一、HTTP协议
1.1 简介
HTTP:为解决"用什么样的网络协议来实现整个因特网上的万维网文档"这一难题,就要使万维网客户程序(以浏览器为主,但不限于浏览器)与万维网服务器程序之间的交互遵守严格的协议,即超文本传送协议(HyperText Transfer Protocol)。HTTP是处于应用层的协议,使用TCP传输层协议进行可靠的传送。因此,需要特别提醒的是,万维网是基于因特网的一种广泛因特网应用系统,且万维网采用的是HTTP(80/TCP)和 HTTPS(443/TCP)的传输协议,但因特网还有其他的网络应用系统(如:FTP、SMTP等等)。
URL:万维网使用统一资源定位符(Uniform Resource Locator)来标志万维网上的各种文档,并使每个文档在整个因特网的范围内具有唯一的标识符URL。
HTML:为了解决"怎样使不同作者创作的不同风格的万维网文档,都能在因特网上的各种主机上显示出来,同时使用户清楚地知道在什么地方存在着链接"这一问题,万维网使用超文本标记语言(HyperText Markup Language),使得万维网页面的设计者可以很方便地用链接从页面的某处链接到因特网的任何一个万维网页面,并且能够在自己的主机品目上将这些页面显示出来。HTML与txt一样,仅仅是是一种文档,不同之处在于,这种文档专供于浏览器上为浏览器用户提供统一的界面呈现的统一规约。且具备结构化的特征,这是txt所不具备的强制规定。
1.2 URI
URI: Uniform Resource Identifier 统一资源标识,分为URL 和 URN
-
URN:Uniform Resource Naming,统一资源命名 示例: P2P下载使用的磁力链接是URN的一种实现
magnet:?xt=urn:btih:660557A6890EF888666(只是描述了资源的名字,并没有明确该资源在哪里)
-
URL:Uniform Resorce Locator,统一资源定位符,用于描述某服务器某特定资源位置
两者区别:
-
URN如同一个人的名称,而URL代表一个人的住址。换言之,URN定义某事物的身份
-
URL提供查找该事物的方法。URN仅用于命名,而不指定地URL组成
URL示例
bash
url组成:协议://主机名:端口/url
端口后的/ 为http服务软件的根,而非系统的根
scheme:方案,访问服务器以获取资源时要使用哪种协议 http https ftp file 获取文件的协议类型
user:用户,某些方案访问资源时需要的用户名
password:密码,用户对应的密码,中间用:分隔
Host:主机,资源宿主服务器的主机名或IP地址
port:端口,资源宿主服务器正在监听的端口号,很多方案有默认端口号
path:路径,服务器资源的本地名,由一个/将其与前面的URL组件分隔
params:参数,指定输入的参数,参数为名/值对,多个参数,用;分隔
query:查询,传递参数给程序,如数据库,用?分隔,多个查询用&分隔
frag:片段,一小片或一部分资源的名字,此组件在客户端使用,用#分隔
1.3 网站访问量PV
网站访问量统计的重要指标
- IP(独立IP):即Internet Protocol,指独立IP数。一天内来自相同客户机IP 地址只计算一次,记录远程客户机IP地址的计算机访问网站的次数,是衡量网站流量的重要指标
- PV(访问量): 即Page View, 页面浏览量或点击量,用户每次刷新即被计算一次,PV反映的是浏览某网站的页面数,PV与来访者的数量成正比,PV并不是页面的来访者数量,而是网站被访问的页面数量
- UV(独立访客):即Unique Visitor,访问网站的一台电脑为一个访客。一天内相同的客户端只被计算一次。可以理解成访问某网站的电脑的数量。网站判断来访电脑的身份是通cookies实现的。如果更换了IP后但不清除cookies,再访问相同网站,该网站的统计中UV数是不变的
1.4 HTTP工作机制
一次http事务包括:
- http请求:http request
- http响应:http response
Web资源:web resource, 一个网页由多个资源(文件)构成,打开一个页面,通常会有多个资源展示出来,但是每个资源都要单独请求。因此,一个"Web 页面"通常并不是单个资源,而是一组资源的集合
资源类型:
- 静态文件:无需服务端做出额外处理,服务器端和客户端的文件内容相同
常见文件后缀:.html, .txt, .jpg, .js, .css, .mp3, .avi - 动态文件:服务端执行程序,返回执行的结果,服务器端和客户端的文件内容不相同
常见文件后缀:.php, .jsp ,.asp
提高HTTP连接性能
- 并行连接:通过多条TCP连接发起并发的HTTP请求
- 持久连接:keep-alive,重用TCP连接,以消除连接和关闭的时延,以事务个数和时间来决定是否关闭连接
- 管道化连接:通过共享TCP连接,发起并发的HTTP请求
- 复用的连接:交替传送请求和响应报文(实验阶段)
1.5 HTTP协议版本
-
http 0.9只支持下载,只有get方法,不支持长连接
-
http 1.0加入了多种方法,post,不支持长连接
-
http 1.1加入了长连接
1.6 HTTP请求访问的完整过程
1、建立连接
接收或拒绝连接请求
2、接收请求
接收客户端请求报文中对某资源的一次请求的过程
Web访问响应模型(Web I/O)
-
单进程I/O模型:启动一个进程处理用户请求,而且一次只处理一个,多个请求被串行响应
-
多进程I/O模型:并行启动多个进程,每个进程响应一个连接请求
-
复用I/O结构:启动一个进程,同时响应N个连接请求
-
复用的多进程I/O模型:启动M个进程,每个进程响应N个连接请求,同时接收M*N个请求
3、处理请求
服务器对请求报文进行解析,并获取请求的资源及请求方法等相关信息,根据方法,资源,首部和可选的主体部分对请求进行处理
常用请求Method: GET、POST、HEAD、PUT、DELETE、TRACE、OPTIONS
4、访问资源
服务器获取请求报文中请求的资源web服务器,即存放了web资源的服务器,负责向请求者提供对方请求的静态资源,或动态运行后生成的资源
5、构建响应报文
一旦Web服务器识别除了资源,就执行请求方法中描述的动作,并返回响应报文。响应报文中 包含有响应状态码、响应首部,如果生成了响应主体的话,还包括响应主体
1)响应实体:如果事务处理产生了响应主体,就将内容放在响应报文中回送过去。响应报文中通常包括:
描述了响应主体MIME类型的Content-Type首部
描述了响应主体长度的Content-Length
实际报文的主体内容
2)URL重定向:web服务构建的响应并非客户端请求的资源,而是资源另外一个访问路径
3)MIME类型: Web服务器要负责确定响应主体的MIME类型。多种配置服务器的方法可将MIME类型与资源管理起来
- 魔法分类:Apache web服务器可以扫描每个资源的内容,并将其与一个已知模式表(被称为魔法文件)进行匹配,以决定每个文件的MIME类型。这样做可能比较慢,但很方便,尤其是文件没有标准扩展名时
- 显式分类:可以对Web服务器进行配置,使其不考虑文件的扩展名或内容,强制特定文件或目录内容拥有某个MIME类型
- 类型协商: 有些Web服务器经过配置,可以以多种文档格式来存储资源。在这种情况下,可以配置Web服务器,使其可以通过与用户的协商来决定使用哪种格式(及相关的MIME类型)"最好"
6、发送响应报文
Web服务器通过连接发送数据时也会面临与接收数据一样的问题。服务器可能有很多条到各个客户端的连接,有些是空闲的,有些在向服务器发送数据,还有一些在向客户端回送响应数据。服务器要记录连接的状态,还要特别注意对持久连接的处理。对非持久连接而言,服务器应该在发送了整条报文之后,关闭自己这一端的连接。对持久连接来说,连接可能仍保持打开状态,在这种情况下,服务器要正确地计算Content-Length首部,不然客户端就无法知道响应什么时候结束
7、记录日志
最后,当事务结束时,Web服务器会在日志文件中添加一个条目,来描述已执行的事务
1.7 http协议状态码
1xx:100-101 信息提示
2xx:200-206 成功
3xx:300-307 重定向
4xx:400-415 客户端错误
5xx:500-505 服务器端错误
http协议常用的状态码
html
200: 成功,请求数据通过响应报文的entity-body部分发送;OK
301: 请求的URL指向的资源已经被删除;但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently
302: 响应报文Location指明资源临时新位置 Moved Temporarily
304: 客户端发出了条件式请求,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;Not Modified
307: 浏览器内部重定向
401: 需要输入账号和密码认证方能访问资源;Unauthorized
403: 请求被禁止;Forbidden
404: 服务器无法找到客户端请求的资源;Not Found
500: 服务器内部错误;Internal Server Error,比如:cgi程序没有执行权限
502: 代理服务器从后端服务器收到了一条伪响应,如无法连接到网关;Bad Gateway
503: 服务不可用,临时服务器维护或过载,服务器无法处理请求,比如:php服务停止,无法处理php程序
504: 网关超时
二、apache安装组成
2.1 MPM工作模式
**prefork:**多进程I/O模型,每个进程响应一个请求,CentOS 7 httpd默认模型一个主进程:生成和回收n个子进程,创建套接字,不响应请求多个子进程:工作 work进程,每个子进程处理一个请求;系统初始时,预先生成多个空闲进程,等待请求
Prefork MPM预派生模式,有一个主控制进程,然后生成多个子进程,每个子进程有一个独立的线程响应用户请求,相对比较占用内存,但是比较稳定,可以设置最大和最小进程数,是最古老的一种模式,也是最稳定的模式,适用于访问量不是很大的场景
优点:稳定,服务周到
缺点:慢,占用资源,不适用于高并发场景
worker:复用的多进程I/O模型,多进程多线程,IIS使用此模型
一个主进程:生成m个子进程,每个子进程负责生个n个线程,每个线程响应一个请求,并发响应请求:m*n
worker MPM是一种多进程和多线程混合的模型,有一个控制进程,启动多个子进程,每个子进程里面包含固定的线程,使用线程程来处理请求,当线程不够使用的时候会再启动一个新的子进程,然后在进程里面再启动线程处理请求,由于其使用了线程处理请求,因此可以承受更高的并发。
优点:相比prefork 占用的内存较少,可以同时处理更多的请求
缺点:使用keep-alive的长连接方式,某个线程会一直被占据,即使没有传输数据,也需要一直等待到超时才会被释放。如果过多的线程,被这样占据,也会导致在高并发场景下的无服务线程可用。(该问题在prefork模式下,同样会发生)
event :事件驱动模型(worker模型的变种),CentOS8 默认模型
一个主进程:生成m个子进程,每个子进程负责生个n个线程,每个线程响应一个请求,并发响应请求:m*n,有专门的监控线程来管理这些keep-alive类型的线程,当有真实请求时,将请求传递给服务线程,执行完毕后,又允许释放。这样增强了高并发场景下的请求处理能力
event MPM是Apache中最新的模式,2012年发布的apache 2.4.X系列正式支持event 模型. 属于事件驱动模型(epoll),每个进程响应多个请求,在现在版本里的已经是稳定可用的模式。它和worker模式很像,最大的区别在于,它解决了keep-alive场景下,长期被占用的线程的资源浪费问题(某些线程因为被keep-alive,空挂在哪里等待,中间几乎没有请求过来,甚至等到超时)。event MPM中,会有一个专门的线程来管理这些keep-alive类型的线程,当有真实请求过来的时候,将请求传递给服务线程,执行完毕后,又允许它释放。这样增强了高并发场景下的请求处理能力event只在有数据发送的时候才开始建立连接,连接请求才会触发工作线程,即使用了TCP的一个选项,叫做延迟接受连接TCP_DEFER_ACCEPT,加了这个选项后,若客户端只进行TCP连接,不发送请求,则不会触发Accept操作,也就不会触发工作线程去干活,进行了简单的防攻击(TCP连接)
优点:单线程响应多请求,占据更少的内存,高并发下表现更优秀,会有一个专门的线程来管理keep-alive类型的线程,当有真实请求过来的时候,将请求传递给服务线程,执行完毕后,又允许它释放
缺点:没有线程安全控制
httpd-2.4:event 稳定版,centos7 以后默认
httpd-2.2:event 测试版,centos6 默认
2.2 httpd相关文件
配置文件:
-
/etc/httpd/conf/httpd.conf 主配置文件
-
/etc/httpd/conf.d/*.conf 子配置文件
-
/etc/httpd/conf.d/conf.modules.d/ 模块加载的配置文件
检查配置语法:httpd -t 或 apache2 -t
服务单元文件:
-
/usr/lib/systemd/system/httpd.service
-
配置文件:/etc/sysconfig/httpd
服务控制和启动
-
systemctl enable|disable httpd.service
-
systemctl {start|stop|restart|status|reload} httpd.service
-
apachectl start|stop|restart|configtest
-
service httpd start|stop|restart|configtest
站点网页文档根目录:/var/www/html
模块文件路径:
-
/etc/httpd/modules
-
/usr/lib64/httpd/modules
主服务器程序文件:/usr/sbin/httpd
2.3 httpd常见配置
2.3.1指定服务器名
[root@centos7 ~]#httpd -t
AH00558: httpd: Could not reliably determine the server's fully qualified domain
name, using centos7.localdomain. Set the 'ServerName' directive globally to
suppress this message
Syntax OK
[root@centos7 ~]#vim /etc/httpd/conf/httpd.conf
#ServerName www.example.com:80
servername www.magedu.org
[root@centos7 ~]#httpd -t
Syntax OK
2.3.2包含其它配置文件
指令:
Include file-path|directory-path|wildcard
IncludeOptional file-path|directory-path|wildcard
说明:
-
Include和IncludeOptional功能相同,都可以包括其它配置文件
-
但是当无匹配文件时,include会报错,IncludeOptional会忽略错误
include 子配置文件
[root@node2 ~]#grep -i include /etc/httpd/conf/httpd.conf
Include conf.modules.d/*.conf
# Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
# Possible values include: debug, info, notice, warn, error, crit,
# If you include a trailing / on /webpath then the server will
# To parse .shtml files for server-side includes (SSI):
# (You will also need to add "Includes" to the "Options" directive.)
AddOutputFilter INCLUDES .shtml
IncludeOptional conf.d/*.conf
总目录
[root@node2 httpd]#grep -i serverroot /etc/httpd/conf/httpd.conf
# with "/", the value of ServerRoot is prepended -- so 'log/access_log'
# with ServerRoot set to '/www' will be interpreted by the
# ServerRoot: The top of the directory tree under which the server's
# ServerRoot at a non-local disk, be sure to specify a local disk on the
# same ServerRoot for multiple httpd daemons, you will need to change at
ServerRoot "/etc/httpd"
2.3.3 监听地址
Listen [IP:]PORT
说明:
(1) 省略IP表示为本机所有IP
(2) Listen指令至少一个,可重复出现多次
范例:
Listen 192.168.91.100:8080
Lsten 80
vim /etc/httpd/conf.d/test.conf
Listen 8080
2.3.4隐藏服务器版本信息
[root@localhost ~]#curl -I 192.168.91.101
HTTP/1.1 200 OK
Date: Sat, 19 Aug 2023 08:28:41 GMT
Server: Apache/2.4.6 (CentOS)
Last-Modified: Fri, 18 Aug 2023 04:04:43 GMT
ETag: "1c-6032aa0ec1dcc"
Accept-Ranges: bytes
Content-Length: 28
Content-Type: text/html; charset=UTF-8
语法:
ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full
相关指令:
ServerTokens Prod[uctOnly] :Server: Apache
ServerTokens Major: Server: Apache/2
ServerTokens Minor: Server: Apache/2.0
ServerTokens Min[imal]: Server: Apache/2.0.41
ServerTokens OS: Server: Apache/2.0.41 (Unix)
ServerTokens Full (or not specified): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2 此为默认值
范例:
[root@node2 httpd]#vim conf.d/test.conf
Listen 8080
ServerTokens Prod
[root@localhost ~]#curl -I 192.168.91.101
HTTP/1.1 200 OK
Date: Sat, 19 Aug 2023 08:28:41 GMT
Server: Apache
Last-Modified: Fri, 18 Aug 2023 04:04:43 GMT
ETag: "1c-6032aa0ec1dcc"
Accept-Ranges: bytes
Content-Length: 28
Content-Type: text/html; charset=UTF-8
2.3.5持久连接
Persistent Connection:连接建立,每个资源获取完成后不会断开连接,而是继续等待其它的请求完成,默认开启持久连接
断开条件:
-
时间限制:以秒为单位, 默认5s,httpd-2.4 支持毫秒级
-
请求数量: 请求数达到指定值,也会断开
副作用:对并发访问量大的服务器,持久连接会使有些请求得不到响应
折衷:使用较短的持久连接时间
持久连接相关指令:
KeepAlive On|Off
KeepAliveTimeout 15 #连接持续15s,可以以ms为单位,默认值为5s
MaxKeepAliveRequests 500 #持久连接最大接收的请求数,默认值100
测试方法:
telnet WEB_SERVER_IP PORT
GET /URL HTTP/1.1
Host: WEB_SERVER_IP
GET /test1 HTTP/1.1
host: 1.1.1.1
2.3.6 DSO (Dynamic Shared Object)
Dynamic Shared Object,加载动态模块配置,不需重启即生效动态模块所在路径: /usr/lib64/httpd/modules/
主配置 /etc/httpd/conf/httpd.conf 文件中指定加载模块配置文件
ServerRoot "/etc/httpd"
Include conf.modules.d/*.conf
配置指定实现模块加载格式:
LoadModule <mod_name> <mod_path>
模块文件路径可使用相对路径:相对于ServerRoot(默认/etc/httpd)
范例:查看模块加载的配置文件
[root@centos7 ~]#ls /etc/httpd/conf.modules.d/
00-base.conf 00-lua.conf 00-optional.conf 00-systemd.conf 10-h2.conf
README
00-dav.conf 00-mpm.conf 00-proxy.conf 01-cgi.conf 10-proxy_h2.conf
[root@centos7 ~]#cat /etc/httpd/conf.modules.d/00-base.conf
#
# This file loads most of the modules included with the Apache HTTP
# Server itself.
#
LoadModule access_compat_module modules/mod_access_compat.so
LoadModule actions_module modules/mod_actions.so
LoadModule alias_module modules/mod_alias.so
LoadModule allowmethods_module modules/mod_allowmethods.so
LoadModule auth_basic_module modules/mod_auth_basic.so
...省略...
**查看静态编译的模块:**httpd -l
**查看静态编译及动态装载的模块:**httpd -M
[root@node2 httpd]#rpm -ql httpd|grep basic
/usr/lib64/httpd/modules/mod_auth_basic.so
[root@node2 httpd]#httpd -M|grep basic
auth_basic_module (shared)
[root@node2 conf.modules.d]#vim 00-base.conf
#将第10行 的 basic 模块 注释就看不到了
10 LoadModule auth_basic_module modules/mod_auth_basic.so
2.3.7 MPM多路处理模块
httpd 支持三种MPM工作模式:prefork, worker, event
修改
[root@centos7 ~]#vim /etc/httpd/conf.modules.d/00-mpm.conf
[root@centos7 ~]#grep Load /etc/httpd/conf.modules.d/00-mpm.conf
# one of the following LoadModule lines. See the httpd.conf(5) man
LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
#LoadModule mpm_worker_module modules/mod_mpm_worker.so
#LoadModule mpm_event_module modules/mod_mpm_event.so
[root@centos7 ~]#httpd -M | grep mpm
AH00558: httpd: Could not reliably determine the server's fully qualified domain
name, using centos8.localdomain. Set the 'ServerName' directive globally to
suppress this message
mpm_prefork_module (shared)
2.3.8 prefork模式相关的配置
StartServers 100
MinSpareServers 50
MaxSpareServers 80
ServerLimit 2560 #最多进程数,最大值 20000
MaxRequestWorkers 2560 #最大的并发连接数,默认256
MaxConnectionsPerChild 4000 #子进程最多能处理的请求数量。在处理MaxRequestsPerChild 个
请求之后,子进程将会被父进程终止,这时候子进程占用的内存就会释放(为0时永远不释放)
MaxRequestsPerChild 4000 #从 httpd.2.3.9开始被MaxConnectionsPerChild代替
2.3.9worker和event 模式相关的配置
ServerLimit 16 #最多worker进程数 Upper limit on configurable number of
processes
StartServers 10 #Number of child server processes created at startup
MaxRequestWorkers 150 #Maximum number of connections that will be processed
simultaneously
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25 #Number of threads created by each child process
指定开启进程数
bashvim /etc/httpd/conf/httpd.conf #最后一行加入, 也可以在 模块配置文件中加 StartServers 10 重启服务后生效 pstree -p |grep httpd
3.10 定义Main server的文档页面路径
DocumentRoot "/path”
<directory /path>
Require all granted
</directory>
说明:
-
DocumentRoot指向的路径为URL路径的起始位置
-
/path 必须显式授权后才可以访问
范例:
DocumentRoot "/data/html"
<directory /data/html>
Require all granted
</directory>
#URL和磁盘(系统)路径的映射关系
http://HOST:PORT/test/index.html --> /data/html/test/index.html
192.168.91.100/
/data
别名:alias
格式:
alias /URL/ /PATH/
url:路径
path:具体路径
例子:
[root@localhost conf.d]#vim test.conf
<directory /opt/blogdir>
Require all granted
</directory>
alias /blog /opt/blogdir(真正的系统路径)
3.11 定义站点默认主页面文件
当我们访问服务器时 省略了最后的文件, 默认自动会加上 index.html 这个是可以修改的
DirectoryIndex index.php index.html
都没有还是会报错
例子:
[root@localhost blogdir]#grep -n index /etc/httpd/conf/httpd.conf
164: DirectoryIndex index.html
[root@localhost blogdir]#vim /etc/httpd/conf/httpd.conf
164: DirectoryIndex index.txt index.html
[root@localhost blogdir]#echo index.txt > index.txt
[root@localhost blogdir]#echo index.html> index.html
192.168.91.100/文件
192.168.91.100/index.html
不写文件默认访问的是 index.html
目标文件不存在
indexes 文件列表显示给你看
针对目录和URL实现访问控制
(1) Options指令:
后跟1个或多个以空白字符分隔的选项列表, 在选项前的+,- 表示增加或删除指定选项
常见选项:
-
Indexes:指明的URL路径下不存在与定义的主页面资源相符的资源文件时,返回索引列表给用户
-
FollowSymLinks:允许访问符号链接文件所指向的源文件
-
None:全部禁用
-
All: 全部允许
Options 可以写在 目录里 <> 也可以写在外面
例子实际操作:
选项indexes: 如果在默认目录下 没哟index.html 等托底的文件那么就会形成下载列表
修改默认的配置, 如果访问不了页面就去规定的目录下
[root@localhost data]#vim /etc/httpd/conf.d/welcome.conf
8 #<LocationMatch "^/+$">
9 # Options -Indexes
10 # ErrorDocument 403 /.noindex.html
11 #</LocationMatch>
修改配置文件
#DocumentRoot "/var/www/html"
DocumentRoot "/data"
<Directory "/data">
Require all granted
options Indexes
</Directory>
注意家目录下不该有 index,html文件
支持软连接 followsymlinks
在默认的路径下新建一个软连接文件然后测试
[root@localhost blog]#vim /etc/httpd/conf.d/test.conf
<directory /blog>
Require all granted
options indexes followsymlinks
</directory>
[root@localhost blog]#grep -in indexes /etc/httpd/conf/httpd.conf
#默认是支持 软连接的
135: # Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews
154: Options Indexes FollowSymLinks
(2) AllowOverride*指令
与访问控制相关的哪些指令可以放在指定目录下的.htaccess(由AccessFileName 指令指定,AccessFileName .htaccess 为默认值)文件中,覆盖之前的配置指令,只对语句有效
常见用法:
AllowOverride All: .htaccess中所有指令都有效
AllowOverride None: .htaccess 文件无效,此为httpd 2.3.9以后版的默认值
AllowOverride AuthConfig .htaccess 文件中,除了AuthConfig 其它指令都无法生效
例子:
#DocumentRoot "/var/www/html"
DocumentRoot "/data"
<Directory "/data">
Require all granted
AllowOverride All
</Directory>
[root@localhost data]#vim .htaccess
options indexes followsymlinks
重启服务
改文件无法被修改
[root@centos7 test2]#grep -Ev '^ *#|^$' /apps/httpd24/conf/httpd.conf |grep -A 2 'ht\*'
<Files ".ht*">
Require all denied
</Files>
3.12 虚拟主机
httpd 支持在一台物理主机上实现多个网站,即多虚拟主机
网站的唯一标识:
-
IP相同,但端口不同
-
IP不同,但端口均为默认端口
-
FQDN不同, IP和端口都相同
多虚拟主机有三种实现方案:
-
基于ip:为每个虚拟主机准备至少一个ip地址
-
基于port:为每个虚拟主机使用至少一个独立的port
-
基于FQDN:为每个虚拟主机使用至少一个FQDN,请求报文中首部 Host:<www.kgc.com>
3.12.1 基于ip地址
实际操作
[root@node2 conf.d]#vim /etc/httpd/conf.d/test.conf
<VirtualHost 192.168.91.101:80>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/accp"
ServerName www.accp.com
ErrorLog "logs/www.accp.com_error_log"
CustomLog "logs/www.accp.com_access_log" common
</VirtualHost>
<VirtualHost 192.168.91.188:80>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/accp"
ServerName www.accp.com
ServerAlias www.dummy-host.example.com
ErrorLog "logs/www.accp.com_error_log"
CustomLog "logs/www.accp.com_access_log" common
</VirtualHost>
<Directory "/var/www">
AllowOverride None
# Allow open access:
Require all granted
</Directory>
[root@localhost extra]#vim /etc/httpd/conf/httpd.conf
Listen 192.168.91.101:80
Listen 192.168.91.188:80
3.12.2 基于端口地址
[root@node2 conf.d]#vim /etc/httpd/conf.d/test.conf
<VirtualHost 192.168.91.101:80>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/accp"
ServerName www.accp.com
ErrorLog "logs/www.accp.com_error_log"
CustomLog "logs/www.accp.com_access_log" common
</VirtualHost>
<VirtualHost 192.168.91.101:8080>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/accp"
ServerName www.accp.com
ServerAlias www.dummy-host.example.com
ErrorLog "logs/www.accp.com_error_log"
CustomLog "logs/www.accp.com_access_log" common
</VirtualHost>
<Directory "/var/www">
AllowOverride None
# Allow open access:
Require all granted
</Directory>
[root@localhost extra]#vim /etc/httpd/conf/httpd.conf
Listen 192.168.91.101:80
Listen 192.168.91.188:80
3.12.3 基于域名
[root@node2 conf.d]#vim /etc/httpd/conf.d/test.conf
<VirtualHost 192.168.91.101:80>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/kgc"
ServerName www.kgc.com
ErrorLog "logs/www.kgc.com_error_log"
CustomLog "logs/www.kgc.com_access_log" common
</VirtualHost>
<VirtualHost 192.168.91.101:80>
ServerAdmin support@jfedu.net
DocumentRoot "/var/www/html/accp"
ServerName www.accp.com
ServerAlias www.dummy-host.example.com
ErrorLog "logs/www.accp.com_error_log"
CustomLog "logs/www.accp.com_access_log" common
</VirtualHost>
<Directory "/var/www">
AllowOverride None
# Allow open access:
Require all granted
</Directory>
mkdir -p /var/www/html/kgc
mkdir -p /var/www/html/accp
echo "<h1>www.kgc.com</h1>" /var/www/html/kgc/index.html
echo "<h1>www.accp.com</h1>" /var/www/html/accp/index.html
去添加host文件
3.13 基于客户端 IP 地址实现访问控制
基于客户端 IP 地址实现访问控制
针对各种资源,可以基于以下两种方式的访问控制:
-
客户端来源地址
-
用户账号
基于客户端的IP地址的访问控制:
-
无明确授权的目录,默认拒绝
-
允许所有主机访问:Require all granted
-
拒绝所有主机访问:Require all denied
-
控制特定的IP访问:
-
Require ip IPADDR:授权指定来源的IP访问
-
Require not ip IPADDR:拒绝特定的IP访问
-
-
控制特定的主机访问:
-
Require host HOSTNAME:授权特定主机访问
-
Require not host HOSTNAME:拒绝
-
HOSTNAME:
-
FQDN:特定主机
-
domin.tld:指定域名下的所有主机
-
-
例子:白名单, 多个语句有一个成功,则成功,即成功优先
成功优先,只有192.168.91.101
<Directory "/data">
<RequireAny>
Require all denied
require ip 192.168.91.101
</RequireAny>
</Directory>
例子: 黑名单, 不能有失败,至少有一个成功匹配才成功,即失败优先
只是 不让 192.168.91.101 访问 /data 目录
<Directory "/data">
<RequireAll>
Require all granted
require not ip 192.168.91.101
</RequireAll>
</Directory>
3.14 日志
httpd有两种日志类型
-
访问日志
-
错误日志
3.14.1访问日志
定义日志格式:
LogFormat format nickname
使用日志格式:
CustomLog file nickname
例子:
LogFormat "%h %l %u [%{%F %T}t] \"%r\" %>s %b \"%{Referer}i\" \"%{User•Agent}i\"" testlog
参考帮助:http://httpd.apache.org/docs/2.4/mod/mod_log_config.html#formats
%h #客户端IP地址
%l #远程用户,启用mod_ident才有效,通常为减号"-”
%u #验证(basic,digest)远程用户,非登录访问时,为一个减号"-”
%t #服务器收到请求时的时间
%r #First line of request,即表示请求报文的首行;记录了此次请求的"方法”,"URL”以及协议版本
%>s #响应状态码
%b #响应报文的大小,单位是字节;不包括响应报文http首部
%{Referer}i #请求报文中首部"referer”的值;即从哪个页面中的超链接跳转至当前页面的
%{User-Agent}i #请求报文中首部"User-Agent”的值;即发出请求的应用程序
%{VARNAME}i #The contents of VARNAME: header line(s) in the request sent to the server
时间格式是参考 man 3 strftime 此处
例子: 自定义日志格式
LogFormat "%h %{%F %T}t" testlog
LogFormat "%h \"%{%F %T}\"t" testlog
LogFormat "%h \"%{%F %T}t\"\" %{User-Agent}i\"" testlog
CustomLog "logs/access_log" testlog
3.15基于用户的访问控制
认证质询:WWW-Authenticate,响应码为401,拒绝客户端请求,并说明要求客户端需要提供账号和密码
认证:Authorization,客户端用户填入账号和密码后再次发送请求报文;认证通过时,则服务器发送响
应的资源
认证方式两种:
-
basic:明文
-
digest:消息摘要认证,兼容性差
安全域:需要用户认证后方能访问的路径;应该通过名称对其进行标识,以便于告知用户认证的原因
用户的账号和密码
虚拟账号:仅用于访问某服务时用到的认证标识
存储:文本文件,SQL数据库,ldap目录存储,nis等
htpasswd
htpasswd [options] /PATH/HTTPD_PASSWD_FILE username password
选项:
-c 自动创建文件,仅应该在文件不存在时使用
-b 非交互方式创建用户,命令后面可以接密码
-p 明文密码
-d CRYPT格式加密,默认
-m md5格式加密
-s sha格式加密
-D 删除指定用户
实际操作
先生成虚拟用户密码
[root@localhost data]#htpasswd -c .httpuser xiaoming
New password:
Re-type new password:
Adding password for user xiaoming
[root@localhost data]#cat .httpuser
xiaoming:$apr1$DZg42yEk$5Uxt3OkDSD8GRUy1u2xIg/
[root@localhost data]#htpasswd -b .httpuser cxk 123123
Adding password for user cxk
[root@localhost data]#cat .httpuser
xiaoming:$apr1$DZg42yEk$5Uxt3OkDSD8GRUy1u2xIg/
cxk:$apr1$FmLuRd4m$ykFofjHyLOtqdv1xVfEJd.
<directory /data/html>
AuthType Basic
AuthName "FBI warning"
AuthUserFile "/data/.httpuser"
require valid-user
</directory>
<Directory "/data/html">
AuthType Basic
AuthName "FBI warning"
AuthUserFile "/data/.httpuser"
Require valid-user
</Directory>
3.16 状态页
httpd 提供了状态页,可以用来观察httpd的运行情况。此功能需要加载mod_status.so模块才能实现
首先要有 状态模块
[root@localhost data]#httpd -M |grep status
status_module (shared)
##############修改配置文件
<location "/status">
sethandler server-status
</location>
<location "/status">
sethandler server-status
AuthType Basic
AuthName "FBI warning"
AuthUserFile "/data/.httpuser"
Require valid-user
</location>
本篇要点:
- 修改主站点
bashyum install -y httpd vim /etc/httpd/conf/httpd.conf 开启95行 注释119行后添加 DocumentRoot "/opt" <Directory "/opt" Require all granted </Directory> cd /opt;echo "zbzb" > index.html PC2: curl PC1的IP
- 设置别名目录
bashvim /etc/httpd/conf/httpd.conf alias /news (url) /data/zb <Directory "/data" Require all granted </Directory> cd /data; mkdir zb; echo "zb" > /data/zb/index.html PC2: curl PC1的IP/news
- 虚拟主机
bashcd /etc/httpd/conf.d cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf ./ mv httpd-vhosts.conf vhosts.conf #基于端口 vim vhosts.conf <VirtualHost PC1的IP:80> DocumentRoot "/opt/zb" ServerName "www.zb.com" ErrorLog "/opt/zb/log/error-zb.log" CustomLog "/opt/zb/log/access-zb.log" </VirtualHost> <VirtualHost PC1的IP:9527> DocumentRoot "/opt/wjq" ServerName "www.wjq.com" ErrorLog "/opt/wjq/log/error-wjq.log" CustomLog "/opt/wjq/log/access-wjq.log" </VirtualHost> <Directory "/opt" Require all granted </Directory> #基于IP地址 vim vhosts.conf <VirtualHost PC1的IP> DocumentRoot "/opt/zb" ServerName "www.zb.com" ErrorLog "/opt/zb/log/error-zb.log" CustomLog "/opt/zb/log/access-zb.log" </VirtualHost> <VirtualHost IP2> DocumentRoot "/opt/wjq" ServerName "www.wjq.com" ErrorLog "/opt/wjq/log/error-wjq.log" CustomLog "/opt/wjq/log/access-wjq.log" </VirtualHost> <Directory "/opt" Require all granted </Directory> ifconfig ens33:0 IP2 systemctl restart httpd #基于域名 vim vhosts.conf <VirtualHost PC1的IP> DocumentRoot "/opt/zb" ServerName "www.zb.com" ErrorLog "/opt/zb/log/error-zb.log" CustomLog "/opt/zb/log/access-zb.log" </VirtualHost> <VirtualHost PC1的IP> DocumentRoot "/opt/wjq" ServerName "www.wjq.com" ErrorLog "/opt/wjq/log/error-wjq.log" CustomLog "/opt/wjq/log/access-wjq.log" </VirtualHost> <Directory "/opt" Require all granted </Directory> PC2: echo "PC1的IP www.zb.com www.wjq.com" >> /etc/hosts