chown -R nobody:nobody /tmp/apachebw
root# chmod -R 755 /tmp/apachebw

配置：

Options Includes FollowSymLinks MultiViews
AllowOverride None
order allow,deny
allow from all

# Limit BW usage
BandWidthModule On
ForceBandWidthModule On
#開放20KB对外使用
BandWidth all 51200
#每Connection最小带宽为50K
MinBandwidth all 51200
#大于50M的文件传输速率按50Kbytes/sec
#LargeFileLimit 51200 51200
#最大同时连接数量
#MaxConnection 300
把Apache服务器重新启动就可以实现对带宽的限制了。
———————————————————————————————————————-
apxs工具安装
编译mod_encoding时，必须要有apxs，httpd-devel中包括创建和安装扩展模块的apxs工具。如果是你安装了Apache，检查${APACHE_HOME}/bin/下是否存在apxs，如果存在则略过该步无需自己安装该程序包，如果尚未安装e则需要自己手动安装httpd-devel
友情提示
为防止站点资源被百度或者迅雷盗链，尽可能将你们的资源重新编码或者打包，有办法的话，还可以经常改变下载地址。
另外如果你怀疑有Dos攻击的话，可以运行
netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print $6}’ | sort | uniq -c | sort -n
这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能
这样的话，你需要打开tcp_syncookies
echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持syncookies，需要重新编译内核
同时降低syn重试次数
echo “1″ >; /proc/sys/net/ipv4/tcp_syn_retries
echo “1″ >; /proc/sys/net/ipv4/tcp_synack_retries
加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高。。）
echo “2048″ >; /proc/sys/net/ipv4/tcp_max_syn_backlog
如果还是不行，那么只能交给相应的硬件防火墙了

注：此配置目前可以撑到3000个同时在线连接。

[root@myhost php]# /usr/local/httpd/bin/apachectl stop
Syntax error on line 262 of /usr/local/httpd/conf/httpd.conf:
Cannot load /usr/local/httpd/modules/libphp5.so into server: /usr/local/httpd/modules/libphp5.so: undefined symbol: sqlite3ExprDeleteGoogle上很多人说是由于libphp5的权限问题和SeLinux安全问题，分析一下，可以否定这2种说法：

1.libphp5.so已经是755权限

2.ArchLinux是轻量级Linux，没有集成SeLinux安装功能

依照以往在其他Linux中的经验，问题应该出在最后的PHP之上，重新编译应该OK

依次执行make clean ; ./configure ; make ; make install

重新启动Apache，/path_apache/bin/apachectl start ,OK

放上phpinfo，测试PHP调用正常

    在实际环境中，元素丰富的页面产生的服务器负担不能小觑。几个月前配置的Apache最近终于撑不住了，在连接数达到1000的时候，页面访问已经相当迟缓，到了非优化不可的地步。

    由于网站还提供在线音乐，怀疑是由于百度和迅雷的盗链影响，d4e上很多人都在反应迅雷对他们站点的影响很恶劣。

• 在Apache中启用防盗链（需要mod_rewrite支持 )

附上.htaccess配置文件

RewriteEngine  On
RewriteCond %{HTTP_HOST} !([a-zA-Z]*.)?sends.cc$ [NC] [OR]
RewriteCond %{HTTP_REFERER} !^http://([a-zA-Z]*.)?sends.cc/.*$ [NC]
RewriteRule .(mp3|wav|flv|gif|jpg|wma)$ – [F]

    如上配置，在一定程度上缓解了服务器压力。Apache此时差不多可以顶1400个连接数，由此也引来一个问题，Apache子进程大量派生，Load average经常都上100（2×2核心，单个CPU此时的load大约在25左右（危急状态）。 Apache默认MaxRequestsPerChild为0，子进程在完成所有请求仍然不会退出，处于等候状态。在Apache2.conf中将其修改为适当的数字，我将其改成10000，子进程在处理完10000个Web请求之后自动退出，不再占用系统资源。

• 对访问优化

     因为页面中含有大量图片和音视频的多媒体文件，所以可以使用高速Web缓存在解决访问速度问题。Apache有自带的缓存代理模块，不过效率不高，实际生产中却是很少用。我使用的是开源软件中享有盛名的Squid，该软件既有代理和缓存的双重功能，这里我们只用其缓存功能。

     注：关于代理以及Squid的基本原理，http://home.arcor.de/jeffpang/squid/上有详细的解释，这里不再累述。

     迄今，Squid的稳定版是squid-2.6.STABLE17，网上有各种归档文件，rpm和deb安装包都有，这里推荐源码包安装squid-2.6.STABLE17.tar.gz ，理由是可定制强，在实际应用中才能发挥最大功效。

configure很重要，这里提供我使用的参数给大家参考：

‘–with-maxfd=65535′ ‘–prefix=/usr/local/squid/’ ‘–disable-internal-dns’ ‘–enable-async-io’

–disable-internal-dns

squid源代码包含两个不同的DNS解决方案，叫做“内部的”和“外部的”。内部查询是默认的，但某些人可能要使用外部技术。该选项禁止内部功能，转向使用旧的方式。

内部查询使用 squid自己的DNS协议执行工具。也就是说，squid产生未完成的DNS查询并且将它们发送到一个解析器。假如超时，它重新发送请求，你能指定任意数量的解析器。该工具的有利处之一是，squid获得准确无误的DNS响应的TTLs。

外部查询利用C库的gethostbyname()和gethostbyaddr()函数。squid使用一个外部进程池来制造并行查询。使用外部DNS解析的主要弊端是你需要更多的辅助进程，增加squid的负载。另一个麻烦是C库函数不在响应里传输TTLs，这样squid使用postive_dns_ttl指令提供的一个常量值。

请注意–enable-async-io是打开其他三个./configure选项的快捷方式，它等同于：

–with-aufs-threads=N_THREADS
–with-pthreads
–enable-storeio=ufs,aufs
–with-pthreads

该选项导致编译过程链接到你系统中的P线程库。aufs存储模块是squid中唯一需要使用线程的部分。通常来说，如果你使用–enable-saync-io选项，那么不必再单独指定该选项，因为它被自动激活了。#Very Important,事实证明该参数对Squid的效率有强悍的催化作用。异步I/O是squid技术之一，用以提升存储性能。aufs模块使用大量的线程来执行磁盘I/O操作。该代码仅仅工作在linux和solaris系统中。=N_THREADS参数改变squid使用的线程数量。

     make；make clean；make install

     无误的话，就可以正常启动Squid了

     squid -z #创建缓存区域

     squid start（如果没在/usr/bin里建立squid的软链接，就使用/usr/local/squid/sbin/squid start启动）

附上我的配置文件

visible_hostname a.server
#—-端口设置—-
http_port 192.168.0.1:80 vhost vport
#xx.xx.xx.xx为这台服务器的IP地址
icp_port 0

#—-缓存设置—-
cache_mem 2000 MB
#设置Squid所能使用的内存共2000MB，这个值因人而异
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB

#最大缓存文件大小，超过这个值则不缓存，最好不要过大，10MB以内比较合适，过大严重影响性能
maximum_object_size_in_memory 4096 KB
cache_dir aufs /raid/cache_web 100000 16 256
#磁盘缓存的类型和目录，大小，一二级目录的设置，这里磁盘缓存大小是20G

#—-日志设置—-
cache_store_log none
#这个设置是不记录store.log
emulate_httpd_log on
#打开emulate_httpd_log选项,将使Squid仿照Aapche的日志格式
pid_filename /var/log/squid/squid.pid
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log

#—-反向代理-完成高速WEB缓存功能
cache_peer 192.168.0.1 parent 8080 0 no-query originserver
cache_peer_domain 192.168.0.1 a.test.cc
acl QUERY urlpath_regex .wmv .mp3 .flv
cache deny QUERY

#—-访问控制列表—-
acl all src 0.0.0.0/0.0.0.0
#acl dst dstdomain .sends.cc
#acl dst_other dst 0.0.0.0/0.0.0.0
http_access allow all
#http_access allow dst
#http_access deny dst_other

#—-启动用户组

cache_effective_user proxy
cache_effective_group proxy

• 对用户访问进行限速（适用于低带宽或者容易堵塞的网络环境）

     Apache的mod_bw提供了该功能，详细配置相对容易找到，请参看相关文档。

下载最新版本
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz

解压
root# wget http://bwmod.sourceforge.net/files/mod_bw-0.7.tgz
root# tar -vfxz mod_bw-0.7.tgz
root# cd mod_bw-0.7

修改mod_bw 0.7的bug：
由於mod_bw 0.7在编译时bug，会导致在安装后出现apr_atomic_add找不到的错误，所以要修改mod_bw.c

将原本的：

/* Compatibility for ARP < 1 */
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif

改成：

/* Compatibility for ARP < 1 */
/*
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif
*/

更新Debian软件包：
root# apt-get update

安装apxs2：
root# apt-get install apache2-prefork-dev

安装gcc：
root# apt-get install gcc

执行模组安装：
root# apxs2 -i -a -c mod_bw.c

这时就会安装到你的Apache的模组里，并且http.conf也已经自动加上了：
LoadModule bw_module modules/mod_bw.so

建立mod_bandwidth工作目录
root# mkdir -p /tmp/apachebw/link
root# mkdir -p /tmp/apachebw/master
root# chown -R nobody:nobody /tmp/apachebw
root# chmod -R 755 /tmp/apachebw

配置：
Options Includes FollowSymLinks MultiViews
AllowOverride None
order allow,deny
allow from all
# Limit BW usage
BandWidthModule On
ForceBandWidthModule On
#開放20KB对外使用
BandWidth all 51200
#每Connection最小带宽为50K
MinBandwidth all 51200
#大于50M的文件传输速率按50Kbytes/sec
#LargeFileLimit 51200 51200
#最大同时连接数量
#MaxConnection 300

把Apache服务器重新启动就可以实现对带宽的限制了。

———————————————————————————————————————-

apxs工具安装
编译mod_encoding时，必须要有apxs，httpd-devel中包括创建和安装扩展模块的apxs工具。如果是你安装了Apache，检查${APACHE_HOME}/bin/下是否存在apxs，如果存在则略过该步无需自己安装该程序包，如果尚未安装e则需要自己手动安装httpd-devel

• 友情提示

     为防止站点资源被百度或者迅雷盗链，尽可能将你们的资源重新编码或者打包，有办法的话，还可以经常改变下载地址。

     另外如果你怀疑有Dos攻击的话，可以运行
     netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print $6}’ | sort | uniq -c | sort -n 
     这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能
     这样的话，你需要打开tcp_syncookies 
     echo 1 >; /proc/sys/net/ipv4/tcp_syncookies
     如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持syncookies，需要重新编译内核
     同时降低syn重试次数
     echo “1″ >; /proc/sys/net/ipv4/tcp_syn_retries
     echo “1″ >; /proc/sys/net/ipv4/tcp_synack_retries
     加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高。。）
     echo “2048″ >; /proc/sys/net/ipv4/tcp_max_syn_backlog
     如果还是不行，那么只能交给相应的硬件防火墙了