原本以为是网络问题，没大留意。但频繁出现数次，还居然一直持续。

在Cacti中查看，网卡占用居然达到机房百兆宽带的所有，12m/s

查看网卡的实时流量，得到了相同结果。

而且 CPU 也有点不正常，用 Top 命令查看，占用最高的是 Httpd 进程。即 Apache

原以为是受到了页面攻击，但这样在进程里头出现的，还应该有 Nginx 跟 Mysql 才对。

不会就这么孤独地只有 Apache。

正在我继续查找原因，攻击停下来了，网卡流量恢复正常。

查看了所有的 WEB 访问日志，无一是有能够解释到该现状的记录。

因为如果是 页面攻击，就好比是压力测试般，肯定会有某个或几个地址有重复不断的垃圾请求。

但日志上显示得相当悠然。

好了，没过多久，流量又来了！httpd 进程把 2个 cpu核心占用到 100%

网卡冲到 12m/s

使用网络命令 netstat -ant 查看，没有 DDOS 之类攻击所产生的 wait 。

而且链接IP还越来越少，这时候从本地 Ping 服务器的响应基本上是 timeout 了

一但把 Apache 停下来，流量就会消失。再次启动！没过多久又会再来。

为了知道到底是哪个 IP 令我产生这样的事，我安装了既时流量检测工具 iftop

iftop介绍详见：http://www.oschina.net/p/iftop

经检测，传输量最大的 IP 是 60.219.100.3 这个IP，直接访问能打开到网站。

使用 IPtables 命令禁止该IP访问本机！！无效，流量继续！

哟？？？？！！ 再次使用 IPtables 命令禁止本机访问该IP ！！！这下流量终于停了。

哟！！这事情就明白多了，绝对能断点我的服务器成为了肉鸡，受到操控对特定目标进行了攻击。

而进行攻击的木马，不是啥米东西，而是 PHP 程序！

应该是在服务器里头某个虚拟主机网站有漏洞，被放入了 PHP DDOS 攻击木马！

然而，剩下的问题就更加复杂了，如何在海量文件的目录里头找到那个木马？

希望是有一个杀毒程序能帮我扫描到….但我还没能找到这个，如果网友们有的不妨推荐推荐。

我的思路是，开启 Apache 的 Server Status。 这家伙能实时查看到 Apache 正在执行那个程序。

而且详细到执行时间，输出数据量等等…

详细可见：http://www.oschina.net/bbs/thread/12650

好了！这下我就可以坐着等兔子再次跑上门来！

还有一个方法，就是把 PHP safe_mod 打开，能禁用掉一些例如 调用 系统 Shell 参数的语法。

来导致木马无法执行。可以我倒还真想把这兔子抓住，所以现在在等待中…

####################

2010-11-9 更新

####################

PHP safe_mod 不能随意打开！期中一个副作用就是导致 Cacti 无法调用 rrdtools 等参数。

就算设置了例外目录也无效！

最后我在 Apache，PHP 上都配置了 php_admin_value open_basedir 选项。

使得虚拟主机的用户无法越权访问到所属目录外的文件，当然也包括 shell 命令了。

但无效，黑客依然能利用暗藏在目录里头的肉鸡程序发动攻击。

虽然攻击事件在凌晨或者早上！！虽然我没在电脑旁！！

但我使用了 curl 对 ApacheStatus 页面的定时抓取作为了日志！！

与 Cacti 配合，一发现高流量！就追索该时间的日志！！

哈哈！这下子被逮个正着！！！！！

以下是 ApacheStatus 的截图，Req 项特别高的！就是 PHP肉鸡程序送发送的  UDP 攻击数据包。

在此也顺便公布攻击来源，辽宁省盘锦市 联通 119.115.80.102 但也有可能是一台跳板肉鸡。

至此，我服务器上存在漏洞的网站被暂时关闭了，经查看文件修改日期，黑客还放了不少后门程序。

看了得好好清除清除才能再次上线了。

而抓到的肉鸡！用 VI 打开，居然是使用 Zend 加密的！！

有没朋友对加密这东西有办法解决的，短信我，我给你发去研究研究。

1，Nginx 的 GZIP 配置

2，Apache 的 mod_deflate.so  模块

3，各种 PHP 程序中通过 PHP自身 实现压缩。

等等…

期中使用 PHP 自身也有2种实现方法，一种是开启zlib.output_compression，一种是 ob_gzhandler编码

在默认情况下，zlib.output_compression是关闭的，如需开启需编辑php.ini文件，找到以下选项并开启：

zlib.output_compression = On
zlib.output_compression_level = 6

完成后可以通过phpinfo()函数检测结果，当zlib.output_compression的Local Value和MasterValue的值同为On时，表示已经生效，这时候访问的PHP页面（包括伪静态页面）已经GZIP压缩了，通过Firebug或者在线网页GZIP压缩检测工具可检测到压缩的效果。

但如果需要使用ob_gzhandler(默认)，则需关闭zlib.output_compression(2个同时开启会出乱子)，把php.ini文件内容更改为：

zlib.output_compression = Off
zlib.output_compression_level = -1

ob_gzhandler是多数程序(discuz,phpwind等)推荐的用法

前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题，以及如何通过应用程序漏洞突破系统，这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写cgi脚本的时候我们的确一定注意各种安全问题，对用户输入进行严格的过滤，但是常在岸边走哪有不湿鞋，吃烧饼哪有不掉芝麻，人有失蹄马有失手，连著名的phpnuke、phpMyAdmin等程序都出现过很严重的问题，更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题，比如象前一阵子 phpnuke的可以上传php脚本的大问题了，我们如何通过对服务器的配置使脚本出现如此问题也不能突破系统。

1、编译的时候注意补上已知的漏洞

从4.0.5开始，php的mail函数加入了第五个参数，但它没有好好过滤，使得php应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源码包里ext/standard/mail.c文件，禁止mail函数的第五参数或过滤shell字符。在mail.c文件的第152行，也就是下面这行：

if (extra_cmd != NULL) {

后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);然后编译php那么我们就修补了这个漏洞。

2、修改php.ini配置文件

以php发行版的php.ini-dist为蓝本进行修改。

1)Error handling and logging

在Error handling and logging部分可以做一些设定。先找到：

display_errors = On

php缺省是打开错误信息显示的，我们把它改为：

display_errors = Off

关闭错误显示后，php函数执行错误的信息将不会再显示给用户，这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置，以及一些其它有用的信息，起码给攻击者的黑箱检测造成一定的障碍。这些错误信息可能对我们自己有用，可以让它写到指定文件中去，那么修改以下：

log_errors = Off

改为：

log_errors = On

以及指定文件，找到下面这行：

;error_log = filename

去掉前面的;注释，把filename改为指定文件，如/usr/local/apache/logs/php_error.log

error_log = /usr/local/apache/logs/php_error.log

这样所有的错误都会写到php_error.log文件里。

2)Safe Mode

php的safe_mode功能对很多函数进行了限制或禁用了，能在很大程度解决php的安全问题。在Safe Mode部分找到：

safe_mode = Off

改为：

safe_mode = On

这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和“被禁止，其它的一些执行函数如：exec(), system(), passthru(), popen()将被限制只能执行safe_mode_exec_dir指定目录下的程序。如果你实在是要执行一些命令或程序，找到以下：

safe_mode_exec_dir =

指定要执行的程序的路径，如：

safe_mode_exec_dir = /usr/local/php/exec

然后把要用的程序拷到/usr/local/php/exec目录下，这样，象上面的被限制的函数还能执行该目录里的程序。

关于安全模式下受限函数的详细信息请查看php主站的说明：

http://www.php.net/manual/en/features.safe-mode.php ;

3)disable_functions

如果你对一些函数的危害性不太清楚，而且也没有使用，索性把这些函数禁止了。找到下面这行：

disable_functions =

在”=“后面加上要禁止的函数，多个函数用”,“隔开。

3、修改httpd.conf

如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

<Directory /usr/local/apache/htdocs>

php_admin_value open_basedir /usr/local/apache/htdocs

</Directory>

这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

Warning: open_basedir restriction in effect. File is in wrong directory in

/usr/local/apache/htdocs/open.php on line 4 等等。

4、对php代码进行编译

Zend对php的贡献很大，php4的引擎就是用Zend的，而且它还开发了ZendOptimizer和ZendEncode等许多php的加强组件。优化器ZendOptimizer只需http://www.zend.com注册就可以免费得到，下面几个是用于4.0.5和4.0.6的ZendOptimizer，文件名分别对于各自的系统：

ZendOptimizer-1.1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Solaris-sparc.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Windows-i386.zip

优化器的安装非常方便，包里面都有详细的说明。以UNIX版本的为例，看清操作系统，把包里的ZendOptimizer.so文件解压到一个目录，假设是/usr/local/lib下，在php.ini里加上两句：

zend_optimizer.optimization_level=15

zend_extension=”/usr/local/lib/ZendOptimizer.so” 就可以了。用phpinfo()看到Zend图标左边有下面文字：

with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies

那么，优化器已经挂接成功了。

但是编译器ZendEncode并不是免费的，这里提供给大家一http://www.PHPease.com的马勇设计的 编译器外壳，如果用于商业目的，请http://www.zend.com联系取得许可协议。

php脚本编译后，脚本的执行速度增加不少，脚本文件只能看到一堆乱码，这将阻止攻击者进一步分析服

务器上的脚本程序，而且原先在php脚本里以明文存储的口令也得到了保密，如mysql的口令。不过在服务器端改脚本就比较麻烦了，还是本地改好再上传吧。

5、文件及目录的权限设置

web目录里除了上传目录，其它的目录和文件的权限一定不能让nobody用户有写权限。否则，攻击者可以修改主页文件，所以web目录的权限一定要设置好。

还有，php脚本的属主千万不能是root，因为safe_mode下读文件的函数被限制成被读文件的属主必须和当前执行脚本的属主是一样才能被读，否则如果错误显示打开的话会显示诸如以下的错误：

Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not

allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php

on line 3

这样我们能防止许多系统文件被读，比如：/etc/passwd等。

上传目录和上传脚本的属主也要设成一样，否则会出现错误的，在safe_mode下这些要注意。

6、mysql的启动权限设置

mysql要注意的是不要用root来启动，最好另外建一个mysqladm用户。可以在/etc/rc.local等系统启动脚本里加上一句：

su mysqladm -c “/usr/local/mysql/share/mysql/mysql.server start”

这样系统重启后，也会自动用mysqladmin用户启动mysql进程。

7、日志文件及上传目录的审核及

查看日志和人的惰性有很大关系，要从那么大的日志文件里查找攻击痕迹有些大海捞针，而且也未必有。

web上传的目录里的文件，也应该经常检查，也许程序有问题，用户传上了一些非法的文件，比如执行脚本等。

8、操作系统自身的补丁

一样，给系统打已知漏洞的补丁是系统管理员最基本的职责，这也是最后一道防线。

经过以上的配置，虽然说不上固若金汤，但是也在相当程度上给攻击者的测试造成很多麻烦，即使php脚本程序出现比较严重的漏洞，攻击者也无法造成实际性的破坏。

如果您还有更古怪，更变态的配置方法，希望能一起分享分享；）

顾名思义，MySQL Query Cache 就是用来缓存和 Query 相关的数据的。具体来说，Query Cache 缓存了我们客户端提交给 MySQL 的 SELECT 语句以及该语句的结果集。大概来讲，就是将 SELECT 语句和语句的结果做了一个 HASH 映射关系然后保存在一定的内存区域中。

在大部分的 MySQL 分发版本中，Query Cache 功能默认都是打开的，我们可以通过调整 MySQL Server 的参数选项打开该功能。主要由以下5个参数构成：

• query_cache_limit：允许 Cache 的单条 Query 结果集的最大容量，默认是1MB，超过此参数设置的 Query 结果集将不会被 Cache
• query_cache_min_res_unit：设置 Query Cache 中每次分配内存的最小空间大小，也就是每个 Query 的 Cache 最小占用的内存空间大小
• query_cache_size：设置 Query Cache 所使用的内存大小，默认值为0，大小必须是1024的整数倍，如果不是整数倍，MySQL 会自动调整降低最小量以达到1024的倍数
• query_cache_type：控制 Query Cache 功能的开关，可以设置为0(OFF),1(ON)和2(DEMAND)三种，意义分别如下：
  • 0(OFF)：关闭 Query Cache 功能，任何情况下都不会使用 Query Cache
  • 1(ON)：开启 Query Cache 功能，但是当 SELECT 语句中使用的 SQL_NO_CACHE 提示后，将不使用Query Cache
  • 2(DEMAND)：开启 Query Cache 功能，但是只有当 SELECT 语句中使用了 SQL_CACHE 提示后，才使用 Query Cache
• query_cache_wlock_invalidate：控制当有写锁定发生在表上的时刻是否先失效该表相关的 Query Cache，如果设置为 1(TRUE)，则在写锁定的同时将失效该表相关的所有 Query Cache，如果设置为0(FALSE)则在锁定时刻仍然允许读取该表相关的 Query Cache。

Query Cache 如何处理子查询的？
这是我遇到的最为常见的一个问题。其实 Query Cache 是以客户端请求提交的 Query 为对象来处理的，只要客户端请求的是一个 Query，无论这个 Query 是一个简单的单表查询还是多表 Join，亦或者是带有子查询的复杂 SQL，都被当作成一个 Query，不会被分拆成多个 Query 来进行 Cache。所以，存在子查询的复杂 Query 也只会产生一个Cache对象，子查询不会产生单独的Cache内容。UNION[ALL] 类型的语句也同样如此。

Query Cache 是以 block 的方式存储的数据块吗？
不是，Query Cache 中缓存的内容仅仅只包含该 Query 所需要的结果数据，是结果集。当然，并不仅仅只是结果数据，还包含与该结果相关的其他信息，比如产生该 Cache 的客户端连接的字符集，数据的字符集，客户端连接的 Default Database等。

Query Cache 为什么效率会非常高，即使所有数据都可以 Cache 进内存的情况下，有些时候也不如使用 Query Cache 的效率高？
Query Cache 的查找，是在 MySQL 接受到客户端请求后在对 Query 进行权限验证之后，SQL 解析之前。也就是说，当 MySQL 接受到客户端的SQL后，仅仅只需要对其进行相应的权限验证后就会通过 Query Cache 来查找结果，甚至都不需要经过 Optimizer 模块进行执行计划的分析优化，更不许要发生任何存储引擎的交互，减少了大量的磁盘 IO 和 CPU 运算，所以效率非常高。

客户端提交的 SQL 语句大小写对 Query Cache 有影响吗？
有，由于 Query Cache 在内存中是以 HASH 结构来进行映射，HASH 算法基础就是组成 SQL 语句的字符，所以必须要整个 SQL 语句在字符级别完全一致，才能在 Query Cache 中命中，即使多一个空格也不行。

一个 SQL 语句在 Query Cache 中的内容，在什么情况下会失效？
为了保证 Query Cache 中的内容与是实际数据绝对一致，当表中的数据有任何变化，包括新增，修改，删除等，都会使所有引用到该表的 SQL 的 Query Cache 失效。

为什么我的系统在开启了 Query Cache 之后整体性能反而下降了？
当开启了 Query Cache 之后，尤其是当我们的 query_cache_type 参数设置为 1 以后，MySQL 会对每个 SELECT 语句都进行 Query Cache 查找，查找操作虽然比较简单，但仍然也是要消耗一些 CPU 运算资源的。而由于 Query Cache 的失效机制的特性，可能由于表上的数据变化比较频繁，大量的 Query Cache 频繁的被失效，所以 Query Cache 的命中率就可能比较低下。所以有些场景下，Query Cache 不仅不能提高效率，反而可能造成负面影响。

如何确认一个系统的 Query Cache 的运行是否健康，命中率如何，设置量是否足够？
MySQL 提供了一系列的 Global Status 来记录 Query Cache 的当前状态，具体如下：

mysql> SHOW VARIABLES LIKE ‘%query_cache%’;

• Qcache_free_blocks：目前还处于空闲状态的 Query Cache 中内存 Block 数目
• Qcache_free_memory：目前还处于空闲状态的 Query Cache 内存总量
• Qcache_hits：Query Cache 命中次数
• Qcache_inserts：向 Query Cache 中插入新的 Query Cache 的次数，也就是没有命中的次数
• Qcache_lowmem_prunes：当 Query Cache 内存容量不够，需要从中删除老的 Query Cache 以给新的 Cache 对象使用的次数
• Qcache_not_cached：没有被 Cache 的 SQL 数，包括无法被 Cache 的 SQL 以及由于 query_cache_type 设置的不会被 Cache 的 SQL
• Qcache_queries_in_cache：目前在 Query Cache 中的 SQL 数量
• Qcache_total_blocks：Query Cache 中总的 Block 数量

可以根据这几个状态计算出 Cache 命中率，计算出 Query Cache 大小设置是否足够，总的来说，我个人不建议将 Query Cache 的大小设置超过256MB，这也是业界比较常用的做法。

MySQL Cluster 是否可以使用 Query Cache？
其实在我们的生产环境中也没有使用 MySQL Cluster，所以我也没有在 MySQL Cluster 环境中使用 Query Cache 的实际经验，只是 MySQL 文档中说明确实可以在 MySQL Cluster 中使用 Query Cache。从 MySQL Cluster 的原理来分析，也觉得应该可以使用，毕竟 SQL 节点和数据节点比较独立，各司其职，只是 Cache 的失效机制会要稍微复杂一点。

新配了一台服务器，全新 RedHat 5.4 X64 的OS ，Intel 5500系列的CPU
Apache 2.2.14  + PHP 5.2.6 + Zend 3.3.x + eaccelerator 0.9.4

每到了一段时间，八核CPU就会有2核 始终恒定在 100% 占用进程是 httpd 即 apache
由于还有其他6核的资源，所以访问没有任何影响。
找了好久原因，一度怀疑是 mod_mpm 的问题，调整了无数次参数。
后来由于流量越来越高，出现的频率越来越频繁，差不多2天就又变成这样了。
查看 error_log 看到不断有提示：

child pid ***** exit signal Segmentation fault (11)
child pid ***** exit signal Segmentation fault (11)
child pid ***** exit signal Segmentation fault (11)

重启 Apache 的时候还更会一堆过来。
好不容易找到原因，原来是因为 PHP 加速器 eaccelerator 0.9.4 跟 As5.4 X64 内核的兼容有问题。
之前在 As5.3 X64 上是完全正常的

于是下载了最新的 eaccelerator V0.9.6
重新编译 eaccelerator 升级覆盖，问题解决！

Nginx 占用 80 端口，过滤静态请求，然后动态请求即 Proxy 到 Apache 的 8080 端口。
Proxy 反向代理的好处是访问的时候，始终就是 80 端口，来访者不会觉察到有任何的区别。

但有的应用确非常“聪明”，识别到 Apache 所位于的端口是 8080 ，就会把相关的超链接都一并加上 :8080 的后续。这么就死定了，还能有正常访问麽？！

有个方法可以解决这事，就是把 apache 也运行在80端口上。
同一台服务器，有Nginx 也有 Apache，2个httpd服务，都是80，不会冲突麽？

下边就是举例方法。

Nginx.conf 的配置中

server {

listen 80;
server_name www.ABC.com;

}

修改一下。

server {

listen 192.168.3.3:80;       #指定Nginx只占用某个IP的80端口。
listen 192.168.10.3:80;           #如果你服务器中有多个IP，还可以指定多个。
server_name www.ABC.com;

}

如果你在Nginx有多个虚拟主机，每一个都需要这么修改。

然后轮到 apache 的 httpd.conf

把原来的

Listen 80

改为

Listen 127.0.0.1:80

跟Nginx一样，指定apache所占用的IP及端口。
保存退出，重启apache即可生效。
如果你 apache 上也有多个虚拟主机。无需好像Nginx那样逐一修改，只要都是 80 端口既可。

如：

NameVirtualHost *:80

<VirtualHost *:80>
    ServerAdmin hello@abc.com
    DocumentRoot /data/web_server/admin
    ServerName www.ABC.com
</VirtualHost>

这样，Nginx 跟 Apache 就仅会占用指定IP的80端口，不会冲突。
只要调整一下 Nginx proxy 的参数。
“聪明”应用问题就能解决了。

之前发过在回帖中，发现的人不多，现在开主题发。

步骤不多，也把各个配置的细节，用途都写出来了，新手们认真看。

首先配的是 httpd.conf 的虚拟主机配置

如下：httpd.conf 找到 #NameVirtualHost 去掉前边的 # 然后配置如下

NameVirtualHost *:80

#########################################

<VirtualHost *:80>
    ServerAdmin xxx@xxx.com
    DocumentRoot “/opt/webroot”
    ServerName localhost
    #ErrorLog logs/error.log
    JkMountFile conf/localhost.properties
</VirtualHost>

#########################################

<VirtualHost *:80>
    ServerAdmin xxx@xxx.com
    DocumentRoot “/opt/web1″
    ServerAlias www.web1.com
    #ErrorLog logs/error.log
    JkMountFile conf/web1.properties   #加载mod_jk配置路径
</VirtualHost>

#########################################

<VirtualHost *:80>
    ServerAdmin xxx@xxx.com
    DocumentRoot “/opt/web2″
    ServerAlias www.web2.com
    #ErrorLog logs/error.log
    JkMountFile conf/web2.properties  #加载mod_jk配置路径
</VirtualHost>

##################################

以上配置的前提是你已经顺利编译安装好 mod_jk 模块

然后修改 mod_jk 的全局配置 httpd-jk.conf

vim conf/extra/httpd-jk.conf

LoadModule      jk_module       modules/mod_jk.so

JkWorkersFile   conf/workers.properties   #指定各个配置文件路径
JkMountFile     conf/urimap.properties
JkLogFile       logs/mod_jk.log
JkLogLevel      warn

<Location /jkstatus>    #管理页面
    JkMount status
</Location>
:wq 保存退出

#########################

然后创建各自的 web1.properties ，web2.properties 配置文件，目录路径跟 httpd.conf 相同

# vim conf/web1.properties

/*=tomcat_web1 

!/*.gif=web1 
!/*.jpg=web1
!/*.png=web1
!/*.html=web1
!/*.htm=web1

#第一行的意思是把请求转往代号为 tomcat_web1(命名可与虚拟主机无关) 的 tomcat 端, 一会我们需要在 workers.properties 配置中设置。
#而剩下的是不需要转往 tomcat 的请求类型, 因为 tomcat 处理静态文件性能很差, 所以这里的规则就是过滤，把静态文件处理留给apache。
:wq 保存退出

web2.properties 的配置方式跟 web1 相同。

#################################

 编辑 jk 全局配置

# Vim workers.properties

worker.list=tomcat_web1,tomcat_web2,status     #告诉 jk 你需要他统管的 tomcat 名(代号) 最后一个”status” 是jk 的管理页面

worker.status.type=status  #为 status 路径设置属性为管理页面。

############# 先配置好每个 tomcat 与 JK 的链接参数 ################
worker.s1.type=ajp13    #协议类型
worker.s1.host=127.0.0.1 #tomcat所在服务器的ip，如果是本机就是 127.0.0.1
worker.s1.port=8108 #tomcat的端口
worker.s1.lbfactor=1 #如果是均衡负载状态,多个tomcat的负载比例。

worker.s2.type=ajp13
worker.s2.host=127.0.0.1
worker.s2.port=8109
worker.s2.lbfactor=1

############## 再配置 tomcat 与 jk 的调度 ###############

worker.tomcat_web1.type=lb    #lb 的意思是可集成多个tomcat均衡负载，但只有一个tomcat 的时候也可以使用。
worker.tomcat_web1.balance_workers=s1  #开头的”worker.tomcat_web1″对应web1.properties的配置。这里配置群组的tomcat成员。”s1″ 是成员代号。对应上边tomcat的链接参数。
worker.tomcat_web1.sticky_session=True #是否打开session 粘贴。

worker.tomcat_web2.type=lb #意义同上
worker.tomcat_web2.balance_workers=s2
worker.tomcat_web2.sticky_session=True

:wq 配置完成后保存退出

 ###########################

配置路径名：

编辑或创建 urimap.properties

# vim urimap.properties

/*=lb         # 把请求发往 lb
/jkstatus=status  # 把JK管理页面的连接定为 http://www.web1.com/jkstatus 或者 http://www.web2.com/jkstatus 

:wq 保存退出

你也可以修改或创建相同目录里localhost.properties 把 管理页面链接加到里边。这么链接地址就为 http://localhost/jkstatus
#####################

然后就剩下 tomcat 了

修改端口号对应tomcat 组这个不用说了吧？

最重要说的是既然在各自的 web1.properties 跟 workers.properties中配置了 tomcat 名, 这么除了告诉jk tomcat的IP地址以及端口号, 还必须告诉 tomcat 他的名字。

Engine jvmRoute=”tomcat_web1″

分别在 tomcat1 跟 tomcat2 的  server.xml 中找到相应的配置. 改上相应的参数！

到此，即完成整个 Apache + JK + tomcat 的配置过程。

详细请看：http://www.oschina.net/discuss/thread/675

简单说就是，Nginx –> Apache 能获取到用户访问的真实IP .

但如果反过来，又或者是 Squid –> Nginx 呢？

有这么一情况，某网站静态文件很多，而且用户访问的来源有网通，有电信，有铁通…设置还有国外。
为了令处于不同网络运营商的用户收取静态文件的速度都有良好的体现，该网站分别在这些不同运营商的积分中部署了Squid，然后统一 Proxy 到主站的 Nginx 上，形成分布式缓存架构。

如果单是这样的话，主站上 Nginx 的日志，或者应用所获得的IP来源，始终都只会是各个机房中 Squid 的IP。而不是用户的真实IP。Apache 的话，能通过以上所提到的mod_rpaf解决。当然，强大的 Nginx 也有自己的看家法宝。

Nginx 有个在编译时默认不加载的模块 http_realip_module ，就是用来实现这一功能。
但网上很多作者对这一模块的理解完全错误，以为是 Proxy 参数里头的 proxy_set_header 。

proxy_set_header 用于向后端转发 IP head，这一参数是位于 proxy_module  模块中的，而并非 http_realip_module .
好多的博主写文章的时候，都把这模块的用途写成了“为后端应用提供 realip ”

Nginx 官方 wiki 对于该模块的说明 http://wiki.nginx.org/NginxHttpRealIpModule

“It is useful if nginx works behind some proxy of L7 load balanver, and request come from local IP, but proxy add request header with client’s IP.

This module isn’t built by default, enable it with the configure option ”

说简单了，就是 Nginx 的 http_realip_module = Apache 的 mod_rpaf 用于接受前端发来的 IP head 信息，从获取到真是的用户IP。

配置方式相当简单，重新编译 Nginx 加上 –with-http_realip_module 参数，如：

./configure –prefix=/opt/nginx –with-http_stub_status_module  –with-pcre=../pcre-6.6 –with-http_realip_module
make
make install

怎么？Nginx 的服务正在跑着？要重启不容易？
简单，原来你的 Nginx 装在哪，重新编译的时候就选哪，直接 make install 进去就会把原来的覆盖掉。

然后执行 Killall -s USR2 nginx 即可平滑升级。
编辑 Nginx.conf

在 location 里头插入

set_real_ip_from   192.168.1.0/24;     指定接收来自哪个前端发送的 IP head 可以是单个IP或者IP段
set_real_ip_from   192.168.2.1;  
real_ip_header     X-Real-IP;         IP head  的对应参数，默认即可。

配置跟 mod_rpaf  大致相同！

配置完成后 sbin/nginx -t 测试语法
测试无误执行 Killall -s HUP nginx 平滑加载配置。

这么就无间断完成了Nginx这一模块的加载。