Llinux上的日志系统

syslog

syslog-ng  next generation 

syslog 服务:

syslogd:系统:非内核系统产生的信息

klogd:内核:专门负责记录内核产生的信息

配置文件:/etc/syslog.conf

kernel---物理终端(/dev/console)--/var/log/dmesg

dmesg 查看

cat /var/log/dmesg

日志需要滚动:日志滚动的过程也叫日志切割

messages;messages.1;message.2

/sbin/init/

/var/log/messages:系统标准错误日志信息,非内核产生的引导信息,各子系统产生的信息.

/var/log/maillog:邮件系统产生的日志信息

/var/log/secure:安全日志信息

日志系统:syslog

信息的详细程度:日志级别

记录级别

debug:调试信息

info:一般信息

notice:不影响正常的需注意信息

warning:可能影响系统的提醒用户的信息

error:错误信息

crit:比较严重的

alert:需要马上处理的

emergency/panic:导致系统不可用的

*:全部

none:全否

子系统:facility 设施

action:

系统上的绝对路径 普通文件

| 管道

终端 /dev/console

@HOST 远程主机,日志服务器

用户 root

* 所有用户

/etc/sysconfig/syslog 中 增加 SYSLOGD_OPTIONS="-m 0" -r

即可充当日志服务器,接受发来的日志信息

telnet:远程登录协议 ,TCP:23

C/S

S:telnet服务端

C:telnet客户端

ssh:secrue shell 应用层协议 TCP:22

通信和认证过程都是加密的,主机认证

用户认证过程加密

数据传输过程加密

通讯过程,客户端发送连接请求给服务器---服务器发送公钥给客户端---

客户端接受公钥---生成公共秘钥给服务器---发送以公共秘钥加密的用户名给服务器

服务器通过后要求进一步密码---客户端发送以公共秘钥的密码给服务器---

服务器通过建立连接,双方使用公共秘钥进行加密通讯.

 

ssh V1 V2

man inmiddle 中间人*** V1不安全

建议使用V2

ssh V2

认证过程:

基于口令认证

基于秘钥认证

协议:就是规范

实现:服务端和客户端

Linux :openssh

C/S

服务器:sshd  配置文件:/etc/ssh/sshd.conf

客户端:ssh 配置文件:/etc/ssh/ssh.conf

ssh-keygen:秘钥生成器

ssh-copy-id :将公钥传输至远程服务器

scp:跨主机安全复制工具

ssh:

ssh 用户名@主机

ssh -l 用户名 主机

ssh 用户名@主机 `命令`

ssh -p 指定端口

scp:

scp 源 目标 

-r

-a

scp 用户名@主机:/路径/文件  /本地路径/本来文件

ssh-keygen 

-t rsa| dsa

~/.ssh/id_rsa 私钥

~/.ssh/id_rsa.pub 公钥

-f:指定文件位置

-P '': 指定加密秘钥的密码为空

将公钥追加保存到远程主机某用户的家目录下.ssh/autorized_keys文件或者.ssh/autorized_keys2文家中

ssh-copy-id -i 

ssh-copy-id -i 本机公钥 远程用户@远程主机

总结:

密码应该经常换

使用非默认端口

限制管理地址

禁止管理员直接登录

仅允许有限制用户登录

使用基于秘钥的认证

禁止使用版本1

dropbear:嵌入式系统专用的SSH服务器和客户端工具

服务器端:dropbear  

dropbearkey

主机秘钥默认位置:/etc/dropbear/

rsa:dropbear_rsa_host_key

长度可以指定,8的整数倍,默认1024

dss:dropbear_dss_host_key

长度固定,默认1024

客户端:dbclient

dropbear默认使用nsswitch实现名称解析

/etc/nsswitch.conf

/lib/libnss_file*

/usr/lib/libness3.so

/usr/lib/libnss_file*

dropbear会在用户登录时其默认shell是否当前系统的安全shell

/etc/shells

dropbearkey

-t rsa

-f 文件位置

-s size


 MBR

/boot/grub

系统安装过程

anaconda:stage2.img

test,GUI

kickstart:三部分

命令段:

必备命令

keyboard --us

lang

timezone

rootpw

authconfig --useshadow

bootloader  --location

clearpart --initlabel 初始化磁盘分区表 --linux 删除旧的linux分区

dirverdisk --source 位于网络的驱动程序

firewall --enable|disabled 是否启用防火墙

firstboot --disabled 第一次启动时是否需要配置

test 文本安装

graphical 图形安装

key --skip

可选命令

软件包选择段: %packages

脚本段:

预安装脚本%pre

后安装脚本%post

ks=kickstart文件的位置

ks=http://

ks=cdrom:/

安装过程中,boot提示符中可以使用的命令

 linux 后跟

askmothed 询问安装的源介质

dd 安装的路径

ip= 地址或者 dhcp

netmask= 子网掩码

gateway= 网关

dns= DNS服务器 多个用;隔开

mediacheck=no  不检查光盘

nonet 不启用光盘

noprobe 不装载特殊硬件设备

rescue 进入紧急救援模式

locale -a 查看本地可现实语言

mkisofs 创建镜像文件 

常见的系统故障排除:

1.驱动问题特征

2.重现故障

3.使用工具收集进一步信息

4.排除不可能的原因

5.定位故障:

从简单的问题入手

一次尝试一种方式

备份原文件

尽可能借助于工具

可能出现的故障:

1.管理员密码忘记

2.系统无法启动

a,grub损毁(MBR损坏,grub配置文件丢失,stage2文件损坏)

mbr损坏

1.借助别的主机重写grub

2.使用紧急救援模式:

a. boot.iso

b. 使用系统光盘

boot: linux rescue 紧急模式

只读方式挂载根目录/mnt/sysimage 

mknod手动创建设备文件

grub 配置文件丢失:

grub>root hd(0,0)

kernel /vmlinuz ro root=/dev/hda0 zhgb quit

initrd /initrd

boot

b,系统初始化故障,(文件系统无法正常挂载,驱动无法正常加载)

进入gurb编辑模式

emergency 不加载rc.sysinit 脚本

c,服务故障

某个服务导致启动失败 如: sendmail 配置文件时间戳检查无法通过  

启动时  使用I键进入交互模式,手动启动所有服务

rc.local 脚本语法或者逻辑错误: 进入单用户模式修复

d,用户无法登陆系统(bash程序故障)

bash被删后 ,进入紧急救援模式 , 挂载安装光盘/dev/hdc 至/media

从Server中 用rpm --replacepkgs 重装 --root /mnt/sysimage 指定安装的根目录 bash包的名字 

3.命令无法运行

PATH被定义错误 export PATH=/database

或者在没有修改配置文件的情况下,重新登录shell

4.编译过程无法继续(开发环境缺少基本组件)


mbr损坏

1.借助别的主机重写grub

2.使用紧急救援模式:

a. boot.iso

b. 使用系统光盘

boot: linux rescue 紧急模式

只读方式挂载根目录/mnt/sysimage 

mknod手动创建设备文件

grub 配置文件丢失:

grub>root hd(0,0)

kernel /vmlinuz ro root=/dev/hda0 zhgb quit

initrd /initrd

boot

kernel panic 内核恐慌

把默认级别设置成0或者6  进入单用户模式 ,编辑inittab文件

/etc/rc.d/rc3.d 目录被误删  进入单用户模式,修复目录系统

svn,git 版本控制软件



50台服务器:

网络

用户

linux root


sudo 命令

定义某个用户以另外一个用户的身份,通过哪些主机执行什么命令

sudo配置文件

/etc/sudoers 文件属性 440 

visudo 专门编辑sudoers的文件

visduo -f 指定编辑的文件

一个sudo条目

who which host  run as  tag:command

谁   那台主机   哪个身份  命令

别名:定义组

who User_Alias

which host Host_Alias

runas Runas_Alias

command Cmnd_Alias

别名只能全部使用大写英文字母的组合

用户别名 

User_Alias USERADMIN =

用户的用户名

组名,使用%引导

还可以包含其他已经定义好的别名,可以嵌套

主机别名

Host_Ailas 

主机名

ip

网络地址

其他主机名

也可以嵌套

指定用户

Runas_Alias

用户名

%组名

其他的runas 可以嵌套

命令别名

Cmnd_Alias

命名路径

可以是目录(此目录内的所有命令)

其他已经定义的命令别名 可以嵌套

tag:标签,

NOPASSWD 可以不输入密码

PASSWD 强制需要输入密码

hadoop root useradd usermod

5分钟内不需要重复输入密码

sudo -k 每次都需要输入密码

sudo -l 显示可以使用的所有命令

! 命令,可以排除不允许执行的命令

TCP/IP:安全

明文传输(ftp,http,smtp,telnet) 

机密性:明文---转换规则---译文

  译文---转换规则---原文

转换算法:秘钥

对称加密:算法不同,秘钥相同,速度较快

  

完整性:

  单向加密算法,提取数据特征码

  输入一样,输出必然相同

  雪崩效应,输入的细小改变,引起输出的巨大改变

  定长输出,无论元数据多大,结果大小都是相同的

  不可逆

  明文+特征码----

  协商生成密码:秘钥交换 internet key exchange IKE

  Diffle-Hellman协议

  2个人发明的

  A---B

  p,g(大素数,生成数)

  A:X

  B:Y

  A:g的X次方取模P   发给B

  B:g的Y次方取模P   发给A

  

  g,p,g^x%p,g^y%p

  

  A:(g^y%p)^x= g^xy%p

  B:(g^x%p)^y= g^xy%p

  秘钥交换算法  上面就是秘钥

  

  公钥加密算法

  

  密钥对:

公钥:P

私钥:S

发送方用自己的私钥加密数据,可以实现身份验证

发送方用对方的公钥加密数据,可以实现数据机密性

公钥加密算法很少用来加密数据,速度太慢,比对称加密相差3个数量级速度,1:1000

PKI public key instructure

CA : certificate authority

CRL 证书吊销列表 certification rework list 

常用证书格式:X509,PKSC12

X509:

公钥,有效期限

证书合法拥有者

属主如何被使用

CA的信息

CA签名的效验码

TLS/SSL:X509

OPENGPG:


SSL: secure socket layer 安全套接字层  只是一种库

SSL V2 , V3

TLS: transport layer security

V1

SSL V3 基本等于 TLS V1

对称加密:

DES: data encryption standard 56bit

3DES:3次 DES 

AES:advance encrypttion standard 128bit

AES 192

AES 256

AES 512

openssl:

组件

libcrypto 通用加密库

libssl tls/ssl 的实现

基于会话的,实现了身份认证/数据机密性/会话完整性的库

openssl 多用途命令行工具

实现私有证书颁发机构

openssl enc 加密

openssl dgst 生成校验码

openssl 实现私有CA

1.先生成一对秘钥

2.生成自签署的证书

生成秘钥 openssl genras -out filename 密码位数

输出公钥 openssl ras -in 私钥文件 -pubout 

/etc/pki/tls/certs 中可以用make 生成测试证书,秘钥,申请 ,可以查看makefile文件,根据后缀名区分

gpg:

单向加密:

MD4

MD5

SHA1

SHA192

CRC-32 冗余校验

公钥加密:加密和签名

身份认证(数字签名)

数据加密

秘钥交换

RSA:加密,签名

DSA:签名

elgamal

DNS:域名解析

BIND berkeley internet name domain

HTTP:http协议,Apache,LAMP,nginx(engin x),lenp,mysql,php,varnish

CDN:DNS(VIEW),VARNISH

file server ,nfs,smb,cifs,ftp

netfilter iptables(filter,nat,mangie,raw) tcp wrapper

nsswtch,framework,platform,PAM

smtp,pop3,imap,

selinux security enhance linux 安全加强的linux

C2---selinx---B1

DNS:domain name services

域名,

www.163.com 主机名 FQDN (full qualified domain name)  完全限定域名

163.com 域名

.com 域名

FQDN---IP 相互转换 DNS服务

stub resolver 末节解析器

IANA:ip,FQDN,

ICANN:

1.周期性人物

2.server

3.分布式数据库

. 根域

TOD:TOP LEVEL DOMAIN

组织域:.com .org .net .cc

国家域:.cn .tw .jp

反向域: IP - FQDN

一个 IP 对应多个 FQDN

一个 FQDN 也可以对应多个 IP  

查询 :递归:只发出一次请求

 迭代:发出多次请求

 

DNS 分布式数据库

上级仅知道其直接下级

下级仅知道根的位置

DNS服务器: 

接受本地服务端查询请求 递归

接受外部客户端请求  请求权威答案,

肯定答案 TTL

否定答案 TTL

外部客户端请求非权威答案

根服务器,

a.root-server.net   a 到 m  一共13台

主,从 结构

主DNS服务器 , 数据修改

辅助DNS服务器, 请求数据同步

serial number 版本号

reflash       刷新时间

retry         重试时间

expire        过去时间 ,自杀时间

nagative answer ttl  否定时间间隔

缓存DNS服务器

转发器

数据库中,每一个条目称作一个资源记录  resource record  简写  RR

资源记录的格式

NAME   TTL    IN     RRT(RESOURCE RECORD TYPE)    VALUE

资源记录类型:

SOA start of authority

ZONE NAME TTL IN SOA   FQDN ADMINISTRATOR_MAILBOX (

serial number 版本号

reflash       刷新时间

retry         重试时间

expire        过去时间 ,自杀时间

nagative answer ttl 否定回答的TTL值

时间单位 : M/H/D/M 默认是秒

邮件格式:  admin@magedu.com  需要写成 admin.mageud.com.

magedu.com 600 IN SOA ns1.magedu.com.    admin.magedu.com. (

20141228

1H

5M

1W

1D

)

NS name server :   ZONE NAME ---  FQDN

MX mail exchange   : ZONE NAME ---- FQDN 

NAME    TTL   IN   MX    PRI 优先级    VALUE

优先级 0-99 数字越小越高

A address   FQND----IPV4

AAAA  address  FQDN----IPV6

PRT(POINTER)   IP----FQDN  指针

CNAME: FQDN ---- FQDN   前者是后者的别名 

www2.magedu.com.   IN CNAME www.magedu.com.

域:DOMAIN

区域:ZONE

.com

授权

magedu.com. IN   NS     ns.magedu.com.

magedu.com. IN   A      192.168.0.10

magedu.com. 192.168.0.0/24

www 192.168.0.1

mail 192.168.0.2 mx

建立两个区域文件

正向区域文件

magedu.com. IN SOA

www.magedu.com IN A 191.168.0.1

简写成:

www IN A 191.168.0.1

反向区域文件

0.168.192.in-addr.arpa.      IN       SOA

1.168.192.in-addr.arpa.      IN RTP  www.magedu.com.

1 IN RTP  www.magedu.com.

区域传送的类型:

完全区域传送:axfr

增量区域传送:ixfr

区域类型:

主区域:master

从区域:slave

提示区域:hint   定义根的位置

转发区域:forward

magedu.com   172.16.100.0/24

ns 172.168.100.1

www 172.168.100.1 172.16.100.3

mail 172.16.100.2

ftp www

DNS: BIND

ISC   

BIND97

/etc/named.conf

BIND 进程的工作属性

区域的定义

/etc/rndc.key

rndc remote name domain control

秘钥文件   /etc/rndc.conf

/var/named/

区域数据文件

/etc/rc.d/init.d/named

start stop restart reload status

二进制程序叫named

bind-chroot:

默认:named

用户:named

组:named

/var/named/chroot/

重新配置文件的位置,增加安全性

caching-nameserver

成为缓存DNS服务器

缓存----主----从

named-checkconfig

named-checkzone

dig DNS INFORMATION 

dig -t ns .

named.ca  根服务器地址

DNS 

监听协议的端口

tcp 53

UPD 53

tcp 953 rndc

SOCKET 套接字

IP:port 就是套接字

位于2个不同主机上的进程要想实现通讯

服务器端需要在某个位置中等待客户端的请求

这个位置我们才称为套接字

区域

ZONE "区域名称" IN {

type {maste|salve|hint|forward}

};

主区域

file "区域数据文件,相对路径directory下的" ;

从区域

file "区域数据文件" ;

mastera {master_ip;};

临时关闭selinux

getenforce

enforcing

setenforce 0 关闭

setenforcing 1 打开

永久关闭 selinx

vim etc/selinux/config

SELINUX= disabled

dig -t 资源类型 名称 @DNS服务器地址 正向查询

dig -x IP    反向查询



host -t 资源类型  名称 不能还用@           正向查询


nslookup 交互式


server ip

set q=资源类型

泛域名解析

*.magedu.com.   IN A  IP

recursion 递归

区域:

axfr 完全区域传送

ixfa 增量区域传送


rndc:远程控制DNS


子域授权

正向区域

SUB_ZONE_NAME IN NS NSSERVER_SUB_ZONE_NAME

NSSERVER_SUB_ZONE_NAME IN A IP

.com

naonao.com. IN NS ns1.naonao.com.

IN NS ns2.naonao.com.

ns1.naonao.com. IN A 172.16.100.1

ns2.naonao.com. IN A 172.16.100.2

naonao.com

fin.naonao.com. IN NS ns1.fin.naonao.com.

ns1.fin.naonao.com. IN A       172.16.100.8

market.naonao.com. IN NS   ns1.market.naonao.com.

ns1.market.naonao.com. IN A    172.16.100.9


forward (only) (first)

forwarders 指定转发器

dig +trace -t A  www.baidu.com

zone “zone name” IN {

type forward;

};

 

allow-recursion

allow-query

allow-transfer

axfr

ixfr

定义 ACL

acl ACL_NAME(innet) {

172.16.0.0/16

127.0.0.0/8

};

allow-query { innet };

none;

any:

CDN content delivery network  内容分发网络

view view-name {

};

所有的区域都必须在视图中

开启DNS 查询日志记录

category:日志源

查询

区域传送

可以通过category自定义日志源

channel:日志的记录保存位置

syslog:

file:自定义保存保存日志信息的文件

logging  {

}

queryperf : dns的压力测试

DHCP: Dynamic Host Config Protocol ---bootp


TCP/IP

IPADDR

NETMASK

GATEWAY

DNS

广播方式:

CLIENT --- DHCPCOVER  报文

DHCPOFFER----SERVER

CLIENT --- DHCPQUEST

DHCPACK---SERVER


续租 单播

CLIENT --- DHCPQUEST

DHCPACK ---SERVER

服务器端监听:UDP 67

客户端监听:UDP 68

HTTP: HYPERTEXT TRANSFER PROTOCOL 超文本传输协议


超链接:

web:

http 0.9:仅支持纯文本(超链接)   ASCII,

HTML : HYPERTEXT MARK LANGUAGE

BROWSER:客户端

URI: UNIFORM RESOURCE INDENTIFIER 统一资源标识符

全局范围

URL: UNIFORM RESOURCE LOCATOR 统一资源定位符

是URI的子集

protocol://HOST:PORT/PATH/FILE


http://www.naonao.com/download/linux.tar.gz


web资源(web对象):http://www.naonao.com/logo.gif

多个资源被整合为一个HTML文档 

HTTP方法:

GET 

http / 1.0: PUT,POST,DELETE

MIME: MULTIPURPOSE INTERNET MAIL EXTENSION,多用途互联网邮件扩展


SMTP:SIMPLE MAIL TRANSMISSION PROTOCOL,纯文本

MINE:非文本数据在传输前重新编码为文本格式,

 接收方能够用相反的方式将其还原为原来的格式

 还能调用相应的程序来打开文件

BASE64 编码格式


协议首部:

image/jpeg


动态效果:ActiveX

JAVA: applet  JRE环境

动态网页:服务器端存储的文档非HTML格式,而是变成语言开发的脚本,

 脚本接受参数后在服务器运行,运行完成后生产HTML文档

 把生产的文档发给客户端

 

WEB:INDEX.PHP 


WEB---PROTOCOL--PHP解释器(运行INDEX.PHP)

HTTP

INDEX.HTML:

引用N个web对象,URL

动态网页:包含静态内容和动态内容

动态内容部分才需要运行

缓存:


首部:

IP :

SOURCE IP

DESTINATION IP

TCP :

SOURCE PORT

DESTINATION PORT

HTTP :

GET /2.HTML

HOST:WWW.NAONAO.COM (虚拟主机)


HTTP 报文:

请求报文,响应报文

请求报文的语法:

<mmethod> <request-URL> <version>

<headera>

<entity-body> 报文主体

响应报文的语法:

<version > <status> <reason-phrase>

<headera>

<entity-body>


状态代码

1xx 纯信息

2xx “成功”类  (200正常)

3xx 重定向类的信息(301永久重定向,302临时重定向,304没有发生改变)

4xx 客户端错误类的信息 (404)

5xx 服务器端错误类的信息 (500)


请求报文

GET / HTTP/1.1

HOST:WWW.NAONAO.COM

CONNECTION: KEEP-ACTIVE

响应报文

HTTP/1.1 200 OK

web服务器的主要任务

1.建立连接

2.接受请求

3.处理请求

4.访问资源

5.构建响应

6.发送响应

7.记录日志

http/1.1

增强缓存功能,支持长连接

MPM

C/S

c: client agent (brower,spider)

s: server 

client---request---server----response---client

http method

get head post put delete trace opitions connection

cilent

ie

firefox

chrome

opera

safari

server

apache---httpd

iis

nginx

lighttpd

thttpd

应用程序服务器

IIS

TOMCAT (apache ,jsp,opensoure)

WEBSPHERE (ibm , jsp,commodity)

WEBLOGIC (oracle , jsp,commodity)

JBOSS (redheat )

www.netcraft.com 网站WEB统计比例

代理:

WEB代理服务器工作与WEB客户端和WEB服务器之间,

他负责接受来自于客户端的http请求,并将其转发至对应的服务

而后接受来自于服务器的响应,并将响应报文回送至客户端

apache:17年,a pathoy server = apache

ASF: apahce software foundation

WEB:

httd

tomcat

hadoop

www.apache.org

httpd:

web server

2.2 2.4 2.0

事先创建进程

按需维护适当的进程

模块设计、核心比较小、各种功能都能模块添加(包括php)

支持运行时配置,支持单独变异模块

支持多种方式的虚拟主机配置

虚拟主机:物理服务器,WEB程序只有一个,却可以服务多个不同的站点

基于IP的虚拟主机

基于端口的虚拟主机

基于域名的虚拟主机

支持HTTPS协议:mod-ssl

支持用户认证

支持基于IP或者主机名的ACL

支持每目录的访问控制

支持URL重写,/IMAGE/A.JPEG 重写成 /BBS/IMAGES/ABC.JPEG


httpd: rpm包:

源码编译:

httpd:收selinux 控制,事先让其处于permmasive,disable

方法 setenforce 0

httpd:

/usr/bin/httpd{MPM:prefork}

httpd:root:root 只有1个  master主导进程

httpd:apache:apache work工作进程

/etc/rc.d/init.d/httpd

port: 80 tcp ,ssl 443 tcp

/etc/httpd:工作的根目录,相当于程序的安装目录

/etc/httpd/conf:配置文件目录

主配置文件 httpd.conf

/etc/httpd/conf.d/*.conf

/etc/httpd/modules:模块目录

/etc/httpd/logs---/var/log/httpd 日志目录

日志文件有两类,访问日志access_log,错误日志 err_log

/var/www

html 静态页面位置

cgi-bin 动态页面

cgi:common gateway interface 通用网关接口

client---httpd (index.cgi)---spawn frocess (index.cgi)---httpd---client

perl,python,java,(serviet,jsp),php

fastcgi:

程序:指令和数据

数据:数据库服务   CPU-BOUND CPU密集型

LAMP :linux apache mysql php 合体

httpd:directive vaule

指令不区分大小写

value则根据需要有可能要区分

loadrunner 压力测试工具

MPM:Multi-Processing Module

winnt

prefork 一个请求用一个进程响应

worker  一个请求用一个线程响应,启动多个进程,每个进程生成多个线程处理请求响应,测试发现性能没有prefork好

event 一个进程处理多个请求

httpd -l  查看核心模块

httpd -t  检测配置文件语法正确性

URL的路径和本地系统路径不是一码事

URL相对于documentroot的路径而言

options

none:不支持所有选项

indexes:允许索引目录

followsynlinks:允许访问符号链接指向的源文件,降低性能

includes:允许执行服务器包含(ssi)

execcgi:允许执行CGI脚本

multiviews:

all:支持所有选项

order:用于定义基于IP ,网络,主机的访问控制机制

order allow,denny

allow from

denny from

地址的表示方式:

ip

网络地址 10.100.7.0/24

hostname WWW.A.COM

domainname A.COM 

部分ip 172.16.   表示 172.16.0.0/16

elinks http://

-dump 不进入交互模式

-source 显示源代码

AllowOverride  authconfig

authtype basic

authname "just do it" 

authuserfile "/etc/httpd/htpasswd"

require valid-user 

htpasswd -c -m /etc/httpd/htpasswd hadoop

-c 第一次创建用户时添加,创建用户密码文件,之后不能加

-m MD5加密

-D 删除用户

authgroupfile "/etc/httpd/htgroup"

require group zu

vim htgroup 

zu hadoop tom

apache 虚拟主机

apache 服务器 :host 物理主机

虚拟主机:

apache服务

服务于多个不同的站点

apche:

中心主机

虚拟主机

基于IP

IP1:80

IP2:80

基于端口

ip:80

ip:8080

基于域名

ip:80

主机名不同

WWW.A.ORG

WWW.B.COM

WWW.C.NET

使用虚拟主机的方法

vim /ETC/HTTPD/CONF/HTTPD.COF

注销# DocumentRoot 

APACHE 2.2

NAMEVIRTUALHOST

APACHE 2.4

直接定义

servername

serverailas

documentroot /www/a.org/

<directory "/www/a.org" >

options

allowoverride 

</directory>

alias

errorlog

customlog


设定默认的虚拟主机 需放在默认的第一个位置才能生效

<virtualhost _default_:80>

documentroot "/www/default80"

...

</virtualhost>

<virtualhost _default_:*>

doucumentroot "/www/default"

...

</virtualhost>

https:访问的建立过程

1.建立私有CA 生产自签证书

cd /etc/pki/CA/ 

(umask 077;openssl genrsa -out ./private/cakey.pem 2048)

2.更改证书生产的默认信息

vim /etc/tls/openssl.conf

3.生产自签证书

openssl req -new -x509 -key /private/cakey.pem -out cacert.pem -days 3655

4.更改私有CA的文件位置

vim /etc/tls/openssl.conf

ca_default

dir =

5.新建私有CA需要的文件和文件夹

文件夹 certs crl newcerts

文件 index.txt serial