Httpd2.2常见配置及功能

Httpd 2.2常见配置

要配置http服务的配置文件,先备份一下,养成良好习惯,如果误操作导致http服务起不来,就可以将备份的主配置文件重新覆盖一下

httpd配置文件的组成:有三大部分组成,其实配置文件里面的内容放的顺序没有规定,之所以把它划分为三部分是为了查看更加清晰

# grep "Section" /etc/httpd/conf/httpd.conf

### Section 1: Global Environment 全局配置

### Section 2: 'Main' server configuration 主服务器配置

### Section 3: Virtual Hosts 虚拟主机

配置格式:directive value

directive: 不区分字符大小写

value: 为路径时,是否区分大小写,取决于文件系统

了解http服务的配置文件是学好http服务的基础,下面我们就一起来看一下http服务的配置文件有哪些功能

在启动http服务时,总会有一些错误,如图:

修改httpd服务的配置文件

vim /etc/httpd/conf/httpd.conf,进入到配置文件之后搜索ServerName,然后按照格式随便添加一个域名就行了

然后再重启服务,这样就没有报错了

2、显示服务器版本信息

ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full

ServerTokens Prod[uctOnly] Server: Apache

ServerTokens Major: Server: Apache/2

ServerTokens Minor: Server: Apache/2.0

ServerTokens Min[imal]: Server: Apache/2.0.41

ServerTokens OS: Server: Apache/2.0.41 (Unix)

ServerTokens Full (or not specified): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2

This setting applies to the entire server and cannot be enabled or disabled on a virtualhost-by-virtualhostbasis.

After version 2.0.44, this directive also controls the information presented by the ServerSignaturedirective.

建议使用:ServerTokens Prod,这时因为别人可以通过远程来查看你的服务器版本信息,知道了你的服务器版本信息,就可以针对你的服务器版本来攻击你,使用了Prod,就会隐藏你的服务器版本信息

curl -I 192.168.10.135 可以显示服务器版本信息

修改版本信息(修改配置文件)

vim /etc/httpd/conf/httpd.conf,进入到配置文件后,搜索ServerTokens,如图:

改完之后,在重新加载配置文件,service httpd reload,再次查看服务器版本信息

服务器版本隐藏

3.修改监听的IPPort

Listen [IP:]PORT

(1) 省略IP表示为本机所有IP

(2) Listen指令至少一个,可重复出现多次

Listen 80

Listen 8080

在httpd服务的配置文件当中,监听的端口默认为80端口,你也可以人为的修改端口,比如修改成9527端口

重新加载httpd服务service httpd reload,再查看一下端口号ss -ntl

没有80端口,此时监听http服务的是9527端口,此时你在访问时就要指定端口号了,不然会访问失败

当然你也可以将改端口号绑定在指定的本机IP地址上,不指定就默认绑定在本机的所有IP地址上,如图:将80端口绑定在本机的192.168.10.135上,将9527端口绑定在172.17.0.182

然后再重新加载httpd服务,查看端口号

这样别人访问时就必须指定端口号了,因为192.168.10.135绑定在80端口上,不指定就默认为80端口,所以能访问成功,而172.17.0.182绑定在9527端口上,这时你不指定就不能访问了

示例:

Listen 192.168.1.100:8080

Listen 80

查看服务对应的端口

4.持久连接

Persistent Connection:连接建立,每个资源获取完成后不会断开连接,而是继续等待其它的请求完成,默认关闭持久连接

断开条件:数量限制:100

时间限制:以秒为单位,httpd-2.4 支持毫秒级

副作用:对并发访问量较大的服务器,持久连接功能会使用有些请求得不到响应

折衷:使用较短的持久连接时间

设置:KeepAlive On|Off

KeepAlive Timeout15

MaxKeepAlive Requests100

测试:telnet WEB_SERVER_IP PORT

GET /URL HTTP/1.1

Host: WEB_SERVER_IP

如果不配置http服务配置文件的话,默认只能访问一个资源,就断开连接

http服务配置文件将KeepAlive off改为KeepAlive on

再去访问资源时就能够连续访问多个资源,而不断开连接

5、MPM(Multi-Processing Module)多路处理模块

prefork, worker, event(试验阶段)

httpd-2.2不支持同时编译多个模块,所以只能编译时选定一个;rpm安装的包提供三个二进制程序文件,分别用于实现对不同MPM机制的支持

确认方法:

psaux | grep httpd

默认为/usr/sbin/httpd, prefork模式

查看静态编译的模块

httpd -lhttpd.worker -l

查看静态编译及动态装载的模块

httpd –Mhttpd.worker -M

动态模块路径

/usr/lib64/httpd/modules/动态模块路径

 

更换使用的httpd程序:

vim /etc/sysconfig/httpd

HTTPD=/usr/sbin/httpd.worker

重启服务生效

pstree -p|grep httpd查看进程和线程

prefork的默认配置:

<IfModule prefork.c>

StartServers     8 开启的服务器(表现为开启了http服务,运行了8httpd主程序)

MinSpareServers     5 最小空闲服务器

MaxSpareServers     20 最大空闲服务器

ServerLimit 256 最多进程数,最大20000

MaxClients 256 最大并发

MaxRequestsPerChild 4000 子进程最多能处理的请求数量。在处理MaxRequestsPerChild 个请求之后,子进程将会被父进程终止,这时候子进程占用的内存就会释放(0时永远不释放)

</IfModule>

worker的默认配置:

<IfModule worker.c>

StartServers 4

MaxClients 300

MinSpareThreads 25

MaxSpareThreads 75

ThreadsPerChild 25

MaxRequestsPerChild 0 无限制

</IfModule>

将来开启了http服务就会运行4httpd.worker程序,每个主程序包含25个线程,所以总共有100个线程,但是支持最多的空闲线程只有75个,所以要杀死一个httpd.worker程序,所以当你开启了http服务,就只有3httpd.worker程序运行

测试性能

ab -c 100 -n 1000 http://192.168.10.135/a.jpg总共1000个请求访问a.jpg,并发同时能够访问100个,注意:访问的页面尽量大一些,不然无法测试性能

ll /var/www/html

1.prefork,将主程序改为httpd

经过几次测试,prefork每秒能够处理的次数大约为520

2.测试worker,将主程序改为httpd.worker

经过几次测试,worker每秒能够处理的请求次数大约为512

由此可以看出preforkwork的性能差不多

6、DSO:Dynamic Shared Object(动态共享对象)

加载动态模块配置

/etc/httpd/conf/httpd.conf

配置指定实现模块加载格式:

LoadModule<mod_name> <mod_path>

模块文件路径可使用相对路径:

相对于ServerRoot(默认/etc/httpd

示例:

LoadModuleauth_basic_module

modules/mod_auth_basic.so

http服务要实现一个功能,要看他的模块是否加载,在http服务的配置文件中,如果你把某个模块给注释掉,然后再重启http服务,那么http服务就没有了这个模块所对应的功能,例如:我将modules/mod_auth_basic.so这个模块给注释掉,如图:

重启服务,再查看所有的动态和静态模块就查不到了,http服务就没有这个basic验证的功能了

7、定义'Main' server的文档页面路径

DocumentRoot"/path"

文档路径映射:

DocumentRoot指向的路径为URL路径的起始位置

示例:

DocumentRoot"/app/data"

http://HOST:PORT/test/index.html

--> /app/data/test/index.html

注意:SELinuxiptables的状态

更改'Main' server的文档页面路径

默认是/var/www/html,如图我将默认的路径给注释掉,更改为/app/data

然后再/app/data目录下建一个index.html,再在里面写点东西

vim /app/data/index.html

在重启服务,再来访问,访问的页面就是在/app/data下编辑的index.html的内容,不是/var/www/index.html的内容了

 

8、定义站点主页面

DirectoryIndex index.html index.html.var

在http服务的配置文件中,定义了站点的主页面

访问站点的主页面先找index.html,再找index.html.var如果都找不到,就会访问一个错误页面

为什么会返回一个错的页面呢,这是因为在另外一个配置文件/etc/httpd/conf.d/welcome.conf做了配置

vim /etc/httpd/conf.d/welcome.conf

 

我在根目录下面建一个子目录bbs,里面创建一个index.html文件,并写上内容

接下来我访问这个页面,能访问

如果把bbs里面的index.html文件改个名a.html,再次去访问,竟然显示站点的文件列表,这样是很危险的

再点一下a.html才能访问

所以应该在http服务器的根目录下面以及其下面的子目录都建一个index.html或者index.html.tar文件,以防止这种现象出现

9.站点访问控制常见机制

可基于两种机制指明对哪些资源进行何种访问控制

访问控制机制有两种

1.客户端来源地址

2.用户账号

文件系统路径:

<Directory "/path">目录

...

</Directory>

<File "/path/file">具体的文件路径

...

</File>

<FileMatch"PATTERN">正则表达式来匹配

...

</FileMatch>

URL路径:

<Location "">

...

</Location>

<LocationMatch"">

...

</LocationMatch>

示例:

<FilesMatch "\.(gif|jpe?g|png)$">正则表达式

<Files "?at.*"> 通配符,?是任意的一个字符,.就是点,*是任意字符串

<Location /status> URL

<LocationMatch "/(extra|special)/data"> URL

 

10、<Directory>中"基于源地址"实现访问控制

(1) Options:后跟1个或多个以空白字符分隔的选项列表

在选项前的+-表示增加或删除指定选项

常见选项:

Indexes:指明的URL路径下不存在与定义的主页面资源相符的资源文件时,返回索引列表给用户

FollowSymLinks:允许访问符号链接文件所指向的源文件

None:全部禁用

All:全部允许

1.更改根目录的权限,对某个用户设置acl权限,或者设置根目录下文件的权限来实现访问控制

注意:设置acl权限是对apache用户设置,因为访问资源是通过apache用户来访问的

2.也可以在主配置文件里配置,也可以在子配置文件中配置,为了方便管理,在子配置文件中配置/etc/httpd/conf.d/*.conf

在/etc/httpd/conf.d/目录下随便创建一个以conf为结尾的配置文件,这就是http服务的子配置文件,假如说创建一个test.conf文件

vim /etc/httpd/conf.d/test.conf

如果什么都不加,就默认能够访问软链接,和不能子目录下的索引,也就是子目录的文件列表(在子目录下没有index.html或者index.html.tar的情况下)

将根目录改为/app/data

单独对根目录进行配置,其子目录也会继承根目录的配置

现在我想要拒绝能够访问软链接和拒绝显示子目录下的索引,如图,也可以写成options none,不加-允许

重启服务,这样别人就不能访问你的软链接和子目录的索引了,而且根目录的子目录会继承父目录的配置,所以别人也不能访问子目录里的软链接和子目录下的子目录索引

f1fstab的软链接,不能访问软链接

bbs是根目录下的子目录,bbs目录中没有index/htmlindex.html.tar,也不能访问目录的索引

f2是根目录的子目录下的软链接,也不能访问

bbs1bbs的子目录,并且里面没有index.html或者index.html.tar,也不能访问bbs1的索引

也可以单独对根目录下的子目录进行配置,让其不继承对根目录的配置

f2bbs目录下的软链接,又能访问了

bbs1bbs的子目录,又能访问其索引了

(2) AllowOverride

与访问控制相关的哪些指令可以放在指定目录下的.htaccess(由AccessFileName指定)文件中,覆盖之前的配置指令

只对<directory>语句有效

AllowOverride All: 所有指令都有效

AllowOverride None.htaccess 文件无效

AllowOverride AuthConfig Indexes除了AuthConfig Indexes的其它指令都无法覆盖

注意:.htaccess这个文件必须在你所做了访问控制的目录里创建,如图:我对/app/data做了访问控制,所以要在/app/data下创建.htaccess覆盖之前的访问控制指令

vim /app/data/.htaccess在这个文件里设置配置指令来覆盖之前的配置指令,如图:拒绝了访问子目录的索引和访问软链接

如图:不能访问子目录的索引

如图:也不能访问软链接

 

(3)order和allow、deny(HTTP2.4版本已经取消,使用别的方法代替)

放在directory, .htaccess

order:定义生效次序;写在后面的表示默认法则

Order allow,deny

Order deny,allow

Allow from, Deny from

来源地址:

IP

网络:172.16

172.16.0.0

172.16.0.0/16

172.16.0.0/255.255.0.0

还在http服务的子配置文件来配置

vim /etc/htpd/conf.d/test.conf

<directory /app/data>

配置指令

</directory>

配置指令如下:

示例1

order allow deny

allow from 192.168.10.188

deny from 192.168.10.200

允许和拒绝的毫无关系,所以order后面的allowdeny次序无所谓,允许192.168.10.188访问,拒绝192.168.10.200访问

示例2

order allow deny

allow from 192.168.10.0/14

deny from 192.168.10.200

允许的包括拒绝的,因为order后面deny在最后,所以拒绝的生效,允许192.168.10.0/24这个网段里的所有IP地址访问,但除了192.168.10.200

示例3

order deny allow

allow from 192.168.10.0/14

deny from 192.168.10.200

允许的包括拒绝的,因为order后面allow放在最后,所以允许的生效,允许192.168.10.0/24这个网段里的所有IP地址访问

 

11.日志设定

日志类型:

访问日志

错误日志

错误日志:

ErrorLoglogs/error_log

LogLevelwarn

loglevel可选值:

debug, info, notice, warn,error

crit, alert, emerg

访问日志:

定义日志格式:LogFormatformat strings

LogFormat"%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

自定义日志格式:

CustomLog logs/access_log combined

如图:将原本的日志格式注释掉,添加自定义的日志格式

然后再来访问一下,查看日志

参考帮助:http://httpd.apache.org/docs/2.2/mod/mod_log_config.html#formats

%h 客户端IP地址

%l 远程用户,启用mod_ident才有效,通常为减号"-"

%u 验证(basicdigest)远程用户,非登录访问时,为一个减号"-"

•%t 服务器收到请求时的时间

•%r First line of request,即表示请求报文的首行;记录了此次请求的"方法""URL"以及协议版本

•%>s 响应状态码

•%b 响应报文的大小,单位是字节;不包括响应报文http首部

•%{Referer}i 请求报文中首部"referer"的值;即从哪个页面中的超链接跳转至当前页面的

•%{User-Agent}i 请求报文中首部"User-Agent"的值;即发出请求的应用程序

 

12、设定默认字符集

AddDefaultCharset    UTF-8

中文字符集:GBK, GB2312, GB18030

设置指定的字符集(默认是UTF-8),修改http服务的配置文件

查看指定的字符集

12、定义路径别名

格式:Alias /URL/ "/PATH/"

DocumentRoot"/www/htdocs"

http://www.magedu.com/download/bash.rpm

==>/www/htdocs/download/bash.rpm

Alias /download/ "/rpms/pub/"

http://www.magedu.com/download/bash.rpm

==>/rpms/pub/bash.rpm

http://www.magedu.com/images/logo.png

==>/www/htdocs/images/logo.png

定义路径别名:假如我访问根目录下的bbs就给你跳转到/app/bbsdir下的主页面

1./app下建一个目录bbsdir,在这个目录下创一个主页面文件index.html

mkdir /app/bbsdir

echo /app/bbdir > /app/bbsdir/index.html

2。改http服务的配置文件,我们还是改子配置文件

vim /etc/httpd/conf.d/test.conf

alias /bbs /app/bbsdir (注意这里的/bbs是相对路径,相对于/var/www/html)

然后重新加载服务service httpd reload

3.访问根目录下的bbs,如图:确实跳转到了/app/bbsdir目录下的主页面

 

14、基于用户的访问控制

认证质询:WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户端提供账号和密码

认证:Authorization:客户端用户填入账号和密码后再次发送请求报文;认证通过时,则服务器发送响应的资源

认证方式两种:

basic:明文

digest:消息摘要认证,兼容性差

安全域:需要用户认证后方能访问的路径;应该通过名称对其进行标识,以便于告知用户认证的原因

用户的账号和密码:

虚拟账号:仅用于访问某服务时用到的认证标识

存储:文本文件,SQL数据库,ldap目录存储,nis

basic认证配置示例:

(1) 定义安全域

<Directory "/path">

Options None

AllowOverride None

AuthType Basic

AuthName "String"

AuthUserFile "/PATH/HTTPD_USER_PASSWD_FILE"

Require user username1 username2 ...

</Directory>

允许账号文件中的所有用户登录访问:

Require valid-user

(2)提供账号和密码存储(文本文件)

使用专用命令完成此类文件的创建及用户管理

htpasswd[options] /PATH/HTTPD_PASSWD_FILE username

-c:自动创建文件,仅应该在文件不存在时使用(注意创建第一个用户需要指定-c,创建第二个用户是就不要指定-c了,这样会覆盖创建的第一个用户)

-mmd5格式加密,默认方式

-s: sha格式加密

-D:删除指定用户

基于组账号进行认证

(1) 定义安全域

<Directory "/path">

AuthTypeBasic

AuthName"String"

AuthUserFile"/PATH/HTTPD_USER_PASSWD_FILE"

AuthGroupFile"/PATH/HTTPD_GROUP_FILE"

Require group grpname1 grpname2 ...

</Directory>

(2) 创建用户账号和组账号文件;(创建组账号文件不用命令创建,直接用vim,在写入每行的组用户)

组文件:每一行定义一个组

GRP_NAME: username1 username2 ...

实验

1.基于用户账号进行认证

(1)在http服务的子配置文件进行配置,如下图:对根目录下的bbs进行访问控制(我在http服务的主配置文件中定义的根目录是/app/data),是基于basic验证的,用户账号目录是/etc.httpd/conf.d/.httpusers,允许用户http1http2访问。

(2)创建账号和密码,如图:创建http1,http2http33个用户

(3)然后再去访问web服务器根目录下的bbs目录,如图:这时访问web服务根目录下bbs目录,就不会直接打开bbs目录下的主页面了,需要输入用户和密码

根据我们在http服务的子配置文件的配置,用户http1http2能够访问,http3不能够访问

先来验证用户http1,能够访问

 

再来测试用户http3,不能访问

 

2.基于组账号进行认证

(1)在http服务的子配置文件里对根目录下的bbs目录进行访问控制,如下图:访问bbs目录需要进行basic验证,定义一个用户目录,定义一个组用户目录,允许组group1里的用户访问bbs目录

(2)在定义的用户目录创建用户账号并指定密码

(3)在定义的组用户目录下设置每个组中的用户

(4)测试,访问web服务器根目录下的bbs目录,根据在子配置文件做的访问控制,允许组group1里的用户访问,group1里的用户有http1http2,所以http1http2能够访问bbs目录下的主页面,http3不能访问,先测试http1,如图:成功访问,http1测试成功了,http2就不用测试了,直接测试http3

 

 

测试http3,不能够访问

 

远程客户端和用户验证的控制

Satisfy ALL|Any

ALL 客户机IP和用户验证都需要通过才可以

Any客户机IP和用户验证,有一个满足即可

如图:在http服务的子配置文件中,对根目录下的bbs目录做了访问控制,对客户机ip和用户进行验证,并且都需要通过才行

每个组中的用户

加载http服务,然后测试,

15、虚拟主机(在一个虚拟主机上可以建立多个站点)

站点标识:socket

IP相同,但端口不同

IP不同,但端口均为默认端口

FQDN不同;

请求报文中首部

Host: www.magedu.com

有三种实现方案:

1.基于ip:为每个虚拟主机准备至少一个ip地址

2.基于port:为每个虚拟主机使用至少一个独立的port

3.基于FQDN:为每个虚拟主机使用至少一个FQDN

注意:一般虚拟机不要与main主机混用;因此,要使用虚拟主机,一般先禁用main主机

禁用方法:注释中心主机的DocumentRoot指令即可

虚拟主机的配置方法:

<VirtualHostIP:PORT>

ServerNameFQDN

DocumentRoot"/path"

</VirtualHost>

建议:上述配置存放在独立的配置文件中

其它可用指令:

ServerAlias:虚拟主机的别名;可多次使用

ErrorLog:错误日志

CustomLog:访问日志

<Directory "/path">

</Directory>

Alias

(1)配置基于ip的虚拟主机

1.在你的一个网卡上添加3个地址

2.设置站点

在/app下建立3个目录,将来作为对应3IP地址的站点

3.http服务的子配置文件配置虚拟主机(配置虚拟主机可以参照http服务的主配置文件)

cat /etc/httpd/conf/httpd.conf 参照格式在最后面

参照上图的格式来配置虚拟主机

4.重新加载http服务,测试

5.在客户端,配置dns域名解析,就可以使用域名来访问站点了

编辑/etc/hosts文件,模拟dns解析

接着就可以用域名来访问站点了

(2)配置基于端口的虚拟主机

配置一个虚拟主机就要消耗一个IP地址,如果基于IP地址来配置虚拟主机就太浪费IP地址了,而基于端口来配置虚拟主机,只需要消耗一个IP地址,将一个IP地址绑定在多个端口上面,这样来配置多台虚拟主机。

1.1.设置站点,参考配置基于ip地址的虚拟主机的第二步

2.http服务的子配置文件里配置多台虚拟主机,如图:*代表本机的IP地址,本机的IP地址绑定不同的端口

3.重新加载http服务,通过访问不同的端口就可以访问不同的站点

4.在客户端,配置dns域名解析,就可以使用域名在加上端口来访问站点了

编辑/etc/hosts文件,模拟dns解析

 

(3)配置基于FQDN的虚拟主机

现在我们在访问一个站点都是通过访问域名来访问的,所以前两种方法来配置虚拟主机很少用,通常使用基于域名的方式来配置虚拟主机

如果在在请求报文的首部加上你要访问的站点,web服务器服务器通过分析你的请求报文首部来返回给你结果

1.设置站点,参考配置基于ip地址的虚拟主机的第二步

2.在http服务的子配置文件来配置基于域名的虚拟主机

vim /etc/httpd/con.d/test.conf

3.在客户端配置dns域名解析,来访问站点

编辑/etc/hosts文件,模拟dns域名解析

4.通过域名来访问不同的站点

5.查看日志文件,看看是否生成

6.在http服务的子配置文件中,哪个站点排在第一个谁就是默认站点

16、status页面(可以了解当前web服务器的工作的情况)

LoadModule status_module modules/mod_status.so

<Location /server-status>

SetHandler server-status

Order allow,deny

Allow from 172.16

</Location>

ExtendedStatus On 显示扩展信息

了解web服务器的工作情况,先查看status_mdule模块是否启动,再修改http服务的主配置文件

httpd -M|grep status 查看status_module模块是否启动,如果没有启动的话,要在http服务的主配置文件里添加该模块,如图:已经启动

vim /etc/httpd/conf/httpd.conf 修改http服务的主配置文件

重新加载一下http服务,然后再去访问,如图:就可以查看web服务器的工作情况

如果还想显示当前web服务器更加详细的工作情况,再修改一下http服务的主配置文件,如图:

重新加载一下http服务,再去查看一下当前web服务器的工作情况,就更加详细了,如图:

 

好了,今天的内容就到这里,下期再见。

posted @ 2017-10-22 16:42  大天使彦  阅读(854)  评论(0编辑  收藏  举报