一、Httpd服务
httpd是一个开源软件,且一般用作web服务器来使用。目前最流行的web服务器软件叫做httpd,
在早期的http server就叫做apache,到了http server 2.0以后就改名为httpd了。
所以有时候听到apache服务器和httpd服务器其实都是指得是一个意思。
httpd生产的文件
httpd目前有多个版本,主流有两个版本分别为:2.2、2.4,在安装了httpd软件之后,会生成配置文件。 这些文件有: 其中主配置文件:/etc/httpd/conf/httpd.conf 分段配置文件:/etc/httpd/conf.d/*.conf(一般自己定义配置在此文件下重新建立) 模块的目录:/etc/httpd/modules 日志目录:/etc/log/httpd/* 访问日志为:./access_log 错误日志为:./err_log 网页的存放目录:/var/www/html
httpd的特性:
高度模块化: core + modules DSO:dynamic shared object MPM:Multipath processing Modules (多路处理模块) prefork:多进程模型,每个进程响应一个请求、一个主进程:负责生成子进程及回收子进程;负责创建套接字; 负责接收请求,并将其派发给某子进程进行处理,每个子进程处理一个请求。 worker:多进程多线程模型,每线程处理一个用户请求、一个主进程:负责生成子进程、负责创建套接字、 负责接收请求、并将其派发给某子进程进行处理,每个子进程负责生成多个线程,每个线程负责响应用户请求; 并发响应数量为:子进程数量*子进程创建的最大线程数量。 event:事件驱动模型,多进程模型,每个进程响应多个请求、一个主进程 :负责生成子进程、负责创建套接字、 负责接收请求,并将其派发给某子进程进行处理,子进程基于事件驱动机制直接响应多个请求。 注:在/etc/httpd/conf.modules.d/00-mpm.conf切换工作模型
httpd的功能特性:
CGI:Common Gateway Interface
虚拟主机:IP,PORT, FQDN
反向代理
负载均衡
路径别名
丰富的用户认证机制
basic
digest
支持第三方模块
二、服务控制:
systemctl enable|disable httpd.service #开机启动与否
systemctl {start|stop|restart|status} httpd.service #单次操作状态
1、 监听地址端口
在主配置文件中/etc/httpd/conf/httpd.conf: Listen IP:PORT,表示监听在该IP的PORT端口上,如果不写IP,表示监听本机所有可用IP地址, 另外,Listen指令可以出现多次,表示监听不同IP及不同端口上,修改完成后需要重启生效 注意:在修改完配置文件后需要使用:httpd –t 检查语法,语法没有问题才可继续其它操作
2、 持久连接
Persistent Connection:tcp连续建立后,每个资源获取完成后不全断开连接,而是继续等待其它资源请求的进行。 副作用:对并发访问量较大的服务器,长连接机制会使得后续某些请求无法得到正常响应。 解决方案:使用较短的持久连接时长,以及较少的请求数量; KeepAlive On|Off 此功能开启|关闭 KeepAliveTimeout 15 时间限制15秒 MaxKeepAliveRequests 100 请求数量100 以上表示:当一个连接建立,时间超过15秒或请求数量超过100个时,服务器会主动断开。
3、 MPM
文章开头已介绍,下面是配置选项与参数,
prefork的配置
worker的配置:
修改模型选项:/etc/httpd/conf.modules.d/00-mpm.conf
4、 DSO
配置指令模块加载,格式如下:
LoadModule <module_name> <module_path>
模块路径可以是相对路径,相对ServerRoot指令指向的位置
配置文件:/etc/httpd/conf.modules.d/00-proxy.conf
5、 定义Main server 文档页面路径
使用DocumentRoot指令,关联文档路径的映射
DocumentRoot指向路径问URL起始位置
如DocumetRoot “/var/www/html”
在本地有一个文件file在/var/www/html/filedir/file则URL访问路径为www.smartwy.com/filedir/file
6、 站点路径访问控制
可基于两种机制指明对哪些资源进行何种访问控制:
文件系统路径
1,<Directory "/dir/">
...
</Directory>
2,<File "/dir/to/file">
...
</File>
3, <FileMatch "PATTERN">
...
</FileMatch>
下面以路径访问控制做简单介绍
<Directory "/var/www/cgi-bin">
AllowOverride None
Options None
Require all granted
</Directory>
AllowOverride:与访问控制相关的哪些执行可以放在.htacesss文件中,每个目录下都可以有一个 ,
但是使用.htacess会使得网站对目录下的资源解析变的非常慢,不推荐使用。ALL所有都可以放进去,None什么都不可以放。
Options:Indexs:指明的URL路径不存在与定义的主页面资源相符的资源文件时候,返回索引列表给用户,
目录浏览功能,一般关掉。
FollowSymLinks:允许跟踪符号链接文件所指向的源文件,跟踪符号链接,如果目录下存在软连接,则可以直接
访问软连接指向的文件
None:全部停用
All:全部启用
Httpd2.4使用:Require:对控制页面访问控制,
Require all granted 全部允许访问
Require ip *.*.*.* 指定ip允许访问
Require host host_name 指定主机名允许方法
Httpd2.2使用:Order allow,deny 检查次序
Deny(黑名单) from 172.16.12.1 不允许172.16.12.1地址访问
Allow(白名单) from 172.16 仅允许172.16网段的地址访问
注意:指定访问控制时较小集合域放在前面
7、 定义站点主页面
DirectoryIndex index.html index.html.var
从左到右匹配到的文件,将作为默认主页返回
8、 日志
访问日志:access_log | -`date`
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
%h:客户端IP地址;
%l:Remote User, 通常为一个减号(“-”);
%u:Remote user (from auth; may be bogus if return status (%s) is 401);非为登录访问时,其为一个减号;
%t:服务器收到请求时的时间;
%r:First line of request,即表示请求报文的首行;记录了此次请求的“方法”,“URL”以及协议版本;
%>s:响应状态码;
%b:响应报文的大小,单位是字节;不包括响应报文的http首部;
%{Referer}i:请求报文中首部“referer”的值;即从哪个页面中的超链接跳转至当前页面的;
%{User-Agent}i:请求报文中首部“User-Agent”的值;即发出请求的应用程序。
错误日志:error_log | -`date`
错误级别:debug, info, notice, warn, error, crit, alert, emerg,
9、 基于用户访问控制
认证质询:
WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户端提供账号和密码;
认证:
Authorization:客户端用户填入账号和密码后再次发送请求报文;认证通过时,则服务器发送响应的资源;
认证方式有两种:
basic:明文
digest:消息摘要认证
用户的账号和密码存放于何处?
虚拟账号:仅用于访问某服务时用到的认证标识
存储:
文本文件;
SQL数据库;
ldap目录存储;
格式如下:
编写完成后,systemctl restart httpd.service重启httpd服务,
在浏览器地址栏内输入相应域名,会出现以下界面,填入上方指定的用户与密码便可继续访问。
下面是帐号与密码的创建与管理:
Htpasswd:专用命令完成此类文件的创建及用户管理
htpasswd [options] /PATH/TO/HTTPD_PASSWD_FILE username
-c:首次创建密码文件时使用,如再次使用会覆盖以前的密码文件
-m:md5格式加密
-s: sha格式加密
-D:删除指定用户
-b:批模式添加用户
htpasswd -b [options] /HTTPD_PASSWD_FILE username password
自定义密码文件路径,配置文件内路径要与实际文件路径相同,
使用组帐号进行认证
组文件编写:group: user1 user2 …(一行定义一个组)
组成员访问时与普通访问相同,密码创建也相同。
注意:修改配置文件后,检查语法httpd –t ,没有问题,重启httpd服务,配置才可生效。
10、 虚拟主机
一个物理主机可以服务与多个站点,每个站点可以通过一个或多个虚拟主机来实现。
有三种实现方案:
基于ip:为每个虚拟主机准备至少一个ip地址;
基于port:为每个虚拟主机使用至少一个独立的port;
基于FQDN:为每个虚拟主机使用至少一个FQDN;
基于ip和基于port只做介绍说明,基于FQDN做实验说明:
基于IP的虚拟主机示例(在/etc/httpd/conf.d/下新建**.conf文件):
<VirtualHost 172.16.100.6:80> #端口相同,ip不同(确定主机有两个ip)
ServerName www.a.com #虚拟服务器域名(基于IP与port实验没有影响)
DocumentRoot "/www/dir" #指定站点根目录,实验时在根目录下新建index.html文件,
写一点测试信息在里面,方便查看实验效果。
</VirtualHost>
<VirtualHost 172.16.100.7:80>
ServerName www.b.net
DocumentRoot "/www/dir"
</VirtualHost>
可在浏览器地址栏中输入IP查看。
基于端口的虚拟主机(在/etc/httpd/conf.d/下新建**.conf文件):
<VirtualHost 172.16.100.6:80> #IP相同,端口不同
ServerName www.a.com
DocumentRoot "/www/dir"
</VirtualHost>
Listen 808 #开启监听808端口
<VirtualHost 172.16.100.6:808>
ServerName www.b.net
DocumentRoot "/www/dir"
</VirtualHost>
可在浏览器地址栏中输入IP:PORT查看。
基于FQDN的虚拟主机(在/etc/httpd/conf.d/下新建**.conf文件):
<VirtualHost 172.16.100.6:80>
ServerName www.a.com
DocumentRoot "/www/dir"
</VirtualHost>
<VirtualHost 172.16.100.6:80>
ServerName www.b.net
DocumentRoot "/www/dir"
</VirtualHost>
可在浏览器地址栏中输入域名查看。
基于FQDN的虚拟主机实验:
1.1在/etc/httpd/conf.d目录下新建两个配置文件:
注意:如果是httpd-2.2,则使用基于FQDN的虚拟主机时,需要事先使用如下指令:
NameVirtualHost IP:PORT
在设置的站点根目录下新建index.html文件,
编写完成后,httpd –t 检查语法,重启httpd服务。
1.2DNS正向解析:
将www.smartwy.com与www.magedu.com解析到172.16.253.190
/etc/named.rfc1912.conf添加以下内容
新建区域解析库/var/named/smartwy.com.zone编辑如下:
新建区域解析库/var/named/magedu.com.zone编辑如下:
以上配置要确保172.16.252.205处于被监听状态,与172.16.253.190联通,
执行named-checkconf,
named-checkzone “smartwy.com” 区域解析库名,
named-checkzone “magedu.com” 区域解析库名,
rndc reload 重新加载。
1.3 测试(使用的域名有可能在公网已被使用,可把DNS设为172.16.252.205防止公网影响)
11、 内置的server-status页面
在虚拟主机内添加/server-status选项
使用的是2.2版本,设置如下
<Location /server-status>
SetHandler server-status
Order allow,deny
Allow from 172.16
</Location>
Httpd –t 检查语法,重启服务,
在浏览器地址栏输入www.smartwy.com/server-status
以上转载:
三、配置文件解析
Apache的主配置文件:/etc/httpd/conf/httpd.conf
默认站点主目录:/var/www/html/
Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中,这个文件中的内容非常多,用wc命令统计一共有1009行,其中大部分是以#开头的注释行。
[root@justin ~]# wc -l /etc/httpd/conf/httpd.conf
/etc/httpd/conf/httpd.conf
[root@justin ~]#
配置文件包括三部分:
[root@justin ~]# grep '\<Section\>' /etc/httpd/conf/httpd.conf -n
33:### Section 1: Global Environment
245:### Section 2: 'Main' server configuration
973:### Section 3: Virtual Hosts
[root@justin ~]#
1)Global Environment---全局环境配置,决定Apache服务器的全局参数
2)Main server configuration---主服务配置,相当于是Apache中的默认Web站点,如果我们的服务器中只有一个站点,那么就只需在这里配置就可以了。
3)Virtual Hosts---虚拟主机,虚拟主机不能与Main Server主服务器共存,当启用了虚拟主机之后,Main Server就不能使用了
--------------------------------------------------------------------------------
1)Global Environment
ServerTokens OS
在出现错误页的时候是否显示服务器操作系统的名称,ServerTokens Prod为不显示
ServerRoot "/etc/httpd"
用于指定Apache的运行目录,服务启动之后自动将目录改变为当前目录,在后面使用到的所有相对路径都是想对这个目录下
PidFile run/httpd.pid
记录httpd守护进程的pid号码,这是系统识别一个进程的方法,系统中httpd进程可以有多个,但这个PID对应的进程是其他的父进程
Timeout 60
服务器与客户端断开的时间
KeepAlive Off
是否持续连接(因为每次连接都得三次握手,如果是访问量不大,建议打开此项,如果网站访问量比较大关闭此项比较好),修改为:KeepAlive On 表示允许程序性联机
MaxKeepAliveRequests 100
表示一个连接的最大请求数
KeepAliveTimeout 15
断开连接前的时间
<IfModule prefork.c>
StartServers 8
MinSpareServers 5
MaxSpareServers 20
ServerLimit 256
MaxClients 256
MaxRequestsPerChild 4000
</IfModule>
系统默认的模块,表示为每个访问启动一个进程(即当有多个连接公用一个进程的时候,在同一时刻只能有一个获得服务)。
StartServer开始服务时启动8个进程,最小空闲5个进程,最多空闲20个进程。
MaxClient限制同一时刻客户端的最大连接请求数量超过的要进入等候队列。
MaxRequestsPerChild每个进程生存期内允许服务的最大请求数量,0表示永不结束
<IfModule worker.c>
StartServers 4
MaxClients 300
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>
为Apache配置线程访问,即每对WEB服务访问启动一个线程,这样对内存占用率比较小。
ServerLimit服务器允许配置进程数的上限。
ThreadLimit每个子进程可能配置的线程上限
StartServers启动两个httpd进程,
MaxClients同时最多能发起250个访问,超过的要进入队列等待,其大小有ServerLimit和ThreadsPerChild的乘积决定
ThreadsPerChild每个子进程生存期间常驻执行线程数,子线程建立之后将不再增加
MaxRequestsPerChild每个进程启动的最大线程数,如达到限制数时进程将结束,如置为0则子线程永不结束
Listen 80
监听的端口,如有多块网卡,默认监听所有网卡
150 LoadModule auth_basic_module modules/mod_auth_basic.so
......
LoadModule version_module modules/mod_version.so
启动时加载的模块 mod_access已经更名为mod_authz_host
Include conf.d/*.conf
加载的配置文件
User apache
Group apache
启动服务后转换的身份,在启动服务时通常以root身份,然后转换身份,这样增加系统安全
2)Main server configuration
ServerAdmin root@localhost
管理员的邮箱
#ServerName www.example.com:80
默认是不需要指定的,服务器通过名字解析过程来获得自己的名字,但如果解析有问题(如反向解析不正确),或者没有DNS名字,也可以在这里指定IP地址,当这项不正确的时候服务器不能正常启动。前面启动Apache时候提示正在启动 httpd:httpd: apr_sockaddr_info_get() failed forjustin httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1forServerName,解决方法就是启动该项把www.example.com:80修改为自己的域名或者直接修改为localhost
285 UseCanonicalName Off
如果客户端提供了主机名和端口,Apache将会使用客户端提供的这些信息来构建自引用URL。这些值与用于实现基于域名的虚拟主机的值相同,并且对于同样的客户端可用。CGI变量SERVER_NAME和SERVER_PORT也会由客户端提供的值来构建
DocumentRoot "/var/www/html"
网页文件存放的目录
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
对根目录的一个权限的设置
<Directory "/var/www/html">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
对/var/www/html目录的一个权限的设置,options中Indexes表示当网页不存在的时候允许索引显示目录中的文件,FollowSymLinks是否允许访问符号链接文件。有的选项有ExecCGI表是否使用CGI,如Options Includes ExecCGI FollowSymLinks表示允许服务器执行CGI及SSI,禁止列出目录。SymLinksOwnerMatch表示当符号链接的文件和目标文件为同一用户拥有时才允许访问。AllowOverrideNone表示不允许这个目录下的访问控制文件来改变这里的配置,这也意味着不用查看这个目录下的访问控制文件,修改为:AllowOverride All 表示允许.htaccess。Order对页面的访问控制顺序后面的一项是默认选项,如allow,deny则默认是deny,Allowfromall表示允许所有的用户,通过和上一项结合可以控制对网站的访问控制
<IfModule mod_userdir.c>
UserDir disabled
</IfModule>
是否允许用户访问其家目录,默认是不允许
#<Directory /home/*/public_html>
# AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
# <Limit GET POST OPTIONS>
# Order allow,deny
# Allow from all
# </Limit>
# <LimitExcept GET POST OPTIONS>
# Order deny,allow
# Deny from all
# </LimitExcept>
#</Directory>
如果允许访问用户的家目录中的网页文件,则取消以上注释,并对其中进行修改
DirectoryIndex index.html index.html.var
指定所要访问的主页的默认主页名字,默认首页文件名为index.html
AccessFileName .htaccess
定义每个目录下的访问控制文件名,缺省为.htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
控制不让web上的用户来查看.htpasswd和.htaccess这两个文件
TypesConfig /etc/mime.types
用于设置保存有不同MIME类型数据的文件名
DefaultType text/plain
默认的网页的类型
<IfModule mod_mime_magic.c>
# MIMEMagicFile /usr/share/magic.mime
MIMEMagicFile conf/magic
</IfModule>
指定判断文件真实MIME类型功能的模块
HostnameLookups Off
当打开此项功能时,在记录日志的时候同时记录主机名,这需要服务器来反向解析域名,增加了服务器的负载,通常不建议开启
#EnableMMAP off
是否允许内存映射:如果httpd在传送过程中需要读取一个文件的内容,它是否可以使用内存映射。如果为on表示如果操作系统支持的话,将使用内存映射。在一些多核处理器的系统上,这可能会降低性能,如果在挂载了NFS的DocumentRoot上如果开启此项功能,可能造成因为分段而造成httpd崩溃
#EnableSendfile off
这个指令控制httpd是否可以使用操作系统内核的sendfile支持来将文件发送到客户端。默认情况下,当处理一个请求并不需要访问文件内部的数据时(比如发送一个静态的文件内容),如果操作系统支持,Apache将使用sendfile将文件内容直接发送到客户端而并不读取文件
484 ErrorLog logs/error_log
错误日志存放的位置
LogLevel warn
Apache日志的级别
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
定义了日志的格式,并用不同的代号表示
#CustomLog logs/access_log common
CustomLog logs/access_log combined
说明日志记录的位置,这里面使用了相对路径,所以ServerRoot需要指出,日志位置就存放在/etc/httpd/logs
ServerSignature On
定义当客户请求的网页不存在,或者错误的时候是否提示apache的版本的一些信息
Alias /icons/ "/var/www/icons/"
定义一些不在DocumentRoot下的文件,而可以将其映射到网页根目录中,这也是访问其他目录的一种方法,但在声明的时候切记目录后面加”/”
<Directory "/var/www/icons">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
定义对/var/www/icons/的权限,修改为 Options MultiViews FollowSymLinks表示不在浏览器上显示树状目录结构
<IfModule mod_dav_fs.c>
# Location of the WebDAV lock database.
DAVLockDB /var/lib/dav/lockdb
</IfModule>
对mod_dav_fs.c模块儿的管理
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
对CGI模块儿的的别名,与Alias相似。
<Directory "/var/www/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
对/var/www/cgi-bin文件夹的管理,方法同上
# Redirect old-URI new-URL
Redirect参数是用来重写URL的,当浏览器访问服务器上的一个已经不存在的资源的时候,服务器返回给浏览器新的URL,告诉浏览器从该URL中获取资源。这主要用于原来存在于服务器上的文档改变位置之后,又需要能够使用老URL能访问到原网页
IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable Charset=UTF-8
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
...
IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t
当一个HTTP请求的URL为一个目录的时候,服务器返回这个目录中的索引文件,如果目录中不存在索引文件,并且服务器有许可显示目录文件列表的时候,就会显示这个目录中的文件列表,为了使得这个文件列表能具有可理解性,而不仅仅是一个简单的列表,就需要前这些参数。如果使用了IndexOptionsFancyIndexing选项,可以让服务器针对不同的文件引用不同的图标。如果没有就使用DefaultIcon定义缺省图标。同样,使用AddDescription可以为不同类型的文档介入描述
AddLanguage ca .ca
......
AddLanguage zh-TW .zh-tw
添加语言
LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no pl pt pt-BR ru sv zh-CN zh-TW
Apache支持的语言
AddDefaultCharset UTF-8
默认支持的语言
#AddType application/x-tar .tgz
支持的应用如果想支持对php的解析添加这样一行
#AddEncoding x-compress .Z
#AddEncoding x-gzip .gz .tgz
支持对以.Z和.gz.tgz结尾的文件
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
添加对上述两种文件的应用
#AddHandler cgi-script .cgi
修改为:AddHandler cgi-script .cgi .pl 表示允许扩展名为.pl的CGI脚本运行
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
添加动态处理类型为server-parsed由服务器预先分析网页内的标记,将标记改为正确的HTML标识
#ErrorDocument 404 /missing.html
当服务器出现404错误的时候,返回missing.html页面
Alias /error/ "/var/www/error/"
赋值别名
<IfModule mod_negotiation.c>
<IfModule mod_include.c>
<Directory "/var/www/error">
AllowOverride None
Options IncludesNoExec
AddOutputFilter Includes html
AddHandler type-map var
Order allow,deny
Allow from all
LanguagePriority en es de fr
ForceLanguagePriority Prefer Fallback
</Directory>
对/var/www/error网页的权限及操作
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
.....
设置特殊的参数,以保证对老版本浏览器的兼容,并支持新浏览器的特性
3)Virtual Hosts
#NameVirtualHost *:80
如果启用虚拟主机的话,必须将前面的注释去掉,而且,第二部分的内容都可以出现在每个虚拟主机部分。
# VirtualHost example:
#<VirtualHost *:80>
# ServerAdmin webmaster@www.linuxidc.com
# DocumentRoot /www/docs/www.linuxidc.com
# ServerName www.linuxidc.com
# ErrorLog logs/www.linuxidc.com-error_log
# CustomLog logs/www.linuxidc.com-access_log common
#</VirtualHost>
