一 、HTTP协议与URL
* HTTP协议:超文本传输协议,用于从Web服务器传输超文本到本地浏览器的传输协议,属于应用层协议。 超文本语言,用来创建超文本文件的标签
* URL:统一资源定位符,是互联网上标准资源的地址,格式为http://www.kernel.com:80/image/a.jpg。 80:代表这个/usr/local/apache2/htdocs/路径
* URI:统一资源标志符,是比URL更广泛的资源标识方法,URL是URI的一个具体实例。
![[Pasted image 20240924200814.png]]
Apache Web服务器概述
-
**Apache**:是全球使用最广泛的Web服务器软件,支持跨平台运行,具有高度的安全性和可扩展性。
-
**市场占有率**:约60%,是Web服务器市场的领导者。
-
**支持功能**:支持SSL技术,多虚拟主机,以及Perl/Python/php等脚本语言的集成。
==二、服务文件介绍==
apache2/etc/httpd.conf标签介绍
* httpd软件的相关路径:
/usr/local/apache2/ #安装目录
/usr/local/apache2/etc/ #主配置文件目录**** /etc/httpd/conf/
/usr/local/apache2/etc/extra/ #子配置文件目录****
/usr/local/apache2/logs/ #日志目录 /var/log/httpd/
/usr/local/apache2/htdocs/ #网页目录**** /var/www/html/
/usr/local/apache2/error/ #报错网页页面(404,500)
/usr/local/apache2/modules/ #存放函数的目录
* httpd.conf 配置解释
* ServerRoot /usr/local/apache2 #apache主目录
* Listen 80 #监听端口{Listen 192.168.88.10:80}
* LoadModule php7 #加载的相关模块 像LoadModule php7_module modules/libphp7.so
* User Group #用户和组
* ServerName #服务器名 没有域名时用localhost:80
* ErrorLog "logs/error_log #服务器错误日志 代码404、500这类访问失败信息记录其中
* CustomLog "logs/access_log" common #访问记录日志 common是开启 代码100,200这类访问信息记录其中
* DirectoryIndex index.html index.php #默认网页首页文件 优先级顺序
* Include etc/extra/httpd-vhosts.conf #子配置文件中内容也会加载生效
* DocumentRoot "/usr/local/apache2/htdocs" #网页文件存放目录(默认)
* <Directory "/usr/local/apache2/htdocs"> #定义指定目录的权限
* Options Indexes FollowSymLinks
None #没有任何额外权限
All #所有权限(除去MultiViews以外)
Indexes #浏览权限(当此目录下没有默认网页文件时,显示目录内容)
FollowSymLinks #准许软链接到其他目录
MultiViews #准许文件名泛匹配(模糊匹配)(需要手动开启模块才有效模块negotiation)
AllowOverride None
#定义是否允许目录下**.htaccess****(像身份验证和域名转换使用)**文件中的权限生效
None #.htaccess中权限不生效
All #文件中所有权限都生效
AuthConfig #文件中,只有网页认证的权限生效
Require all granted(denied) #访问控制列表
</Directory>
DirectoryIndex #声明网页目录的首页文件
* 标签
``` shell
<IfModule dir_module>
#在这里添加首页文件 比如想index.php
DirectoryIndex index.html
</IfModule>
```
保存warn之后级别的错误
![[Pasted image 20240924200601.png]]
使用案例
Indexes #开启该选项,允许没有首页时显示文件列表,关闭则不允许
``` shell
cd /usr/local/apache2/htdocs/
mv index.html /root/ #会显示文件目录
vim /usr/local/apache2/etc/httpd.conf
#删除选项 会发现没有权限访问
Options FollowSymLinks
#重新启动服务
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
#把文件复制回来
cd /usr/local/apache2/htdocs/
mv /root/index.html ./
```
FollowSymLinks #该选项用来识别软链接
``` shell
mkdir /abc
echo "testinn......" >> /abc/index.html
ln -s /abc/ /usr/local/apache2/htdocs/
#创建软链接
vim /usr/local/apache2/etc/httpd.conf
#删除选项 会发现输入http://192.168.90.101/abc/没有权限访问
Options Indexes
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
* 标签
``` shell
<Directory />
#设置目录有没有权限
AllowOverride none
Require all denied
</Directory>
<IfModule log_config_module>
#保存日志的格式像access.log
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
</IfModule>
```
==三、Apache的工作模式==
- **Prefork多进程的单线程模式**:每个子进程只有一个线程,有资源隔离性和安全性高等优点,但资源利用率低
![[Pasted image 20240924200833.png]]
- **Worker多进程的多线程模式(常用)**:采用多进程和多线程混合模式,适合高并发(并发是指用户同时访问服务器的用户量)场景,在多进程中通过管理线程预先创建空闲线程来提高响应速度和效率,但需关注线程安全问题,适用于处理动态资源,但在处理静态资源方面相对较弱。
![[Pasted image 20240924200847.png]]
-
**Event**:优化了Worker模式,特别适合处理大量Keep-Alive连接,提高高并发下的性能。
-
长连接:Keep-Alive是什么?:在互联网访问中,频繁地建立和断开TCP连接会浪费时间和资源。为了提高效率,服务器采用了长连接机制,即"Keep-Alive"。通过"Keep-Alive",Apache服务器可以在一定时间内维持客户端与服务器之间的连接,减少了TCP握手的开销, 但在高并发环境下,导致服务器无法为新进来的请求快速创建新的线程进行处理
-
查看工作模式方法: /usr/local/apache2/bin/httpd -V | grep -i "server mpm"
四、知识扩展
* Apache需要自身的rotatelog(/usr/local/apache2/bin/rotatelogs)命令来实现日志文件的自动轮替与管理优化日志管理,减少不必要的日志记录以减小日志体积
* Apache服务器配置中的别名模块,用于解决网页目录资源共享的问题。
``` shell
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/usr/local/apache2/cgi-bin/"
</IfModule>
```
* MIME模块用于帮助Apache识别不同类型的文件后缀
``` shell
例子
AddType application/x-httpd-php .php .phtml
AddType application/x-httpd-php-source .phps
```
*
``` shell
vim /usr/local/apache2/etc/httpd.conf
#把这个注释取消掉 这个文件有目录浏览功能
Include etc/extra/httpd-autoindex.conf
cd /usr/local/apache2/etc/extra/
vim httpd-autoindex.conf
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
httpd-autoindex.conf 包含这些 访问IP/icons/链接
![[Pasted image 20240924195807.png]]
* 应对高并发负载需求? 根据实际需求进行性能扩展,增加单机硬件配置还是增加服务器节点
* HTML不具备传统编程语言必备的语言特性,如变量、函数、流程控制及逻辑判断等
* l inux中的日志涉及轮替和切割两种基本策略,轮替是在日志过大之前就确定,切割是日志已经过大才使用
* /usr/local/mysql/bin/mysql -uroot -p123456
* #创建用户,指定用户的登录方式 create user typecho@'localhost' identified by '123456';
* #创建数据库 create database typecho;
* #授予某用户对指定数据库的权限 grant all on typecho.* to typecho@'localhost';
* 在用户登录mysql时修改密码 set password=password('123456')
管理源码包安装apache服务规则文件
``` shell
#apache服务管理识别文件 请先/usr/local/apache2/bin/apachectl stop
在cp -a /root/httpd.service /usr/lib/systemd/system/
[Unit]
Description=apache
After=network.target
[Service]
Type=forking
ExecStart=/usr/local/apache2/bin/apachectl start
ExecStop=/usr/local/apache2/bin/apachectl stop
PrivateTmp=true
[Install]
WantedBy=multi-user.target
systemctl daemon-reload
```
* 请求状态码及其含义
* 500服务器内部错误 一个普通的错误信息,
* 502错误的网关 服务器作为一个网关或者代理,从上游的服务器中接收到无效的响应
* 503 服务不可用 504 网关超时
* 444 无响应 被使用在Nginx的日志中表明服务器没有返回信息给客户端并且关闭了连接
* 400 错误请求 401 未授权 **403** 禁止访问 **404** 找不到 **408** 请求超时
* 305使用代理 306 切换代理 不再使用。原意是随后的请求应该使用指定的代理
* ==301状态码表示客户端访问时,服务器进行了重定向,从旧域名跳转到新域名。这种重定向是永久性== 302 临时重定向
* 为什么在生产环境中要使用301重定向而非302?在生产环境中,通常要求客户端被永久重定向,因此使用301状态码。301状态码能够确保在缓存和历史记录中使用新域名,减少跳转次数,提高用户体验和效率。
* 200 成功 201 已创建
* 在生产环境中,虚拟主机的应用场景有哪些?在生产环境中,虚拟主机是非常重要的技术手段。例如,在将两个不同网站隔离时,可能需要使用虚拟主机来确保各站点的安全独立性。此外,在网站加密连接时,也会利用虚拟主机的概念,通过设置80端口和443端口的两个虚拟主机来分别承载非加密和加密流量,实现安全传输。或来当一些公司的门户网站
==五、apache实验==
1) Apache的目录别名
场景:通过别名功能实现第三方软件的网页共享,避免与Apache默认目录的冲突。可以为了第三方软件在不去破坏原有网页项目的情况下,能够被共享的一种方式(用比较少)
1、编辑主配置文件
``` shell
vim /usr/local/apache2/etc/httpd.conf
Include etc/extra/httpd-autoindex.conf #去掉注释,开启调用子配置文件,这个文件有目录浏览功能
LoadModule negotiation_module modules/mod_negotiation.so #去掉注释开启模糊匹配
```
2、编辑子配置文件
``` shell
mkdir -p /aa/bb/cc/w3/
echo "sssSs" >> /aa/bb/cc/w3/index.html
vim /usr/local/apache2/etc/extra/httpd-autoindex.conf
结构:别名 "真实目录" 真实目录的结尾要有/,否则报
Alias /w3/ "/aa/bb/cc/w3/"
<Directory "/aa/bb/cc/w3/">
Options Indexes MultiViews#模糊匹配
AllowOverride None
Require all granted
</Directory>
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
可以根据模板编写一个自己需要的目录别名
2) Apache的用户认证
有时候,我们需要给一些特殊的访问设置一个用户认证机制,增加安全。比如我们的个人网站,一般都是有一个管理后台的,虽然管理后台本身就有密码,但我们为了更加安全,可以再设置一层用户身份认证。
1、编辑配置文件
``` shell
#安装项目
mkdir /usr/local/apache2/htdocs/typecho
unzip /root/typecho.zip
cp -a /root/build/* /usr/local/apache2/htdocs/typecho/
cd /usr/local/apache2/htdocs/
useradd -s /sbin/nologin -r www
chown -R www.www *
#在添加数据库用户 用命令或者别的 并要改变apache主配置文件默认网页文件优先级
#修改配置文件
vim /usr/local/apache2/etc/httpd.conf
我要对htdocs/typecho/admin目录加密可以进行对Directory标签进行修改AllowOverride 的none改成 ALL
<Directory "/usr/local/apache2/htdocs/"> #声明被保护目录
Options Indexes FollowSymLinks
AllowOverride ALL #开启权限认证文件.htaccess
Require all granted
</Directory>
```
2、在指定目录下创建权限文件
切换到/usr/local/apache2/htdocs/typecho/admin,创建 .htaccess文件,并添加下面的内容
``` shell
vim .htaccess
#提示信息
AuthName "Welcome to kernel"
#加密类型
AuthType basic
#密码文件,文件名自定义。(使用绝对路径)
AuthUserFile /usr/local/apache2/htdocs/typecho/admin/apache.passwd
#允许密码文件中所有用户访问
require valid-user
```
**3****、建立密码文件,加入允许访问的用户。(此用户和系统用户无关)**
``` shell
/usr/local/apache2/bin/htpasswd -c /usr/local/apache2/htdocs/typecho/admin/apache.passwd test1
-c 建立密码文件,只有添加第一个用户时,才能-c
/usr/local/apache2/bin/htpasswd -m /usr/local/apache2/htdocs/typecho/admin/apache.passwd test2
-m 再添加更多用户时,使用-m 参数
```
==注意: htpasswd 该命令是httpd的命令,需要绝对路径==
4、重启apache服务
``` shell
/usr/local/apache2/bin/apachectl -t 用于检测Apache配置文件的语法正确性
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
pidof httpd | wc -l 用显示当前正在运行的 `httpd` 进程的进程ID并用wc统计行数
```
3) ==虚拟主机==
* 虚拟机:
通过宿主机进行硬件虚拟化,使用构建的虚拟硬件进行操作系统安装和环境运行的机器。
* vmware workstation 寄居式架构 #PC级虚拟化软件 像vmware需要以Windows为底层的虚拟化软件
* vmware esxi 裸金属架构 #企业级虚拟化软件 用ESXi部署虚拟机来运行关键服务,如网络盘,以及通过跳板机提高安全管理的效率。
* 虚拟主机 - web服务器上的一种功能
* 功能:让一个web平台可以同时运行多个网站,==并且网站之间相互隔离==
* 方法:
-
基于IP地址的虚拟主机 基于IP的方法受限于公共IP地址的稀缺
-
基于端口的的虚拟主机 基于端口的方法虽技术上可行但使用不便
-
基于域名的虚拟主机(常用)
**实验目的:** ==实现这多个网站看起来就是个独立网站,实则是同一台服务器上同一个LAMP平台==
**1.** **域名解析:准备两个域名**
在windows添加
C:\Windows\System32\drivers\etc 的hotos文件添加
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com
#使用本地hosts文件进行解析
**2.** **网站主页目录规划**
在/htdocs/目录下分别创建typecho和 bbs两个目录,并在新建目录内创建index.html文件(分别写不一样的内容)
``` shell
mkdir /usr/local/apache2/htdocs/typecho
mkdir /usr/local/apache2/htdocs/bbs
unzip /root/typecho.zip
cp -a /root/build/* /usr/local/apache2/htdocs/typecho/
cp -a /root/upload/* /usr/local/apache2/htdocs/bbs/
cd /usr/local/apache2/htdocs/
useradd -s /sbin/nologin -r www
chown -R www.www *
vim /usr/local/apache2/etc/httpd.conf
<IfModule dir_module>
DirectoryIndex index.php index.html #改变apache主配置文件默认网页文件优先级
</IfModule>
User www
Group www
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
* 实验步骤:
**1.** **修改主配置文件开启文件关联**
``` shell
vim /usr/local/apache2/etc/httpd.conf
Include etc/extra/httpd-vhosts.conf #此行取消注释
```
``` shell
#添加临时IP的方法
cd /etc/sysconfig/network-scripts/
cp -a ifcfg-ens33 ifcfg-ens33:0
vim ifcfg-ens33:0
```
**2.** **编辑子配置文件,编写虚拟主机标签**
``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
#添加下方内容,有几个虚拟主机就写几组
#IP地址的虚拟主机配置IP要变,可通过添加临时IP地址进行实验
<VirtualHost 192.168.90.120:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#端口的虚拟主机配置端口要变,记得vim /usr/local/apache2/etc/httpd.conf添加Listen 81
<VirtualHost 192.168.90.100:81>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#端口的的虚拟主机配置IP和端口不变,弄好域名
<VirtualHost 192.168.90.100:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
#每一行代表含义#虚拟主机标签 #管理员邮箱 #网站主目录 #完整域名 #错误日志 #访问日志
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
**3.** **重启服务,验证结果:要让客户端自己解析**
Windows 下:浏览器下输入两个不同的域名验证网页内容(提前修改windows的hosts文件)
在windows添加
C:\Windows\System32\drivers\etc 的hotos文件添加
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com
Linux下:通过elinks/curl命令验证:elinks/curl URL地址(提前修改Linux的hosts文件)
``` shell
vim /etc/hosts
192.168.90.101 www.typecho.com
192.168.90.101 www.bbs.com
reboot
curl www.typecho.com
curl www.bbs.com
```
==注意事项:如果一个项目在你当前规划好了的环境上已经安装了。比如说我是做基于域名的虚拟主机,我把这个项目正常的创建数据过程中装完了,注意不要再拿装完了的这个环境再去测基于IP的,基于端口的。因为它的数据库里面记录的是域名==
4) ==域名跳转==(重难点)
原理:一个客户端通过域名访问时,然后服务器匹配条件里边发现是就已经符合条件了。然后利用规则把URL地址重写,让这个用户重新用新的URL地址再重新访问的重写机制。注意,是重新让客户端重新访问的一种机制,叫做重写(重定向)。
**实验条件:**
- 虚拟主机能正常访问 (在虚拟主机已经搭建完的基础上)
**2.** **打开主配置文件开启重写模块**
``` shell
vim /usr/local/apache2/etc/httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so #取消注释开启重写模块
```
**实验步骤:**
**1.** **修改虚拟主机配置文件**
``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
<VirtualHost 192.168.90.101:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
#指定服务器的主域名
ServerName www.blog.com
指定服务器的别名,可以通过这些别名访问该虚拟主机
ServerAlias www.typecho.com
指定错误日志文件的路径
ErrorLog "logs/dummy-host.example.com-error_log"
指定访问日志文件的路径,并指定日志格式为common
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
<Directory "/usr/local/apache2/htdocs/typecho">
Options Indexes FollowSymLinks
允许.htaccess文件覆盖配置,要开启rewrite模块主配置文件也要
AllowOverride All
允许所有客户端访问该目录
Require all granted
</Directory>
```
**2.** **创建规则匹配文件**
``` shell
cd /usr/local/apache2/htdocs/typecho/
vim .htaccess
#旧域名跳转新域名:
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
RewriteRule ^(.*)$ http://www.blog.com/$1 [L,R=301]
#旧域名跳转新域名:
#开启rewrite功能
RewriteEngine on
#只有当请求的客户端请求的域名是 www.typecho.com 时,后续的重写规则才会生效。
#[NC] 标志表示匹配时不区分大小写。
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
^(.*)$ 指代客户端要访问的资源是任意的
$1 把 .* 所指代的内容赋值到$1变量中
R=permanent 永久重定向 = 301
L 在多条重定向规则中,如果规则前有L,当前规则执行成功则后续的规则将不再执行,只要规则没执行成功,才执行后续的规则。
RewriteRule ^(.*)$ http://www.blog.com/$1 [L,R=301]
```
**3.** **重启服务器并测试**
``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
```
5) Apache+openssl实现https(重难点)
HTTPS(全称:Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,用于安全的HTTP数据传输。这个系统被内置于浏览器中,提供了身份验证与加密通讯方法。
流程:首先检查Apache是否支持SSL模块,然后创建证书和密钥文件,并将其放置在Apache能够调用的适当位置。在Apache的配置文件中引入SSL相关设置,并确保引用正确的证书和密钥路径以及写入相关的配置文件。最后重启Apache服务以使配置生效。
**1.** **准备工作:**
检查Apache是否支持SSL,检查相应模块是否安装,若安装则将模块启用,并且是在前面两个实验完成的基础上实验
**模块存放目录:**/usr/local/apache2/modules
**检查模块是否启用**:/usr/local/apache2/bin/apachectl -M | grep ssl
``` shell
vim /usr/local/apache2/etc/httpd.conf
LoadModule ssl_module modules/mod_ssl.so #取消注释
Include etc/extra/httpd-ssl.conf #取消注释
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so #取消注释ssl配置文件需要开启的模块
#打开全局dns把dns删除在重启服务
vim /etc/resolv.conf
```
![[Pasted image 20240926195700.png]]
- CA证书申请
``` shell
#因为配置文件默认写来这个路径并且要求生成的名字是server后缀的密钥
cd /usr/local/apache2/etc
#建立服务器私钥,生成RSA私钥
openssl genrsa -out server.key 1024
#生成的csr文件交给CA签名后形成服务端自己的证书
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -sha256 -in server.csr -signkey server.key -out server.crt
#使用CA服务器签发证书,设置证书的有效期等信息
注意1:生成完秘钥和证书文件后,将文件存放在Apache的安装目录下的cert目录下
注意2:在生产环境中必须要在https证书厂商注册(否则浏览器不识别
```
ssl配置文件
* 默认生成密钥的目录
![[Pasted image 20240926211940.png]]
* 要修改的配置路径
![[Pasted image 20240926212028.png]]
**3.** 配置文件修改
* 修改httpd-ssl.conf配置文件,调用证书等文件
``` shell
vim /usr/local/apache2/etc/extra/httpd-ssl.conf
在<VirtualHost default:443>下修改这两行
DocumentRoot "/usr/local/apache2/htdocs/typecho"
ServerName www.blog.com:443
```
4 创建规则匹配文件设置强制跳转https
* 在httpd-vhosts.conf写入的配置文件
* 技巧:跳转规则可以写入httpd-vhosts.conf这个文件,比如htaccess文件可以写入
``` shell
vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
<VirtualHost 192.168.90.101:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/usr/local/apache2/htdocs/typecho/"
ServerName www.blog.com
ServerAlias www.typecho.com
ErrorLog "logs/dummy-host.example.com-error_log"
CustomLog "logs/dummy-host.example.com-access_log" common
</VirtualHost>
<Directory "/usr/local/apache2/htdocs/typecho">
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
#旧域名跳转新域名 + 80跳转443
#开启转发规则
RewriteEngine on
#逻辑旧域名访问:无论使用HTTP (80) 还是HTTPS (443),都会被重定向到新的加密域名(HTTPS 443)这个规则必须在前面
RewriteCond %{HTTP_HOST} ^www.typecho.com [NC]
RewriteRule ^(.*)$ https://www.blog.com/$1 [L,R=301]
#逻辑访问端口只要目标不是443时跳转到HTTPS (443),已使用HTTPS (443) 则不跳转。这个规则必须在后面
RewriteCond %{SERVER_PORT} !^443$ [NC]
#全都使用https重新访问
RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [L,R=301]
</Directory>
5 结果测试
``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
#是否都跳转到https://www.blog.com/
```
6) Apache日志轮替
我们每访问一次网站,那么就会记录若干条日志。如果日志不去管理,时间长了日志文件会越来越大,如何避免产生大的日志文件?其实apache有相关的配置,使日志按照我们的需求进行归档,比如每天一个新日志,或者每小时一个新的日志。
``` shell
vim /usr/local/apache2/etc/httpd.conf
#设置apache日志分割
#同样编辑配置文件vim /usr/local/apache2/etc/httpd.conf
#Y年m月d日
CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/access-%Y%m%d.log 86400" common
#刷新后查看日志文件
ls /usr/local/apache2/logs
#看是否有 access-20240926.log
可编辑添加内容如下:
ErrorLog "logs/error.log"
CustomLog "logs/access.log" combined
指定了日志存放在/usr/local/apache2/logs目录下分别为error.log和access.log,combined为日志显示的格式,日志格式可以参考配置文件httpd.conf中格式的指定,如下:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
```
ErrorLog是错误日志,CustomLog是访问日志。|就是管道符,意思是把产生的日志交给rotatelog这个工具,而这个工具就是apache自带的切割日志的工具。-l的作用是校准时区为UTC,也就是北京时间。86400,单位是秒,正好是一天,那么日志会每天切割一次。而最后面的combined为日志的格式,在httpd.conf中有定义。
7) 不记录指定文件类型的日志
如果一个网站访问量特别大,那么访问日志就会很多,但有一些访问日志我们其实是可以忽略掉的,比如网站的一些图片,还有js、css等静态对象。而这些文件的访问往往是巨量的,而且即使记录这些日志也没有什么用,那么如何忽略不记录这些日志呢?
1、配置日志不记录图片的访问
``` shell
vim /usr/local/apache2/etc/httpd.conf
SetEnvIf Request_URI ".*\.gif$" image-request
SetEnvIf Request_URI ".*\.jpg$" image-request
SetEnvIf Request_URI ".*\.png$" image-request
SetEnvIf Request_URI ".*\.bmp$" image-request
SetEnvIf Request_URI ".*\.swf$" image-request
SetEnvIf Request_URI ".*\.js$" image-request
SetEnvIf Request_URI ".*\.css$" image-request
CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/access-%Y%m%d.log 86400" common env=!image-request
#测试用看日志变化
tail -f access-20240926.log
```
说明:在原来的访问日志配置基础上,增加了一些image-request的定义,比如把gif、jpg、bmp、swf、js、css等结尾的全标记为image-request,然后在配置日志后加一个标记env=!image-request,表示取反。
8) Apache配置静态缓存
所说的静态文件指的是图片、js、css等文件,用户访问一个站点,其实大多数元素都是图片、js、css等,这些静态文件其实是会被客户端的浏览器缓存到本地电脑上的,目的就是为了下次再请求时不再去服务器上下载,这样就加快了速度,提高了用户体验。但这些静态文件总不能一直缓存,它总有一些时效性,那么就得设置这个过期时间。
1、配置静态缓存
/usr/local/apache2/etc/httpd.conf
``` shell
LoadModule expires_module modules/mod_expires.so #去掉注释开启这个模块
<IfModule mod_expires.c> #此模块默认未启用,请手动启用
ExpiresActive on
ExpiresByType image/gif "access plus 1 days"
ExpiresByType image/jpeg "access plus 24 hours"
ExpiresByType image/png "access plus 24 hours"
ExpiresByType text/css "now plus 2 hours"
ExpiresByType application/x-javascript "now plus 2 hours"
ExpiresByType application/javascript "now plus 2 hours"
ExpiresByType application/x-shockwave-flash "now plus 2 hours"
ExpiresDefault "now plus 0 min"
</IfModule>
```
**2****、重启服务器并验证**
``` shell
/usr/local/apache2/bin/apachectl -t
/usr/local/apache2/bin/apachectl stop
/usr/local/apache2/bin/apachectl start
验证:
在另一个虚拟机用 curl -I 'http://192.168.90.101/linux.gif'
```
![[Pasted image 20240926211701.png]]
9) 禁止解析PHP
场景:我们做网站安全的时候,这个用的很多,例如平台网站存在头像上传文件类型漏洞,采用临时解决方案禁止解析特定目录下的非图片文件,后续需在后台代码中加入对上传文件类型的过滤。
**配置禁止解析php**
``` shell
<Directory /usr/local/apache2/htdocs/data>
php_admin_flag engine off
<filesmatch "(.*)\.php$">
Order deny,allow
Deny from all
</filesmatch>
</Directory>
```
10)apache状态统计模块的配置:
``` shell
vim /usr/local/apache2/etc/httpd.conf
LoadModule status_module modules/mod_status.so #开启这个模块
<Location "/server-status">
SetHandler server-status
Require all granted #就这儿要改要给全部权限
</Location>
#客户端访问网址:http://IP/server_status 用?auto可查看详细数值