一、简介
1、认识
加密网页(https): tcp:443 明文网页(http): tcp:80
survey.netcraft.net --这个网站上可以查到最新的网站服务器的使用率
超文本传输协议(http,hypertext transfer protocol)是互联网上应用最为广泛的一种网络协议。所有的www文件都必须遵守这个标准。设计http最初的目的是为了提供一种发布和接收html页面的方法
2、apache
apache http server(简称apache)是apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的web服务器端软件之一,其特点如下:
1、支持最新的http/1.1通信协议
2、拥有简单而强有力的基于文件的配置过程
3、支持通用网关接口
4、支持基于ip和基于域名的虚拟主机
5、支持多种方式的http认证
6、集成perl处理模块
7、集成代理服务器模块
8、支持实时监视服务器状态和定制服务器日志
9、支持服务器端包含指令(ssi)
10、支持安全socket层(ssl)
11、提供用户会话过程的跟踪
12、支持fastcgi
13、通过第三方模块可以支持javaservlets
3、安装:
www.apache.org --apache 官网
# yum install httpd* --安装httpd服务
# httpd -t --检查配置文件正确性
# rm -rf /etc/httpd/conf.d/welcome.conf --删除欢迎界面;因为安装了 httpd-manual ,故可以访问/serverip/manual
4、运行于两种模式:prefork,worker
prefork模式:
prefork是unix平台上的默认(缺省)mpm,使用多个子进程,每个子进程只有一个线程。每个进程在某个确定的时间只能维持一个连接,效率高,但内存占用量比较大。
这个多路处理模块(mpm)实现了一个非线程型的、预派生的web服务器,它的工作方式类似于apache 1.3。它适合于没有线程安全库,需要避免线程兼容性问题的系统。它是要求将每个请求相互独立的情况下最好的mpm,这样若一个请求出现问题就不会影响到其他请求。
worker模式:
worker使用多个子进程,每个子进程有多个线程,每个线程在某个确定的时间只能维持一个连接,内存占用量比较小,适合高流量的http服务器。缺点是假如一个线程崩溃,整个进程就会连同其任何线程一起”死掉”,所以要保证一个程式在运行时必须被系统识别为”每个线程都是安全的”。
此多路处理模块(mpm)使网络服务器支持混合的多线程多进程。由于使用线程来处理请求,所以可以处理海量请求,而系统资源的开销小于基于进程的mpm。但是它也使用了多进程,每个进程又有多个线程,以获得基于进程的mpm的稳定性。
# httpd -l --查看运行模式,默认为 prefork.c
# mv -v /usr/sbin/httpd{,.prefork} --备份prefork模式
# mv -v /usr/sbin/httpd{.worker,} --使用worker模式
二、配置文件详解
1、全局环境参数
servertokens os --当服务器响应主机头(header)信息时显示apache的版本和操作系统名称
serverroot "/etc/httpd" --服务器的基础目录,一般来说它将包含conf/和logs/子目录,其它配置文件的相对路径即基于此目录。
pidfile run/httpd.pid --第一个httpd进程(所有其他进程的父进程)的进程号文件位置。
timeout 60 --若60秒后没有收到或送出任何数据就切断该连接
keepalive off --默认不使用保持连接的功能,即客户一次请求连接只能响应一个文件,建议允许
maxkeepaliverequests 100 --在保持连接功能时,设置客户一次请求连接能响应文件的最大上限,超过就断开
keepalivetimeout 15 --在使用保持连接功能时,两个相邻的连接的时间间隔超过15秒,就切断连接
.................
listen 80 --服务器监听的端口号;监听端口可以多开
include conf.d/*.conf --将/etc/httpd/conf.d目录下所有以conf结尾的配置文件包含进来
user apache --提供服务的子进程的用户
group apache --提供服务的子进程的用户组
serveradmin root@george.com --管理员的邮件地址
servername mail.george.com:80 --主站点名称(网站的主机名)
usecanonicalname off
documentroot "/var/www/html" --设置web文档根目录;但是可以使用符号链接和别名来指向到其他的位置;如不是绝对路径,则被假定为是相对于serverroot的路径
2、路径控制参数
directoryindex index.html index.html.var --网站默认网页文件名,左边优先
accessfilename .htaccess --指定保护目录配置文件的名称
---------------------------------------------------------------------------------------------------------
options indexes followsymlinks
allowoverride none
order allow,deny
allow from all
deny from 192.168.133.22
directory-path --可以是一个目录的完整路径,或是包含了unix shell匹配语法的通配符字符串。在通配符字符串中,"?"匹配任何单个的字符,"*"匹配任何字符序列。也可以使用"[]"来确定字符范围。在"~" 字符之后也可以使用正则表达式
options --这个指令的值可以是“none”,“all”,或者下列选项的任意组合:indexes(前面有'-',则关闭网站列目录的功能,无则反之);includes;followsymlinks;symlinksifownermatch;execcgi;multiviews
allowoverride --控制那些被放置在.htaccess文件中的指令。它可以是all,none(看不到任何.htaccess里的任何配置),或者下列指令的组合:options;fileinfo;authconfig;limit
order,allow,deny --控制谁可以获得服务。oreder的参数最终以右边的为准,顺序可以逆转
---------------------------------------------------------------------------------------------------------
order deny,allow
allow from all
---------------------------------------------------------------------------------------------------------
sethandler server-status(server-info)
order deny,allow
allow from all
---------------------------------------------------------------------------------------------------------
alias /url-path /filesystem-path --把url映射到文件系统路径;(也可以自己在系统上使用 ln -s 软链接实现哦)
3、目录访问进行用户密码控制(非系统用户)
options indexes followsymlinks
allowoverride none
order allow,deny
allow from all
authname "authenticate yourself" --浏览器打开该url的提示语
authtype basic
authuserfile /etc/httpd/userpasswd --用户&密码文件位置
require valid-user
# htpasswd -c /etc/httpd/userpasswd frank --创建一个允许访问用户
# htpasswd /etc/httpd/userpasswd george --再创建一个,记得 '-c' 参数,是为了创建该密码文件,只能创建第一个用户时使用。
注意:如果一个目录使用密码控制访问,那么在通过网页浏览器列出该目录的父目录时,看不到该目录,也就是说,该目录被隐藏了。但是可以通过直接输入url来访问(即使你有账户和密码也一样)。
4、基于域名的虚拟主机
namevirtualhost *:80 --添加这条配置,将80端口设置为虚拟主机端口
servername www.george.com
documentroot /var/www/html/
..................
servername mail.george.com
documentroot /var/www/cgi-bin/openwebmail/
scriptalias /mail /var/www/cgi-bin/openwebmail/openwebmail.pl
......................
该实验的 severname 参数接ip地址的话,我们也可以做基于ip的虚拟主机
5、日志参数
errorlog logs/error_log --错误日志的存方位置
loglevel warn --定义错误日志等级,include: debug, info, notice, warn, error, crit, alert, emerg.
logformat "%h %l %u %t \"%r\" %>s %b \"%{referer}i\" \"%{user-agent}i\"" combined
..............
logformat "%{user-agent}i" agent --该四条是访问日志的缺省格式
customlog logs/access_log combined --使用 combined 访问日志格式
%h –客户端的ip地址或主机名
%l –the 这是由客户端 identd 判断的rfc 1413身份,输出中的符号 "-" 表示此处信息无效。
%u –由http认证系统得到的访问该网页的客户名。有认证时才有效,输出中的符号 "-" 表示此处信息无效。
%t –服务器完成对请求的处理时的时间。
"%r" –引号中是客户发出的包含了许多有用信息的请求内容。
%>s –这个是服务器返回给客户端的状态码。
%b –最后这项是返回给客户端的不包括响应头的字节数。
"%{referer}i" –此项指明了该请求是从被哪个网页提交过来的。
"%{user-agent}i" –此项是客户浏览器提供的浏览器识别信息。
6、ssl加密配置
# yum install -y mod_ssl --安装加密模块
# vim /etc/httpd/conf.d/ssl.conf
errorlog logs/ssl_error_log
transferlog logs/ssl_access_log
loglevel warn
sslengine on
sslprotocol all -sslv2
sslciphersuite default:!exp:!sslv2:!des:!idea:!seed:+3des
sslcertificatefile /etc/pki/tls/certs/localhost.crt --配置公钥文件
sslcertificatekeyfile /etc/pki/tls/private/localhost.key --配置秘钥文件
ssloptions +stdenvvars
servername www.george.com
documentroot /var/www/cgi-bin/openwebmail/
scriptalias /mail /var/www/cgi-bin/openwebmail/openwebmail.pl
ssloptions +stdenvvars
options indexes
order deny,allow
allow from all
setenvif user-agent ".*msie.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
customlog logs/ssl_request_log \
"%t %h %{ssl_protocol}x %{ssl_cipher}x \"%r\" %b"
6.1、自己配置证书
# mkdir /etc/pki/test/
# cd /etc/pki/test
# openssl genrsa -out /etc/pki/test/test.key 1024 --秘钥
# openssl req -new -key test.key -out test.csr
country name (2 letter code) [xx]:cn
state or province name (full name) []:guangdong
locality name (eg, city) [default city]:shenzhen
organization name (eg, company) [default company ltd]:it
organizational unit name (eg, section) []:maintenance
common name (eg, your name or your server's hostname) []:www.george.com
email address []:root@mail.george.com
please enter the following 'extra' attributes
to be sent with your certificate request
a challenge password []:123456
an optional company name []:azt
# openssl req -x509 -days 365 -key test.key -in test.csr -out test.crt --公钥
# ls --然后将下列 test.crt && test.key 配置到 /etc/httpd/conf.d/ssl.conf 即可
test.crt test.csr test.key
6.2、测试自己配置的证书
但是我们自己创建的证书在浏览器中识别是不受信任的;证书状态也是“由于ca 根证书不在“受信任的根证书颁发机构”存储区中,所以它不受信任。”
需要我们自己在浏览器中手动将我们自己创建的证书(test.crt)导入到“受信任的根证书颁发机构”&&“受信任的发布者”。以谷歌浏览器为列,步骤如下:
PHP Apache和MySQL 网页开发初步
下载
本书全面介绍PHP脚本语言和MySOL数据库这两种目前最流行的开源软件,主要包括PHP和MySQL基本概念、PHP扩展与应用库、日期和时间功能、PHP数据对象扩展、PHP的mysqli扩展、MySQL 5的存储例程、解发器和视图等。本书帮助读者学习PHP编程语言和MySQL数据库服务器的最佳实践,了解如何创建数据库驱动的动态Web应用程序。
接着,会再弹出几个对话框,我们点击“下一步”——“完成”——“是”。就 OK了。
此时在使用浏览器打开我们的网站,查看证书的状态“该证书没有问题”。
