1. 概述
1.1 什么是httpd
- httpd是apache超文本传输协议(HTTP)服务器的主程序,是一个独立运行的后台进程,他会建立一个处理请求的子进程或线层的池
- 通常,httpd不应该被直接调用,而应该在Unix系统中由apachectl调用,在Windows中作为服务运行
1.2 httpd有哪些特性
- prefork工作模型,工作方式为多线程模式,预先生成进程,一个请求用一个进程响应。一个主进程负责生成n个子进程,子进程也称为工作进程,每个子进程处理一个用户请求,即使没有用户请求,也会预先生成多个空闲进程,随时等待请求到达,最大不会超过1024个
- worker工作模型,工作方式基于线程工作,一个请求用一个线程响应。启用多个进程,每个进程生成多个线程
- event工作模型,工作方式基于事件的驱动,一个进程处理多个请求
2. httpd配置文件
2.1 httpd自带的工具程序
| 工具 | 功能 |
|---|---|
| htpasswd | basic认证基于文件实现时,用到的账号密码生成工具 |
| apachectl | httpd自带的服务控制脚本,支持start,stop,restart |
| apxs | 有httpd-devel包提供的,扩展httpd使用第三方模块的工具 |
| rotatelogs | 日志滚动工具 |
| suexec | 访问某些有特殊权限配置的资源时,临时切换至指定用户运行的工具 |
| ab | apache benchmark,httpd的压力测试工具 |
2.2 rpm包安装的httpd程序配置文件
| 功能 | 文件路径 |
|---|---|
| /var/log/httpd/access.log | 访问日志 |
| /var/log/httpd/error_log | 错误日志 |
| /var/www/html/ | 站点文档目录 |
| /usr/local/apache/htdocs/ | 模块文件路径 |
| /etc/httpd/conf/httpd.conf | 主配置文件 |
| /etc/httpd/conf.modules.d/*.conf | 模块配置文件 |
| /etc/httpd/conf.d.*conf | 辅助配置文件 |
3. 服务相关的命令
3.1 curl命令
- curl是基于URL语法在命令行方式下工作的文件传输工具
- 支持FTP,FTPS,HTTPS,GOPHER,TELNET,DICT,FILE及LDAP等协议
- curl支持的功能:https认证,http的POST/PUT等方法,ftp上传,kerberos认证,http上传,代理服务器,cookies,用户名/密码认证,下载文件断点续传,socks5代服务器,通过http代理服务器上传文件到ftp服务器
//语法:curl [options] [URL ...]
//常用的options:
-A/--user-agent <string> //设置用户代理发给服务器
-basic //使用Http基本认证
--tcp-nodelay //使用TCP_NODELAY选项
-e/--referer <URL> //来源网址
--cacert <file> //CA证书(SSL)
--compressed //要求返回时压缩的格式
-H/--header <line> //自定义请求首部信息传递给服务器
-I/--head //只显示响应报文首部信息
--limit-rate <rate> //设置传输速度
-u/--user <user[:password]> //设置服务器的用户和密码
-0/--http1 //使用http 1.0版本,默认使用1.1版本。这个选项是数字0而不是字母o
-o/--output //把输出写到文件中
-#/--progress-bar //进度条显示当前的传送状态
3.2 httpd命令
//语法:httpd [options]
//常用的options:
-l //查看静态编译的模块,列出核心中编译了哪些模块。它不会列出使用LoadModule指令动态加载的模块
-M //输出一个已经启动的模块列表,包括静态编译在服务器中的模块和作为DSO动态加载的模块
-v //显示httpd的版本,然后退出
-V //显示httpd和apr/apr-util的版本和编译参数,然后退出
-X //以调试模式运行httpd。仅启动一个工作进程,并且服务器不与控制台脱离
-t //检查配置文件是否有语法错误
4. httpd常用配置
4.1 切换使用MPM
- yum安装:/etc/httpd/conf.modules.d/00-mpm.conf:切换使用MPM(工作模型)
- prefork
- event
- worker
#LoadModule mpm_event_module modules/mod_mpm_event.so
//将注释注释去掉,或者修改成需要的工作模型
- 源码安装:在主配置文件中(/etc/httpd/httpd.conf)
- 模块文件在/usr/local/apache/modules中以.so结尾的文件
#LoadModule mpm_event_module modules/mod_mpm_event.so
LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
#LoadModule mpm_worker_module modules/mod_mpm_worker.so
4.2 访问控制法则
| 法则 | 功能 |
|---|---|
| Require all granted | 允许所有主机访问 |
| Require all dent | 拒绝所有主机访问 |
| Require ip IPADDR | 授权指定来源地址的主机访问 |
| Require not ip IPADDR | 拒绝指定来源地址的主机访问 |
| Require host HOSTNAME | 授权指定来源主机名的主机访问 |
| Require not host HOSTNAME | 拒绝指定来源主机名的主机访问 |
IPADDR的类型
- IP:192.168.1.1
- Network/mask:192.168.1.0/255.255.255.0
- Network/Length:192.168.1.0/24
- Net:192.168
HOSTNAME的类型
- FQDN:特定主机的全名
- DOMAIN:指定域内的所有知己
示例:
<Directory /var/www/html/www>
<RequireAll>
Require not ip 192.168.10.127
Require all granted
</RequireAll>
</Directory>
注:httpd-2.4版本默认是拒绝所有主机访问的,所以安装后必须做显示授权访问
5. 配置虚拟主机
安装httpd:yum -y install httpd
开启服务:systemctl start httpd
5.1 相同IP不同端口
1.取消主配置文件中的注释
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf
...
# it explicitly to prevent problems during startup.
#
# If your host doesn't have a registered DNS name, enter its IP address here.
#
ServerName www.example.com:80 //取消此行注释
...
2.使用yum安装的httpd,会有一个示例文件,文件名为*vhosts.conf
[root@node1 ~]# find / -name *vhosts.conf
/usr/share/doc/httpd-2.4.6/httpd-vhosts.conf
3.编辑此文件
[root@node1 ~]# vim /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf
...
<VirtualHost *:@@Port@@>
ServerAdmin webmaster@dummy-host2.example.com
DocumentRoot "@@ServerRoot@@/docs/dummy-host2.example.com"
ServerName dummy-host2.example.com
ErrorLog "/var/log/httpd/dummy-host2.example.com-error_log"
CustomLog "/var/log/httpd/dummy-host2.example.com-access_log" common
</VirtualHost>
...
//VirtualHost *:*表示所有Ip
//@@Port@@:表示端口号
//ServerAdmin:表示邮箱地址,有故障信息发送给谁,可删除
//DocumentRoot:定义网站存放位置
//ServerName:域名
//ServerAlias:别名,可删除
//ErrorLog :错误日志
//CustomLog:访问日志
4.将文件中的内容复制到主配置文件(/etc/httpd/conf/httpd.conf)中,并按需修改
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf
<VirtualHost *:80>
DocumentRoot "/data/www.a.com"
ServerName www.a.com
ErrorLog "/var/log/httpd/www.a.com-error_log"
CustomLog "/var/log/httpd/www.a.com-access_log" common
<Directory /data/www.a.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
Listen 81
<VirtualHost *:81>
DocumentRoot "/data/www.b.com"
ServerName www.b.com
ErrorLog "/var/log/httpd/www.b.com-error_log"
CustomLog "/var/log/httpd/www.b.com-access_log" common
<Directory /data/www.b.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
5.创建存放网站的目录
[root@node1 ~]# mkdir -p /data/{www.a.com,www.b.com}
[root@node1 ~]# ls /data/
www.a.com www.b.com
6.生成网页,并查看语法是否有错
[root@node1 ~]# echo "hello a" > /data/www.a.com/index.html
[root@node1 ~]# echo "hello b" > /data/www.b.com/index.html
[root@node1 ~]# apachectl -t
Syntax OK
7.重启服务
[root@node1 ~]# systemctl restart httpd
访问网站:


5.2 不同IP相同端口
添加IP
[root@node1 ~]# ip addr add 192.168.207.200/24 dev ens33
[root@node1 ~]# ip a s ens33|grep inet
inet 192.168.207.129/24 brd 192.168.207.255 scope global noprefixroute ens33
inet 192.168.207.200/24 scope global secondary ens33
inet6 fe80::20c:29ff:fe97:c366/64 scope link
将文件中的内容复制到主配置文件(/etc/httpd/conf/httpd.conf)中,并按需修改
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf
[root@node1 ~]# tail -23 /etc/httpd/conf/httpd.conf
<VirtualHost 192.168.207.129:80>
DocumentRoot "/data/www.a.com"
ServerName www.a.com
ErrorLog "/var/log/httpd/www.a.com-error_log"
CustomLog "/var/log/httpd/www.a.com-access_log" common
<Directory /data/www.a.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
<VirtualHost 192.168.207.200:80>
DocumentRoot "/data/www.b.com"
ServerName www.b.com
ErrorLog "/var/log/httpd/www.b.com-error_log"
CustomLog "/var/log/httpd/www.b.com-access_log" common
<Directory /data/www.b.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
重启服务
[root@node1 ~]# systemctl restart httpd
访问网站:


5.3 相同IP相同端口不同域名
编辑主配置文件
[root@node1 ~]# vim /etc/httpd/conf/httpd.conf
[root@node1 ~]# tail -23 /etc/httpd/conf/httpd.conf
<VirtualHost *:80>
DocumentRoot "/data/www.a.com"
ServerName www.a.com
ErrorLog "/var/log/httpd/www.a.com-error_log"
CustomLog "/var/log/httpd/www.a.com-access_log" common
<Directory /data/www.a.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
<VirtualHost *:80>
DocumentRoot "/data/www.b.com"
ServerName www.b.com
ErrorLog "/var/log/httpd/www.b.com-error_log"
CustomLog "/var/log/httpd/www.b.com-access_log" common
<Directory /data/www.b.com>
<RequireALL>
Require all granted
</RequireALL>
</Directory>
</VirtualHost>
重启服务
[root@node1 ~]# systemctl restart httpd
用另一台主机访问
[root@node2 ~]# vi /etc/hosts
[root@node2 ~]# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.207.129 www.a.com
192.168.207.129 www.b.com
[root@node2 ~]# curl http://www.a.com
hello a
[root@node2 ~]# curl http://www.b.com
hello b
windows中须更改C:\Windows\System32\drivers\etc\hosts文件才能使用域名访问网站



6. 配置https
1.生成证书(生成的证书仅限使用于内网)
//CA生成一对密钥
[root@node1 ~]# cd /etc/pki/CA
[root@node1 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
//CA生成自签署证书
[root@node1 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.aaa.com
Organizational Unit Name (eg, section) []:www.aaa.com
Common Name (eg, your name or your server's hostname) []:www.aaa.com
Email Address []:123@qq.com
[root@node1 CA]# touch index.txt && echo 01 > serial
//证书是给httpd服务用的,所以这里的客户端就是httpd服务器,给服务端生成密钥
//这里使用的CA和客户端都是同一台主机
[root@node1 ~]# (umask 077;openssl genrsa -out httpd.key 2048)
//客户端生成证书签署请求
[root@node1 ~]# openssl req -new -key httpd.key -days 365 -out httpd.csr //这里和上面的httpd可以换成别的web服务
...
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:www.aaa.com
Organizational Unit Name (eg, section) []:www.aaa.com
Common Name (eg, your name or your server's hostname) []:www.aaa.com
Email Address []:123@qq.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
#使用两台主机时需要将客户端证书签署请求文件发送给CA
#使用一台主机忽略此步:scp httpd.csr root@CA端IP:/root
//CA签署客户端提交上来的证书
[root@node1 ~]# openssl ca -in /root/httpd.csr -out httpd.crt -days 365
...
Certificate is to be certified until May 11 14:15:11 2021 GMT (365 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
...
#使用两台主机时需要将CA签署好的证书httpd.crt发给客户端
#使用一台主机忽略此步:scp httpd.crt root@客户端IP:/etc/httpd/ssl/
2.配置web站点使用https
//安装mod_ssl模块
[root@node1 ~]# yum -y install mod_ssl
//配置ssl
...
<VirtualHost _default_:443>
# General setup for the virtual host, inherited from global configuration
//修改下面的内容
DocumentRoot "/data/aaa"
ServerName www.aaa.com:443
<Directory /data/aaa>
Require all granted
</Directory>
...
# certificate can be generated using the genkey(1)
command.SSLCertificateFile /etc/httpd/ssl/httpd.crt //修改此行内容
...
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key //修改此行内容
...
//生成ssl证书存放目录
[root@node1 ~]# cd /etc/httpd/
[root@node1 httpd]# mkdir ssl
[root@node1 httpd]# cd ssl
[root@node1 ssl]# mv ~/* .
[root@node1 ssl]# ls
httpd.crt httpd.csr httpd.key
//重启服务并验证端口号是否监听
[root@node1 ssl]# systemctl restart httpd
[root@node1 ssl]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:22 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 128 :::80 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*
LISTEN 0 128 :::443
3.访问:

生成证书脚本:
脚本中DomainName为域名,mall为邮箱地址,web为服务名,可以按需修改
#!/bin/bash
yum -y install expect
DomainName=www.aaa.com
mall=123@qq.com
web=httpd
cd /etc/pki/CA
if [ ! -f /etc/pki/CA/private/cakey.pem ];then
(umask 077;openssl genrsa -out private/cakey.pem 2048)
fi
/usr/bin/expect <<EOF
spawn openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
expect {
"*code)*" {send "CN\r";exp_continue}
"State*name)*" {send "HB\r";exp_continue}
"*City]*" {send "WH\r";exp_continue}
"*Ltd]:" {send "$DomainName\r";exp_continue}
"*section)*:" {send "$DomainName\r";exp_continue}
"Common*hostname)*:" {send "$DomainName\r";exp_continue}
"*Address*:" {send "$mall\r"}
}
expect eof
EOF
mkdir certs newcerts crl &>/dev/null
touch index.txt && echo 01 > serial
cd ~
if [ ! -f ~/${web}.key ];then
(umask 077;openssl genrsa -out ${web}.key 2048)
fi
/usr/bin/expect <<EOF
spawn openssl req -new -key ${web}.key -days 365 -out ${web}.csr
expect {
"*code)*" {send "CN\r";exp_continue}
"State*name)*" {send "HB\r";exp_continue}
"*City]*" {send "WH\r";exp_continue}
"*Ltd]:" {send "$DomainName\r";exp_continue}
"*section)*:" {send "$DomainName\r";exp_continue}
"Common*hostname)*:" {send "$DomainName\r";exp_continue}
"*Address*:" {send "$mall\r";exp_continue}
"A*password*:" {send "\r";exp_continue}
"*company*" {send "\r"}
}
expect eof
EOF
/usr/bin/expect <<EOF
spawn openssl ca -in ${web}.csr -out ${web}.crt -days 365
expect {
"*certificate?*:" {send "y\r";exp_continue}
"*commit?*" {send "y\r"}
}
expect eof
EOF
echo $? && echo "证书已生成!"
本文详细介绍了Linux系统下的httpd服务,包括httpd的工作模型、配置文件、服务相关命令、常用配置、虚拟主机设置以及https配置。重点讨论了httpd的prefork、worker、event三种工作模型,并提供了配置MPM、访问控制、虚拟主机和https的实践指导。
2462

被折叠的 条评论
为什么被折叠?



