Linux服务管理-httpd

本文详细介绍了Linux系统下的httpd服务,包括httpd的工作模型、配置文件、服务相关命令、常用配置、虚拟主机设置以及https配置。重点讨论了httpd的prefork、worker、event三种工作模型,并提供了配置MPM、访问控制、虚拟主机和https的实践指导。


1. 概述


1.1 什么是httpd

  • httpd是apache超文本传输协议(HTTP)服务器的主程序,是一个独立运行的后台进程,他会建立一个处理请求的子进程或线层的池
  • 通常,httpd不应该被直接调用,而应该在Unix系统中由apachectl调用,在Windows中作为服务运行

1.2 httpd有哪些特性

  • prefork工作模型,工作方式为多线程模式,预先生成进程,一个请求用一个进程响应。一个主进程负责生成n个子进程,子进程也称为工作进程,每个子进程处理一个用户请求,即使没有用户请求,也会预先生成多个空闲进程,随时等待请求到达,最大不会超过1024个
  • worker工作模型,工作方式基于线程工作,一个请求用一个线程响应。启用多个进程,每个进程生成多个线程
  • event工作模型,工作方式基于事件的驱动,一个进程处理多个请求

2. httpd配置文件


2.1 httpd自带的工具程序

工具功能
htpasswdbasic认证基于文件实现时,用到的账号密码生成工具
apachectlhttpd自带的服务控制脚本,支持start,stop,restart
apxs有httpd-devel包提供的,扩展httpd使用第三方模块的工具
rotatelogs日志滚动工具
suexec访问某些有特殊权限配置的资源时,临时切换至指定用户运行的工具
abapache benchmark,httpd的压力测试工具

2.2 rpm包安装的httpd程序配置文件

功能文件路径
/var/log/httpd/access.log访问日志
/var/log/httpd/error_log错误日志
/var/www/html/站点文档目录
/usr/local/apache/htdocs/模块文件路径
/etc/httpd/conf/httpd.conf主配置文件
/etc/httpd/conf.modules.d/*.conf模块配置文件
/etc/httpd/conf.d.*conf辅助配置文件

3. 服务相关的命令


3.1 curl命令

  • curl是基于URL语法在命令行方式下工作的文件传输工具
  • 支持FTP,FTPS,HTTPS,GOPHER,TELNET,DICT,FILE及LDAP等协议
  • curl支持的功能:https认证,http的POST/PUT等方法,ftp上传,kerberos认证,http上传,代理服务器,cookies,用户名/密码认证,下载文件断点续传,socks5代服务器,通过http代理服务器上传文件到ftp服务器
//语法:curl [options] [URL ...]
//常用的options:
	-A/--user-agent <string>  //设置用户代理发给服务器
	-basic                    //使用Http基本认证
    --tcp-nodelay             //使用TCP_NODELAY选项
    -e/--referer <URL>        //来源网址
    --cacert <file>           //CA证书(SSL)
    --compressed              //要求返回时压缩的格式
    -H/--header <line>        //自定义请求首部信息传递给服务器
    -I/--head                 //只显示响应报文首部信息
    --limit-rate <rate>       //设置传输速度
    -u/--user <user[:password]>     //设置服务器的用户和密码
    -0/--http1                //使用http 1.0版本,默认使用1.1版本。这个选项是数字0而不是字母o
    -o/--output               //把输出写到文件中
    -#/--progress-bar         //进度条显示当前的传送状态

3.2 httpd命令

//语法:httpd [options]
//常用的options:
	-l     //查看静态编译的模块,列出核心中编译了哪些模块。它不会列出使用LoadModule指令动态加载的模块
	-M     //输出一个已经启动的模块列表,包括静态编译在服务器中的模块和作为DSO动态加载的模块
	-v     //显示httpd的版本,然后退出
	-V     //显示httpd和apr/apr-util的版本和编译参数,然后退出
	-X     //以调试模式运行httpd。仅启动一个工作进程,并且服务器不与控制台脱离
	-t     //检查配置文件是否有语法错误

4. httpd常用配置


4.1 切换使用MPM

  • yum安装:/etc/httpd/conf.modules.d/00-mpm.conf:切换使用MPM(工作模型)
    • prefork
    • event
    • worker
#LoadModule mpm_event_module modules/mod_mpm_event.so
//将注释注释去掉,或者修改成需要的工作模型
  • 源码安装:在主配置文件中(/etc/httpd/httpd.conf)
    • 模块文件在/usr/local/apache/modules中以.so结尾的文件
#LoadModule mpm_event_module modules/mod_mpm_event.so
LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
#LoadModule mpm_worker_module modules/mod_mpm_worker.so

4.2 访问控制法则

法则功能
Require all granted允许所有主机访问
Require all dent拒绝所有主机访问
Require ip IPADDR授权指定来源地址的主机访问
Require not ip IPADDR拒绝指定来源地址的主机访问
Require host HOSTNAME授权指定来源主机名的主机访问
Require not host HOSTNAME拒绝指定来源主机名的主机访问

IPADDR的类型

  • IP:192.168.1.1
  • Network/mask:192.168.1.0/255.255.255.0
  • Network/Length:192.168.1.0/24
  • Net:192.168

HOSTNAME的类型

  • FQDN:特定主机的全名
  • DOMAIN:指定域内的所有知己

示例:

<Directory /var/www/html/www>
    <RequireAll>
        Require not ip 192.168.10.127
        Require all granted
    </RequireAll>
</Directory>

注:httpd-2.4版本默认是拒绝所有主机访问的,所以安装后必须做显示授权访问

5. 配置虚拟主机


安装httpd:yum -y install httpd
开启服务:systemctl start httpd

5.1 相同IP不同端口

1.取消主配置文件中的注释
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf
...
# it explicitly to prevent problems during startup.
#
# If your host doesn't have a registered DNS name, enter its IP address here.
#
ServerName www.example.com:80  //取消此行注释
...

2.使用yum安装的httpd,会有一个示例文件,文件名为*vhosts.conf
[root@node1 ~]# find / -name *vhosts.conf
/usr/share/doc/httpd-2.4.6/httpd-vhosts.conf

3.编辑此文件
[root@node1 ~]# vim /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf
...
<VirtualHost *:@@Port@@>
    ServerAdmin webmaster@dummy-host2.example.com
    DocumentRoot "@@ServerRoot@@/docs/dummy-host2.example.com"
    ServerName dummy-host2.example.com
    ErrorLog "/var/log/httpd/dummy-host2.example.com-error_log"
    CustomLog "/var/log/httpd/dummy-host2.example.com-access_log" common
</VirtualHost>
...
//VirtualHost *:*表示所有Ip
//@@Port@@:表示端口号
//ServerAdmin:表示邮箱地址,有故障信息发送给谁,可删除
//DocumentRoot:定义网站存放位置
//ServerName:域名
//ServerAlias:别名,可删除
//ErrorLog :错误日志
//CustomLog:访问日志

4.将文件中的内容复制到主配置文件(/etc/httpd/conf/httpd.conf)中,并按需修改
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf 
<VirtualHost *:80>
    DocumentRoot "/data/www.a.com"
    ServerName www.a.com
    ErrorLog "/var/log/httpd/www.a.com-error_log"
    CustomLog "/var/log/httpd/www.a.com-access_log" common
    <Directory /data/www.a.com>
        <RequireALL>
            Require all granted
        </RequireALL>
    </Directory>
</VirtualHost>
Listen 81
<VirtualHost *:81>
    DocumentRoot "/data/www.b.com"
    ServerName www.b.com
    ErrorLog "/var/log/httpd/www.b.com-error_log"
    CustomLog "/var/log/httpd/www.b.com-access_log" common
    <Directory /data/www.b.com>
        <RequireALL>
            Require all granted
        </RequireALL>
    </Directory>
</VirtualHost>

5.创建存放网站的目录
[root@node1 ~]# mkdir -p /data/{www.a.com,www.b.com}
[root@node1 ~]# ls /data/
www.a.com  www.b.com

6.生成网页,并查看语法是否有错
[root@node1 ~]# echo "hello a" > /data/www.a.com/index.html
[root@node1 ~]# echo "hello b" > /data/www.b.com/index.html
[root@node1 ~]# apachectl -t
Syntax OK

7.重启服务
[root@node1 ~]# systemctl restart httpd

访问网站:
800*166
800*166
5.2 不同IP相同端口

添加IP
 [root@node1 ~]# ip addr add 192.168.207.200/24 dev ens33
 [root@node1 ~]# ip a s ens33|grep inet
    inet 192.168.207.129/24 brd 192.168.207.255 scope global noprefixroute ens33
    inet 192.168.207.200/24 scope global secondary ens33
    inet6 fe80::20c:29ff:fe97:c366/64 scope link

将文件中的内容复制到主配置文件(/etc/httpd/conf/httpd.conf)中,并按需修改
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf 
[root@node1 ~]# tail -23 /etc/httpd/conf/httpd.conf
<VirtualHost 192.168.207.129:80>
    DocumentRoot "/data/www.a.com"
    ServerName www.a.com
    ErrorLog "/var/log/httpd/www.a.com-error_log"
    CustomLog "/var/log/httpd/www.a.com-access_log" common
    <Directory /data/www.a.com>
	<RequireALL>
	    Require all granted
	</RequireALL>
    </Directory>
</VirtualHost>

<VirtualHost 192.168.207.200:80>
    DocumentRoot "/data/www.b.com"
    ServerName www.b.com
    ErrorLog "/var/log/httpd/www.b.com-error_log"
    CustomLog "/var/log/httpd/www.b.com-access_log" common
    <Directory /data/www.b.com>
        <RequireALL>
            Require all granted
        </RequireALL>
    </Directory>
</VirtualHost>

重启服务
[root@node1 ~]# systemctl restart httpd

访问网站:
800*166
800*166
5.3 相同IP相同端口不同域名

编辑主配置文件
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf 
[root@node1 ~]# tail -23 /etc/httpd/conf/httpd.conf
<VirtualHost *:80>
    DocumentRoot "/data/www.a.com"
    ServerName www.a.com
    ErrorLog "/var/log/httpd/www.a.com-error_log"
    CustomLog "/var/log/httpd/www.a.com-access_log" common
    <Directory /data/www.a.com>
	<RequireALL>
	    Require all granted
	</RequireALL>
    </Directory>
</VirtualHost>

<VirtualHost *:80>
    DocumentRoot "/data/www.b.com"
    ServerName www.b.com
    ErrorLog "/var/log/httpd/www.b.com-error_log"
    CustomLog "/var/log/httpd/www.b.com-access_log" common
    <Directory /data/www.b.com>
        <RequireALL>
            Require all granted
        </RequireALL>
    </Directory>
</VirtualHost>

重启服务
[root@node1 ~]# systemctl restart httpd

用另一台主机访问
[root@node2 ~]# vi /etc/hosts
[root@node2 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.207.129 www.a.com
192.168.207.129 www.b.com
[root@node2 ~]# curl http://www.a.com
hello a
[root@node2 ~]# curl http://www.b.com
hello b

windows中须更改C:\Windows\System32\drivers\etc\hosts文件才能使用域名访问网站
在这里插入图片描述
在这里插入图片描述

6. 配置https


1.生成证书(生成的证书仅限使用于内网)

//CA生成一对密钥
[root@node1 ~]# cd /etc/pki/CA
[root@node1 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)

//CA生成自签署证书
[root@node1 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.aaa.com
Organizational Unit Name (eg, section) []:www.aaa.com
Common Name (eg, your name or your server's hostname) []:www.aaa.com
Email Address []:123@qq.com
[root@node1 CA]# touch index.txt && echo 01 > serial

//证书是给httpd服务用的,所以这里的客户端就是httpd服务器,给服务端生成密钥
//这里使用的CA和客户端都是同一台主机
[root@node1 ~]# (umask 077;openssl genrsa -out httpd.key 2048)

//客户端生成证书签署请求
[root@node1 ~]# openssl req -new -key httpd.key -days 365 -out httpd.csr  //这里和上面的httpd可以换成别的web服务
...
Country Name (2 letter code) [XX]:CN    
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.aaa.com
Organizational Unit Name (eg, section) []:www.aaa.com
Common Name (eg, your name or your server's hostname) []:www.aaa.com
Email Address []:123@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

#使用两台主机时需要将客户端证书签署请求文件发送给CA
#使用一台主机忽略此步:scp httpd.csr root@CA端IP:/root

//CA签署客户端提交上来的证书
[root@node1 ~]# openssl ca -in /root/httpd.csr -out httpd.crt -days 365
...
Certificate is to be certified until May 11 14:15:11 2021 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
...

#使用两台主机时需要将CA签署好的证书httpd.crt发给客户端
#使用一台主机忽略此步:scp httpd.crt root@客户端IP:/etc/httpd/ssl/

2.配置web站点使用https

//安装mod_ssl模块
[root@node1 ~]# yum -y install mod_ssl

//配置ssl

...
<VirtualHost _default_:443>

# General setup for the virtual host, inherited from global configuration
//修改下面的内容
DocumentRoot "/data/aaa"  
ServerName www.aaa.com:443
<Directory /data/aaa>
    Require all granted
</Directory>
...
# certificate can be generated using the genkey(1)
command.SSLCertificateFile /etc/httpd/ssl/httpd.crt  //修改此行内容
...
#   both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key  //修改此行内容
...

//生成ssl证书存放目录
[root@node1 ~]# cd /etc/httpd/
[root@node1 httpd]# mkdir ssl
[root@node1 httpd]# cd ssl
[root@node1 ssl]# mv ~/* .
[root@node1 ssl]# ls
httpd.crt  httpd.csr  httpd.key

//重启服务并验证端口号是否监听
[root@node1 ssl]# systemctl restart httpd
[root@node1 ssl]# ss -antl
State       Recv-Q Send-Q Local Address:Port               Peer Address:Port              
LISTEN      0      128     *:22                  *:*                  
LISTEN      0      100    127.0.0.1:25                  *:*                  
LISTEN      0      128    :::80                 :::*                  
LISTEN      0      128    :::22                 :::*                  
LISTEN      0      100       ::1:25                 :::*                  
LISTEN      0      128    :::443

3.访问:
在这里插入图片描述
生成证书脚本:
脚本中DomainName为域名,mall为邮箱地址,web为服务名,可以按需修改

#!/bin/bash
yum -y install expect
DomainName=www.aaa.com
mall=123@qq.com
web=httpd
cd /etc/pki/CA
if [ ! -f /etc/pki/CA/private/cakey.pem ];then
(umask 077;openssl genrsa -out private/cakey.pem 2048)
fi
/usr/bin/expect <<EOF
spawn openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
expect {
    "*code)*" {send "CN\r";exp_continue}
    "State*name)*" {send "HB\r";exp_continue}
    "*City]*" {send "WH\r";exp_continue}
    "*Ltd]:" {send "$DomainName\r";exp_continue}
    "*section)*:" {send "$DomainName\r";exp_continue}
    "Common*hostname)*:" {send "$DomainName\r";exp_continue}
    "*Address*:" {send "$mall\r"}
}
expect eof
EOF
mkdir certs newcerts crl &>/dev/null
touch index.txt && echo 01 > serial
cd ~
if [ ! -f ~/${web}.key ];then
(umask 077;openssl genrsa -out ${web}.key 2048)
fi
/usr/bin/expect <<EOF
spawn openssl req -new -key ${web}.key -days 365 -out ${web}.csr
expect {
    "*code)*" {send "CN\r";exp_continue}
    "State*name)*" {send "HB\r";exp_continue}
    "*City]*" {send "WH\r";exp_continue}
    "*Ltd]:" {send "$DomainName\r";exp_continue}
    "*section)*:" {send "$DomainName\r";exp_continue}
    "Common*hostname)*:" {send "$DomainName\r";exp_continue}
    "*Address*:" {send "$mall\r";exp_continue}
    "A*password*:" {send "\r";exp_continue}
    "*company*" {send "\r"}
}
expect eof
EOF
/usr/bin/expect <<EOF
spawn openssl ca -in ${web}.csr -out ${web}.crt -days 365
expect {
    "*certificate?*:" {send "y\r";exp_continue}
    "*commit?*" {send "y\r"}
}
expect eof
EOF
echo $? && echo "证书已生成!"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值