httpd服务详解及基于openssl的使用

httpd常见特性

1.事先创建空闲进程。

2.按需维持适当的进程。

3.使用模块化设计,核心比较小,各种功能都以模块方式添加。

4.支持运行时配置,支持单独编译模块。

5.支持多种方式的虚拟主机配置。

6.支持https协议,通过mod_ssl模块实现。

7.支持用户认证

8.支持基于IP或主机名的ACL 

9.支持基于每目录的访问控制。

10.支持URL重写。


MPM(Mulit Path Modules)多道处理模块。

mpm_winnt windows上专用的线程处理机制。


perfork 

预先生成多个进程,一个进程响应单个请求。

稳定性高,性能差。

单个进程崩溃不会影响到其他进程,但是会消耗大量的系统资源,特别是并发处理时要进行大量的进程切换。


worker 

启动多个进程,每个进程下生成多个线程响应多个请求。单个线程响应单个请求。

效率高,多个线程共享一个资源。但是会产生资源竞争问题。目前在linux上性能不如perfork高。


event 

基于事件驱动,一个进程同时处理多个请求。一个进程响应多个请求。


httpd更改所使用的模型,修改/etc/sysconfig/httpd。


虚拟主机:

物理服务器只有1个。

web程序只有1个。

却可以服务多个不同的站点。


常见类型:

默认主机,若使用此必须定义在第一个。

_default_:PORT

_default_:* 监听任意端口

_default_:80 监听80端口


基于IP的虚拟主机

IP1:PORT

IP2:PORT


基于端口的虚拟主机

IP:PORT1

IP:PORT2


基于域名的虚拟主机

IP:PORT

*:PORT 全部主机都监听同一个端口

ServerName不同






httpd:

安装:

httpd受SElinux控制的,所以需要先设置为permssive。


1.rpm包

#yum -y install httpd



2.源码编译


相关文件目录:

/usr/sbin/httpd 执行进程服务

主导进程(master process)

属主为root,属组为root。第一个进程,负责维护空闲进程。


工作进程(worker process)

属主为apache,属组为apache。


/etc/rc.d/init.d/httpd 服务脚本

启动后占用TCP的80端口,https占用TCP的443端口。


/etc/sysconfig/httpd 

为httpd服务脚本的配置文件。


/etc/httpd 

以rpm包安装后的工作根目录,相当于程序的安装目录。


/etc/httpd/conf 配置文件目录


/etc/httpd/conf/httpd.conf 主配置文件


/etc/httpd/conf.d/*.conf 

主配置文件的组成部分。在主配置文件中使用include包含此目录下的文件

welcome.conf 欢迎界面的配置文件。


/etc/httpd/modules 

模块路径,此路径为链接,指向/lib/httpd/。


/etc/httpd/logs 

日志目录,此路径为链接,指向/var/log/httpd/。

访问日志:access_log

客户端发起的请求及服务端响应的结果。

错误日志:err_log

错误的访问、服务器错误信息等。


/var/www/html 静态页面所在路径


/var/www/cgi-bin 

动态内容所在路径,CGI:Common Gateway Interface 通用网关接口。


/var/www/error/*

错误页面文件位置,可以自定义。


/etc/sysconfig/httpd

#HTTPD=/usr/sbin/httpd.worker 默认是使用perfork模式。若修改则取消注释并修改。



/etc/httpd/conf/httpd.conf

指令结构:

指令(directive) 值(value)

指令不区分字符大小写,值则根据需要进行是否区分大小写。


全局配置(Global Enviroment)

Servertokens OS|... 指定显示httpd显示详细信息的程度。


Serverroot "/etc/httpd" 指定httpd的根路径。


PidFile run/httpd.pid 指定pid文件的路径,此路径为相对路径。


Timetou 120 指定TCP三次握手建立连接,第一次握手成功成功等待第二次确认的超时时间。


KeepAlive on 是否启动长连接。


MaxKeepAliveRequests 100 指定长连接响应的个数,0表示无限制。


KeepAliveTimeout 15 长连接的断开时间为15秒。


<IfModule perfork.c>

StartServers 8 启动服务后生成空闲进程个数。


MinSpareServers 5 最少空闲进程,保证服务运行中最少空闲进程的个数。如不够则生成新空闲进程。


MaxSpareServers 20 最大空闲进程,如果空闲进程大于设定,则关闭多余进程。


ServerLimit 256 指定MaxClient的上限值。


MaxClient 256 最大客户端数,允许同时连接服务器的客户端个数。


MaxRequestsPerChild 4000 单个进程最大响应次数。超过此则结束进程重新生成。

</IfModule>


<IfModule worker.c>

StartServers 2 启动的进程数。


MaxClient 150 最大客户端数。


MinSpareThreads 25 最小空闲总线程数。


MaxSpareThreads 75 最大空闲总线程数。


TheardsPerChild 25 每个进程生成的最大线程数。


MaxRequestsPerChild 0 每个进程的最大响应数。这里因为使用线程,所以无法限定。

</IfModule>


Listen 80 指定监听端口,可监听多端口。


LoadModule MODNAME MODDIR 需要加载加载模块,指定模块名称和路径。


Include conf.d/*.conf 将该目录下的.conf文件的配置信息包含进来。


User apache 指定普通进程的属主。


Group apache 指定普通进程的属组。


中心服务器配置(‘Main‘ server configuration)

ServerAdmin MAILADDR 定义管理员的邮箱地址。


#ServerName SSERVERNAME:PORT 若注释掉,则则启动服务时会尝试反解析主机名,如果解析不到则报错。


DocumentRoot "/var/www/html" 指定网页文件存放位置。

<directory "/var/www/html">

Options OPTION

None 不支,km持任何选项。

Indexes 允许以目录索引的方式显示文件。一般用作提供文件下载的场景下使用。

FollowSymLinks 允许跟随符号链接,允许访问符号链接对应的源文件。会带来安全性问题,一般建议不使用。

Includes 允许执行服务器端包含,允许执行SSI格式网页文件,会带来安全问题,一般建议不使用。

SymLinksifOwnerMatch 对FollowSymLinks更进一步限定,允许执行符号链接,但是链接的的属主要同执行httpd进程的用户相同。一般建议不使用

ExecCGI 允许执行CGI脚本。

MultiViews 允许多视图。根据客户端来源的语言和文字判定显示对应的网页。

ALL 启用所有选项。


AllowOverride OPTION 允许覆盖ACL

All

None

AuthConfig 使用自定义的账号验证文件进行验证。 

Limit

FileInfo


Order allow,deny 指定ACL的模式为白名单(allow,deny)或者是黑名单(deny,allow)。


Allow form all 定义ACL列表,基于IP、主机名、网络地址

#Deny from


AuthType Basic 指定认证类型

AuthName "DESCRIPTION" 显示描述信息

AuthUserFile DIR 指定认证用户账号文件存放路径,例如/user/local/apache/passwd/paaaswords

AuthGroupFile DIR 指定认证用户组组文件路径,文件格式为GROUPNAME:USER1 USER2 ...


Require all granted 允许全部访问

Require all denied 全部禁止访问

Require user USERNAME 允许单个用户。

Require group GROUPNAME 允许某个组中的用户。

Require valid-user 认证用户账号中出现的账号都允许登陆

</directory>


DiretcoryIndex index.html index.html.var 定义默认显示的访问页面,优先级从左自右匹配。


AccessFileName .htaccess 定义基于每目录的访问控制。


<file ~ "^\.ht"> 匹配以.ht开头的文件 

Order allow,deny

Deny from all

</file>


TypeConfig /etc/mime.types 指定定义mime类型的文件


DefaultType text/plain 指定默认类型


HostnameLookups off 是否在日志中记录主机名的反解析信息


Errorlog logs/error_log 指定错误日志文件


LogLevel LEVEL 指定日志级别

LogFormat FORMAT TYPENAME 指定日志格式和名称

%h 远程主机地址

%l 远程主机登录名称

%u 登陆网站认证的用户名

%t 日志事件产生的时间

%r 请求报文的第一行

%s 最后一次请求的状态码

%b 相应报文的大小

%{Foobar}i 对应Foobar指定行的内容

 

CustomLog logs/access_log combind 定义访问日志文件以及要应用的日志格式。


Alias /ALIASNAME "DIR" 为某个路径设定别名。


虚拟主机(Virtual Hosts)

ServerName SERVERNAME

ServerAlias HOSTNAME  指定虚拟主机的主机别名

ScriptAlias SCRIPTNAME 指定脚本的别名


<Location "URLDIR"> 定义访问URL地址的权限方法等。

SetHandler server-status 实现匹配到的文件由对应的处理器进行处理动作。

Order Deny,allow

Deny form all

Allow from .foo.com

</Location>


<VirtualHost HOST> 这里HOST根据类型不同有不同写法,具体看上边对虚拟主机的相关。


</VirtualHost>

#DocumentRoot 若要启动虚拟主机则要在主服务器配置中禁用次项。


或者在/etc/httpd/conf.d/下新建单独的配置文件。


例如,创建虚拟主机,使用3种模式,同时分离日志,启动访问策略,禁止192.168.1.4访问。iaa.com访问的时候需要提供账号密码。:

#cd /etc/httpd/conf.d

#vim vh.conf

<VirtualHost 192.168.1.3:80>

ServerName www.test.com

DocumentRoot "/www/test.com"

CustomLog /var/log/httpd/test.com/access_log combind

</VirtualHost>


<VirtualHost _default_:80>

ServerName _default_

DocumentRoot "/www/default80"

</VirtualHost>


<VirtualHost 192.168.1.4:80>

ServerName abc.iaa.com

DocumentRoot "/www/iaa.com"

CustomLog /var/log/httpd/iaa.com/access_log combind

<Directory "/www/iaa.com">

Options none

AllowOverride authconfig

AuthType Basic 

AuthName "loggin" 

AuthUserFile "/etc/httpd/.htpasswd" 

Require valid-user

</Directory>

</VirtualHost>


<VirtualHost 192.168.1.4:8080>

ServerName www.ibb.net

DocumentRoot "/www/ibb.net"

CustomLog /var/log/httpd/ibb.net/access_log combind

</VirtualHost>


NameVitualHost 192.168.1.4:80

<VirtualHost 192.168.1.4:80>

ServerName www.idd.gov

DocumentRoot "/www/idd.gov"

CustomLog /var/log/httpd/idd.gov/access_log combind

<Directory "/www/idd.gov">

Opitons none

AllowOverride none

Order deny,allow

Deny from 192.168.1.14

</Diretctor>

</VirtualHost>


#cd /etc/httpd/conf/

#mkdir -pv /www{test.com,iaa.com,bii.net,idd.gov,default80}

#vim /www/test.com/index.html

#vim /www/iaa.com/index.html

#vim /wwww/ibb.net/index.html

#vim /wwww/idd.gov/index.html

#vim /wwww/default80/index.html


#ip addr add 192.168.1.4/24 device eth0

#vim httpd.conf

Listen 8080

#vim /etc/hosts


#cd /var/log/httpd/

#mkdir test.com iaa.com ibb.net idd.gov


#htpasswd -c -m /etc/httpd/.htpasswd tom

#htpasswd -m /etc/httpd/.htpasswd jerry


#systemclt restart httpd


注意:基于主机的访问,若直接输入ip地址,则会先显示www.iaa.com。即先返回配置文件中第一个符合的主机。



#httpd [OPTION]

[OPTION]

-l 列出当前支持模块。

-t 检测配置文件语法正确性。

-M 显示所有额外装载的模块。


#httpd.work 显示使用worker模型下支持的模块。


#httpd.envet 显示使用event模型下支持的模块。


#elinks [OPTION] URL 纯文本界面下的浏览器

[OPTION]

-dump 显示网页后立即退出,不在进入交互模式。

-source 显示网页源代码


#htpasswd [OPTION] FILE USERNAME [PASSWORD] 创建AuthConfig用户认证文件。

[OPTION]

-c 创建文件,只有第一次创建时使用,若文件已存在则会被清空

-n 用户的密码以md5方式存放的

-D 删除用户

 




压力测试工具:

ab

LoadRunner




SElinux:

配置文件:

/etc/selinux/config

/etc/sysconfig/selinux


#getenforce 查看SElinux状态

#setenforce NUM 临时设置SELinux状态

NUM

0 permissive 

1 enforcing


FireWall

#systemctl stop firewalld 停止防火墙

#systemclt disable firewalld 禁用防火墙服务



基于openssl的httpd服务配置

mod_ssl ssl的模块包,使用yum安装httpd必须要安装此包。


证书服务器上:

生成私钥:

#cd /etc/pki/CA

#(umask 077;openssl genrsa -out private/cakey.pem 2048)


编辑证书默认信息:

#vim ../tls/openssl.cnf


生成自签证书:

#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365

修改配置文件:

#vim ../tls/openssl.cnf

dir=/etc/pki/CA


#mkdir certs crl newcerts 根据配置文件的内容创建相关的文件夹和文件

#touch index.txt

#echo 00 > serial



签署证书:

#openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -dyas 3650





httpd服务器上:

放置证书:

#cd /etc/httpd/

#mkdir ssl

#cd ssl

#(umask 077;openssl genrsa 1024 > httpd.key )

#openssl req -new -key httpd.key -out httpd.csr 生成证书请求。

Common Name: 要使用证书的虚拟主机的名称。


将生成的证书请求文件复制到证书服务器:

#scp httpd.scr [email protected]:/tmp


将颁发的证书复制到本机:

#scp 192.168.100.4:/tmp/httpd.crt ./

#ll

httpd.crt

httpd.csr

httpd.key


配置ssl模块配置文件:

#cd /etc/httpd/conf.d/

#vim ssl.conf

SSLEngine on 启用ssl功能

SSLCertificateFile /etc/httpd/ssl/httpd.crt 指定ssl证书文件

SSLCertificateKeyFile /etc/httpd/ssl/http.key 指定私钥文件。

验证效果:

使用https://SERVER 访问即可查看证书信息


本文出自 “小私的blog” 博客,请务必保留此出处http://ggvylf.blog.51cto.com/784661/1638298

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。