httpd虚拟主机、站点访问控制、基于用户的访问控制、持久链接等应用配置实例
httpd配置内容
httpd2.2
配置文件:
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf
服务脚本:
/etc/rc.d/init.d/httpd
脚本配置文件:
/etc/sysconfig/httpd
主程序文件:
/usr/sbin/httpd
/usr/sbin/httpd.event
/usr/sbin/httpd.worker
日志文件:
/var/log/httpd:access_log:访问日志,error_log:错误日志
站点文档:
/var/www/html
模块文件路径:
/usr/lib64/httpd/modules
服务控制和启动:
chkconfig httpd on|off
service {start|stop|restart|status|configtest|reload} httpd
httpd2.4
配置文件:
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf
模块相关的配置文件:
/etc/httpd/conf.modules.d/*.conf
systemd unit file:
/usr/lib/systemd/system/httpd.service
主程序文件:
/usr/sbin/httpd(httpd-2.4支持MPM的动态切换)
日志文件:
/var/log/httpd: access_log:访问日志, error_log:错误日志
站点文档:
/var/www/html
模块文件路径:
/usr/lib64/httpd/modules
服务控制:
systemctl enable|disable httpd.service
systemctl {start|stop|restart|status} httpd.service
httpd的基础配置
1)修改监听的ip和port,在主配置文件/etc/httpd/conf/httpd.conf中修改,格式如:Listen [IP:]PORT。需要注意的有3点:
①省略IP表示匹配本机全部ip;
②Listen指令可重复出现多次;
③修改监听socket,重启服务进程方可生效。
示例:
[root@happiness ~]# vim /etc/httpd/conf/httpd.conf
Listen 80
Listen 192.168.4.50:8090
[root@happiness ~]# systemctl start httpd.service
[root@happiness ~]# ss -tan
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 192.168.4.50:8080 *:*
LISTEN 0 5 192.168.122.1:53 *:*
LISTEN 0 128 *:22 *:*
LISTEN 0 128 127.0.0.1:631 *:*
LISTEN 0 100 127.0.0.1:25 *:*
ESTAB 0 52 192.168.4.119:22 192.168.4.93:49948
LISTEN 0 128 :::80 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 128 ::1:631 :::*
LISTEN 0 100 ::1:25 :::*
2)长连接。tcp连续建立后,每个资源获取完成后不全断开连接,而是继续等待其它资源请求的进行。对并发访问量较大的服务器,长连接机制会使得后续某些请求无法得到正常响应,对这种情况,我们可以使用较短的持久连接时长,以及较少的请求数量。
配置指令:
KeepAlive On|Off #是否启用长连接
KeepAliveTimeout Seconds #超时时长
MaxKeepAliveRequests Number #最多保持多少个长连接的请求
示例:
[root@happiness ~]# vim /etc/httpd/conf.d/keepalive.conf #新建 KeepAlive On KeepAliveTimeout 30 MaxKeepAliveRequests 200 [root@happiness ~]# systemctl restart httpd.service [root@happiness ~]# telnet 192.168.4.50 8080 Trying 192.168.4.50... Connected to 192.168.4.50. Escape character is '^]'. GET /index.html HTTP/1.1 HOST:192.168.4.50 #输入后连按两次Enter HTTP/1.1 200 OK Date: Fri, 08 Jun 2018 04:25:03 GMT Server: Apache/2.4.6 (CentOS) Last-Modified: Fri, 08 Jun 2018 01:50:41 GMT ETag: "17-56e17a0a33249" Accept-Ranges: bytes Content-Length: 23 Content-Type: text/html; charset=UTF-8 <h2>hello, world.</h2> #注意:此处因为启用了KeepAlive,连接没有断开,可以继续输入内容;如果没有启用KeepAlive则请求成功后会直接退出telnet
3)自定义web站点。在httpd服务的主配置文件中,默认情况下DocumentRoot "/var/www/html"定义了默认web站点目录的路径。如需自定义站点,需按如下格式进行添加:
httpd-2.2:
DocumentRoot "/PATH/TO/FILE"
<Directory "/PATH/TO/FILE">
Options Indexes FollowSymLinks
AllowOverride None #用于定义每个目录下.htaccess文件中的指令类型,但通常设置None
Order allow,deny #定义默认的访问权限与Allow和Deny语句的处理顺序,此处先匹配allow再匹配deny
Allow from all #针对客户机的域名或IP地址进行访问限制,如:Allow from all或者Deny from 192.168等
</Directory>
httpd-2.4:
DocumentRoot "/PATH/TO/FILE"
<Directory "/PATH/TO/FILE">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted #http-2.4中的允许所有人访问,如果要禁止某个IP或域名的访问,如:Require not ip 1.1.1.1、Require not host xxxx.com或者禁止所有人访问Require all denied
</Directory>
其中options包括以下的可选参数:
| 参数 | 说明 |
|---|---|
| Indexes | 允许目录浏览,当客户仅指定要访问的目录,但没有指定要访问的文件,且目录下不存在默认文档时,显示该目录中的文件及子目录列表索引 |
| MultiViews | 允许内容协商的多重视图,允许返回指定的访问目录下的相关联的文件 |
| All | All包含了除MultiViews之外的所有特性,如没有指定options,默认为All |
| ExecCGI | 允许在该目录下执行CGI脚本 |
| FollowSymLinks | 允许跟踪符号链接到源文件 |
| Includes | 允许服务器端包含功能 |
| IncludesNoExec | 允许服务器端包含功能,但禁止执行CGI脚本 |
| None | 不调用options参数 |
示例:
[root@happiness ~]# mkdir -p /test/html
[root@happiness ~]# vim /test/html/test.html
<h2>test web站点</h2>
[root@happiness ~]# chcon -R --reference /var/www/html /test/html #复制/var/www/html的selinux安全上下文到/data/html,如果没复制安全上下文可能会导致访问index.html出现403的提示
[root@happiness ~]# vim /etc/httpd/conf/httpd.conf
#DocumentRoot "/var/www/html" #注释默认的web根站点
DocumentRoot "/test/html" #定义要启用的web根站点
<Directory "/test/html">
Options None
AllowOverride None
Require all granted
</Directory>
[root@happiness ~]# systemctl restart httpd.service
结果:
httpd的访问控制
1)在Directory中基于IP地址实现访问控制
http-2.2中基于IP地址的访问控制是利用Allow和Deny来实现的,如:
<Directory "/PATH/TO/FILE">
Options Indexes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from IP | NetAddr
Deny from IP | NetAddr
</Directory>
其中NetAddr的格式可类似:172.16、172.16.0.0、172.16.0.0/16、172.16.0.0/255.255.0.0。
httpd-2.4中基于Ip地址访问的控制是利用Require实现,如:
<Directory "/PATH/TO/FILE">
AllowOverride none
Options none
<RequireAll>
Require ip IP | NetAddr #允许访问的IP或网段
Require not ip IP | NetAddr #拒绝访问的Ip或网段
</RequireAll>
</Directory>
此外httpd-2.4版本中还可以利用host名来进行访问控制,如:
<Directory "/PATH/TO/FILE">
AllowOverride none
Options none
<RequireAll>
Require host google.com #允许来自域名为google.com所有主机的访问
Require not host www.xxxx.com #不允许来自主机名为www.xxxx.com的访问
</RequireAll>
</Directory>
示例:
[root@happiness ~]# mkdir /test/virtualhtml
[root@happiness ~]# vim /test/virtualhtml/virtualtest.html
<h2>test for virtual</h2>
[root@happiness ~]# vim /etc/httpd/conf.d/virualhost.conf
<VirtualHost 192.168.4.50:8080>
DocumentRoot "/test/virtualhtml"
<Directory "/test/virtualhtml">
AllowOverride None
Options None
<RequireAll>
Require all granted
Require not ip 192.168.4.154 #禁止ip192.168.4.154的主机访问
</RequireAll>
</Directory>
</VirtualHost>
结果:
2)在Directory中基于用户的访问控制
在Directory中支持的认证方式有两种 basic明文认证和 digest消息摘要认证,不是所有浏览器都支持摘要认证,因此一般来说用的较多的是 basic明文认证。
用htpasswd命令生成认证的配置文件:
[root@happiness ~]# htpasswd -cb /data/httpduser walter 123456 [root@happiness ~]# htpasswd -b /data/httpduser alex 123456 [root@happiness ~]# cat /data/httpduser walter:$apr1$CYZpqBy5$gxnNCiKSIX.qN8LRI809L. alex:$apr1$vGncT2dc$.S0TsnDFINqf5BhHP0Hvi. [root@happiness ~]# chcon -R --reference /var/www /data/httpduser
编辑主配置文件:
[root@happiness ~]# vim /etc/httpd/conf/httpd.conf
DocumentRoot "/test/html"
<Directory "/test/html">
Options None
AllowOverride None
AuthType Basic #认证方式Basic
AuthName "user test" #授权机制名称
AuthUserFile "/data/httpduser" #授权文件位置
Require user alex #允许访问的用户
</Directory>
[root@happiness ~]# systemctl restart httpd.service
结果:
3)基于组的用户访问控制
除了对用户做访问控制之外,还能将用户划分为相应的组从而根据组来做相应的访问控制,接着上一个例子中的用户来做组访问控制。
创建组文件:
[root@happiness ~]# vim /data/httpdgroup groupA:walter groupB:alex [root@happiness ~]# chcon -R --reference /var/www /data/httpdgroup
编辑主配置文件:
[root@happiness ~]# vim /etc/httpd/conf/httpd.conf
DocumentRoot "/test/html"
<Directory "/test/html">
Options None
AllowOverride None
AuthType Basic #认证方式Basic
AuthName "user test" #授权机制名称
AuthUserFile "/data/httpduser" #授权用户文件位置
AuthGroupFile "/data/httpdgroup" #授权用户组文件位置
Require group groupA #允许访问的组
</Directory>
[root@happiness ~]# systemctl restart httpd.service
结果:
httpd的虚拟主机VirtualHost
通常在一台服务器安装Apache后,我们只能访问一个web站点,如果我们需要在一台服务器访问多个web站点,则需要通过Apache的VirtualHost虚拟主机实现,其实就是通过VirtualHost实现访问同一个服务器上的不同目录。
虚拟主机支持三种建立方式:
- 基于ip的方式,需要为每个虚拟主机准备至少一个ip地址,配置格式如:
<VirtualHost IP:PORT>
ServerName "www.xxx.cn" #虚拟主机域名
DocumentRoot "/www/xxx" #虚拟主机web目录
</VirtualHost>
示例:
#创建目录
[root@happiness ~]# mkdir -p /data/Vip/test1
[root@happiness ~]# mkdir -p /data/Vip/test2
[root@happiness ~]# chcon -R --reference /var/www/html /data/Vip #复制安全上下文
#创建index.html文件
[root@happiness ~]# vim /data/Vip/test1/index.html
<h1>virtual test based on ip. one</h1>
[root@happiness ~]# vim /data/Vip/test2/index.html
<h1>virtual test based on ip. two</h1>
#注释/var/www/html作为根路径
[root@happiness ~]# vim /etc/httpd/conf/httpd.conf
#DocumentRoot /var/www/html
#添加virtualhost.conf配置文件(文件名自定义)
[root@happiness ~]# vim /etc/httpd/conf.d/virtualhost.conf
<VirtualHost 192.168.4.119:80>
DocumentRoot "/data/Vip/test1"
<Directory "/data/Vip/test1">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.4.120:80>
DocumentRoot "/data/Vip/test2"
<Directory "/data/Vip/test2">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
#启动httpd服务
[root@happiness ~]# systemctl start httpd.service
#清空防火墙规则
[root@happiness ~]# iptables -F
访问结果:
- 基于port的方式,需要为每个虚拟主机配置一个独立的port,配置格式如:
Listen 8080 #指定其它端口时,需要添加监听该端口
<VirtualHost IP:PORT>
ServerName "www.xxx.cn" #虚拟主机域名
DocumentRoot "/www/xxx" #虚拟主机web目录
</VirtualHost>
示例:
#在上面的基础上直接修改virtualhost文件
[root@happiness ~]# vim /etc/httpd/conf.d/virtualhost.conf
Listen 8080
<VirtualHost 192.168.4.119:80>
DocumentRoot "/data/Vip/test1"
<Directory "/data/Vip/test1">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.4.119:8080>
DocumentRoot "/data/Vip/test2"
<Directory "/data/Vip/test2">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
访问结果:
- 基于FQDN的方式,需要为每个虚拟主机配置一个FQDN,配置格式如:
NameVirtualHost 172.16.100.6:80 #httpd-2.2需要在配置文件中添加此句
<VirtualHost 172.16.100.6:80>
ServerName www.xxx.com #指定FQDN
DocumentRoot "/www/xxxcom"
</VirtualHost>
<VirtualHost 172.16.100.6:80>
ServerName www.xxx.cn #指定FQDN
DocumentRoot "/www/xxxcn"
</VirtualHost>
示例:
#在上面的基础上直接修改virtualhost文件
[root@happiness ~]# vim /etc/httpd/conf.d/virtualhost.conf
<VirtualHost 192.168.4.119:80>
ServerName www.test1.cn
DocumentRoot "/data/Vip/test1"
<Directory "/data/Vip/test1">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.4.119:80>
ServerName www.test2.cn
DocumentRoot "/data/Vip/test2"
<Directory "/data/Vip/test2">
AllowOverride None
Options None
Require all granted
</Directory>
</VirtualHost>
访问结果:
