中級(jí)142http部署apache介紹什么是Web服務(wù)程序以及有何用處然后通過對(duì)

Apache服務(wù)部署靜態(tài)Webhttpd部署，掌握Web服務(wù)程序的配置方法，以及在Linux系統(tǒng)中配置服務(wù)的技巧所復(fù)習(xí)SELinux服務(wù)的3種工作模式，謹(jǐn)慎的使用semanage命令setsebool命令配置SELinux安全上下文和服務(wù)策略完成Apache服務(wù)程序的基本部署、個(gè)人用戶主頁功能以及基于IP地址、主機(jī)名（、端的虛擬主機(jī)功能。1服務(wù)程SELinux虛擬主機(jī)功IP基于端Apache的控一、服務(wù)程1970平時(shí)的服務(wù)就是Web網(wǎng)絡(luò)服務(wù)也叫WWW網(wǎng)(WorldWideWeb)，一般是指能夠讓用戶通過瀏覽器到互聯(lián)網(wǎng)中文檔等資源的服務(wù)。如圖所示，Web服務(wù)是一種的服務(wù)程序，即只有接收到互聯(lián)網(wǎng)中其他計(jì)算機(jī)發(fā)出的請(qǐng)求后才會(huì)響應(yīng)，最終Web服務(wù)器會(huì)通過HTTPHTTPS（超文本安全傳輸協(xié)議）目前能夠提供WEB網(wǎng)絡(luò)服務(wù)的程序有Apache、Nginx或IIS等等，在Windows系統(tǒng)中默認(rèn)Web服務(wù)程序是IIS互聯(lián)網(wǎng)信息服務(wù)(InternetInformationServices)，只能在Windows系統(tǒng)中使用，Nginx程序作為一款輕量級(jí)的服務(wù)軟件因其穩(wěn)定性和豐富的功能而快Apache程序是目前擁有很高市場占有率的Web服務(wù)程序之一，其跨平臺(tái)APIApache服務(wù)的著名Logo，它的名字取自印第安人土著語，寓意著擁有高超的策略和無窮的耐性，在紅帽RHEL5、6、7系統(tǒng)中一直作為著默認(rèn)的Web服務(wù)程序而使用，并且也一直是紅帽RHCSA和紅帽RHCE的考試重點(diǎn)內(nèi)容。Apache服務(wù)程序可以運(yùn)行在Linux系統(tǒng)、Unix系統(tǒng)甚至是Windows系統(tǒng)成有服務(wù)器模塊、安全Socket層(SSL)、能夠?qū)崟r(shí)監(jiān)視服務(wù)狀態(tài)與定制日志Apache軟件著名的NginxWeb的穩(wěn)定性與安全性成為了紅帽RHEL7系統(tǒng)中默認(rèn)的服務(wù)軟件，依然占有了[root@rhce[root@rhce~]#WebRHCSARHCE[root@rhce~]#mkdir-p/media/cdrom[root@rhce~]#mount/dev/cdrom/media/cdrom[root@rhce~]#mkdir-p/media/cdrom[root@rhce~]#mount/dev/cdrom/media/cdrommount:/dev/sr0iswrite-protected,mountingread-[root@rhce~]#vim/etc/yum.repos.d/rhel7.repo[root@rhce~]#vim/etc/yum.repos.d/rhel7.repo[root@rhce~]#[root@rhce~]#yuminstall[root@rhce~]#systemctlstarthttpd[root@rhce~]#systemctlenablehttpd[root@rhce~]#systemctlstarthttpd[root@rhce~]#systemctlenablehttpd - 打開火狐瀏覽器后鍵 ，就可以看到httpd服務(wù)的默認(rèn)Apache服主配置文數(shù)日錯(cuò)誤日[root@rhce~]#vim[root@rhce~]#[root@rhce~]#vim <Location/server-全局配區(qū)域配區(qū)域配學(xué)習(xí)過S課程的同學(xué)對(duì)注釋信息并不陌生，主要需要講解的是全[root@rhce[root@rhce~]#服服服務(wù)器數(shù)IP地址與網(wǎng)頁超時(shí)時(shí)間,300秒從上面表格中可以得知Root正是用于定義數(shù)據(jù)保存路徑的參數(shù)，其參數(shù)的默認(rèn)值是將數(shù)據(jù)存放到了/var/www/html中的，index.html，我們可以手動(dòng)的向這個(gè)中寫入一使用echo命令將指定的字符寫入到數(shù) 中的index.html文件中[root@rhce~]#echo eTo">默認(rèn)的數(shù)據(jù)是保存在了/var/www/html 中，如果想將數(shù)據(jù) [root@rhce~]#mkdir第1步:建立數(shù)據(jù)保存 [root@rhce~]#mkdir[root@rhce[root@rhce~]#echo"TheNewWebDirectory">第2步:打開httpd服務(wù)程序的主配置文件,找到大119行附近[root@rhce~]#vimRoot參數(shù)以及大123[root@rhce~]#vim將在119行 Root參數(shù)修改為"/home/wwwroot",再把在123行3httpd[root@rhce~]#systemctlrestart再來打開瀏覽器，依然是輸 [root@rhce~]#為什么會(huì)是默認(rèn)頁面？只有首頁頁面不存在或權(quán)限不足的情況才會(huì)顯示進(jìn)一步來""，頁面的行為是被的ForbiddenYoudon'thavepermissiontoaccess/index.htmlonthisSELinux三、SELinuxSELinux全稱為Security-EnhancedLinux是國家安全局在Linux開源社區(qū)幫助下開發(fā)的一個(gè)MAC強(qiáng)制控制的安全子系統(tǒng)在紅帽RHEL7系統(tǒng)中啟限制，SELinux行資源限制，SELinux安全上下文讓文件只能被所屬于的服務(wù)程序所獲取到。SELinux域和SELinux安全上下文可以想象成雙管齊下，系統(tǒng)內(nèi)的服務(wù)程序enforcing-安全策略強(qiáng)制啟用模式enforcing-安全策略強(qiáng)制啟用模式permissive-遇到服務(wù)越權(quán)只會(huì)發(fā)出警告而，disabled-對(duì)于越權(quán)的行為。[root@rhce[root@rhce~]#vimSELinux[root@rhce~]#geten[root@rhce~]#[root@rhce~]#geten0用seten[0|1]命令來修改下當(dāng)前服務(wù)的運(yùn)行模式（0為禁用，1[root@rhce~]#[root@rhce~]#geten0這樣當(dāng)我們?cè)偎⑿戮W(wǎng)頁后就會(huì)看到正常的網(wǎng)頁內(nèi)容了，果然問題是出在了[root@rhcewwwroot]#[root@rhcewwwroot]#如果將selinux設(shè)置為Enforcing，如何解決不能的問題httpd服務(wù)程序的功能就是讓用戶能夠到內(nèi)容，因此讓SELinux對(duì)網(wǎng)頁功能肯定是默認(rèn)允許的，但剛剛把保存數(shù)據(jù)的默認(rèn)路徑修改為 因?yàn)?home是用來存放普通用戶家數(shù)據(jù)的地方，也就是說現(xiàn)在httpd提供的服務(wù)卻要去獲取普通用戶家中的數(shù)據(jù)了，這個(gè)行為觸犯SELinux服務(wù)的項(xiàng)目。分別查看下原始數(shù)據(jù)與當(dāng)前數(shù)據(jù)在SELinux安全上下文值上是[root@rhce[root@rhce~]#1[root@rhce~]#ls-Zddrwxr-xr-x.rootrootsystem_u:object_r:httpd_sys_content_t:s0/var/www/html[root@rhce~]#ls-Zd/home/wwwrootdrwxrwxrwx.rootrootunconfined_u:object_r:home_root_t:s0用戶段system_u，角色段object_r類型段用戶段system_u，角色段object_r類型段httpd_sys_content_tSELinuxSELinux以現(xiàn)在這種情況的解決辦法就是將當(dāng)前/home/wwwroot的SELinux安全上下文修改為跟原始的一樣就可以了格式為 格式為 SELinux服務(wù)極大的增強(qiáng)了Linux系統(tǒng)的安全性，將用戶權(quán)限牢牢地所在籠子里，semanagechcon命令一樣對(duì)文件、進(jìn)行策略設(shè)-l-a-l-a參數(shù)用于-m-d --[root@rhce~]# --[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t僅僅是這樣設(shè)置完還不能讓立即恢復(fù)，還需要使用restorecon命SELinux立即生效，可以加上-Rv參數(shù)指定進(jìn)行對(duì)的遞歸操作以及顯示SELinux安全上下文的修改過程，最后再來刷新一下頁[root@rhce[root@rhce~]#restorecon-vvFR/home/wwwroot/restoreconreset/home/wwwrootcontext restoreconreset/home/wwwroot/index.htmlcontext[root@rhce~]#如果想為系統(tǒng)中每位用戶都建立一個(gè)獨(dú)立 通常的方法只能是基于如果只是想為每位用戶建立獨(dú)立的可以用httpd服務(wù)程序提供的個(gè)人，起來相對(duì)容易。第1步:httpd服務(wù)程序中的個(gè)人用戶主頁功能面的配置文件，然后第17行左右的UserDirdisabled參數(shù)前面加上#（井號(hào)，這樣代表讓httpd服務(wù)程序開啟個(gè)人用戶主頁功能，同時(shí)再將第23行左右的UserDirpublic_html參數(shù)前面的#（井號(hào)）去掉，該參數(shù)代表數(shù)據(jù)在用戶家中的保 名稱(即 [root@rhce[root@rhce~]#vim17UserDirdisabled前加一個(gè)#23UserDirpublic_html前的#號(hào)去除注意:UserDir參數(shù)表示的是需要在用戶 中創(chuàng)建的數(shù) 的名稱(第2步:在用戶家 中建立用于保存數(shù)據(jù)的 錄的權(quán)限修改為755，保證其他人可以有權(quán)限里面的網(wǎng)頁內(nèi)容：[rhce@rhce~]$mkdir[root@rhce[rhce@rhce~]$mkdir[root@rhcehome]#su-Lastlogin:FriMay2213:17:37CST2015on[rhce@rhce[rhce@rhce~]$echo"Thisisrhce'swebsite">755[rhce@rhce od-Rf755第3步:重新啟動(dòng)httpd服務(wù)程序，打開瀏覽器中輸入后加上~用戶名，理論上來講就可以看到用戶的個(gè)人主頁，依然是報(bào)錯(cuò)頁面，還是SELinux的限4httpd服務(wù)程序提供個(gè)人用戶主頁功能的數(shù)據(jù)本身就應(yīng)該是存放到每個(gè)用戶家中的，所以對(duì)于文件上面的SELinux改但除此之外還有個(gè)Linux域這個(gè)是負(fù)責(zé)管理讓服務(wù)程序不能做的動(dòng)作，可以用getsebool命令來查詢并過濾出所有跟http[root@rhce~]#getsebool-a|[root@rhce~]#getsebool-a|grephttp -->off -->on -->off -->off -->offSELinuxhttpdSELinux是httpd_enable_homedirs大致確定后就可以用setsebool命令來修改SELinux-PSELinux布爾值策略項(xiàng)目永久生效[root@rhce~]#setsebool[root@rhce~]#setsebool-P [root@webpublic_html]#ll-Z刷新瀏覽器rhce用戶的個(gè)人，果然成功了getseboolSELinux：“getseboola”SELinux策略布爾值:只有0/1兩種情況，0或off為，1或on為允許。格式為：“setsebool[選項(xiàng)]格式為：“setsebool[選項(xiàng)]布爾值=[0|1]”。 - [root@rhce~]#getsebool-a|[root@rhce~]#getsebool-a|grephomeftp_home_dir-->offgit_cgi_enable_homedirs-->offgit_system_enable_homedirs-->offhttpd_enable_homedirs-->就可以給上面加上口令驗(yàn)證功能[root@rhce~]#htpasswd-c/etc/httpd/passwdrhceNewpassword:[root@rhce~]#htpasswd-c/etc/httpd/passwdrhceNewpassword:Re-typenewAddingpasswordforuser[root@rhce~]#vim[root@rhce~]#vim<DirectoryAllowOverrideauthuserfileauthname"My yauthtyperequireuserrhce<Directory<DirectoryAllowOverrideauthuserfile"/etc/httpd/passwd"authname"Myprivaywebsit"authtypebasicrequireuser[root@rhce[root@rhce~]#systemctlrestart此時(shí)用戶再想某個(gè)用戶的個(gè)人時(shí)就必須要輸入后才能正常訪問，另外驗(yàn)證時(shí)候的帳號(hào)和是用htpasswd命令生成的專門用于登陸的口令，不是系統(tǒng)中的用戶，登陸界面如圖所示五、虛擬主機(jī)功如果把每臺(tái)服務(wù)器上面只能運(yùn)行著一個(gè)這顯然也會(huì)造成很大硬件資源術(shù)不能夠?qū)崿F(xiàn)目前云主機(jī)技術(shù)的硬件資源而是讓這些共同使用服務(wù)器Apache的虛擬主機(jī)功能是服務(wù)器基于用戶請(qǐng)求的不同IP地址主機(jī)或。mIPm當(dāng)一臺(tái)服務(wù)器上面擁有多個(gè)IP地址，用戶通過請(qǐng)求不同的IP地址時(shí)會(huì)取得不同的頁面資源，另外讓每個(gè)都擁有一個(gè)獨(dú)立IP地址對(duì)搜索引擎SEO配置IP地址如圖所示，并在重啟網(wǎng)卡服務(wù)后進(jìn)行網(wǎng)絡(luò)連通性檢查，保證三個(gè)IP地址均可正常（這項(xiàng)很重要，一定要測試好再進(jìn)行下一步!Apache的虛擬主機(jī)功能(VirtualHost)是可以讓一臺(tái)服務(wù)器基于IP、主機(jī)名或端實(shí)現(xiàn)提供多個(gè)服務(wù)的技術(shù)。一臺(tái)服務(wù)器擁有多個(gè)IP地址，當(dāng)用戶不同IP地址時(shí)顯示不同的頁（0/21/22重新啟動(dòng)網(wǎng)卡設(shè)備后使用命令檢查是否配置正確，一定要測試好再進(jìn)行下第1步:分別創(chuàng)建數(shù) [root@rhce~]#mkdir-p/home/wwwroot/10[root@rhce~]#[root@rhce~]#mkdir-p/home/wwwroot/10[root@rhce~]#mkdir-p[root@rhce~]#mkdir-p[root@rhce~]#echo"IP:0">[root@rhce~]#echo[root@rhce~]#echo"IP:0">[root@rhce~]#echo"IP:0">/home/wwwroot/20/index.html[root@rhce~]#echo"IP:0">2IP113入三個(gè)基于IP地址的虛擬主機(jī)參數(shù)，保存退出文件后記得要重啟httpd服vim/usr/share/doc/httpd-2.4.6/httpd-vhosts.conf#模板vim/etc/httpd/conf.d/0.conf<VirtualHostRoot/home/wwwroot/10<VirtualHostRoot/home/wwwroot/10<Directory/home/wwwroot/10AllowOverrideNoneRequireallgranted<VirtualHost<VirtualHostRootRoot/home/wwwroot/20<Directory/home/wwwroot/20>AllowOverrideNoneRequireallgranted<VirtualHost<VirtualHostRoot/home/wwwroot/30<Directory/home/wwwroot/30>AllowOverrideNoneRequireallgranted直接上面的參數(shù)到主配置文件(/etc/httpd/conf/httpd.conf)的末尾然后重啟apache服務(wù)程序。也可以新建一個(gè)虛 配置文將服務(wù)加入到開機(jī)啟動(dòng)項(xiàng)中:"systemctlenable第3步:修改數(shù) 的SELinux安全上下文[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t/home/wwwroot[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t/home/wwwroot[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t[root@rhce~]#[root@rhce~]#restorecon-vvFR第4步:分別0/20/30驗(yàn)證結(jié)果文件而報(bào)錯(cuò)?；谥鳈C(jī)當(dāng)服務(wù)器無法為每個(gè)都分配到獨(dú)立IP地址時(shí)，可以試試讓Apache服務(wù)程序自動(dòng)識(shí)別來源主機(jī)名或然后跳轉(zhuǎn)到指定的。DNS要手工定義下IP地址與的對(duì)應(yīng)關(guān)系。/etc/hosts文件是Linux系統(tǒng)的配置文件，它用于強(qiáng)制將某個(gè)主機(jī)解析到指定的IP地址上面，簡單來說，只要我們配置了這個(gè)文件，即便網(wǎng)卡參數(shù)中沒有DNS參數(shù)信息也依然能夠?qū)⒔馕龅侥硞€(gè)IP地址上面。1IPhostshostsIP的映射關(guān)系IP[root@rhce[root@rhce~]#vimIP[root@rhce~]#mkdir-p/home/wwwroot/www[root@rhce~]#mkdir-p/home/wwwroot/bbs[root@rhce~]#[root@rhce~]#mkdir-p/home/wwwroot/www[root@rhce~]#mkdir-p/home/wwwroot/bbs[root@rhce~]#mkdir-p[root@rhce[root@rhce~]#echo[root@rhce~]#echo"[root@rhce~]#echo">">">3大約113行處分別追加寫入三個(gè)基于主機(jī)名的虛擬主機(jī)參數(shù)保存退出文件后記得要重啟httpd服務(wù)才能生效。[root@rhce~]#vim<VirtualHost<VirtualHostRootServerName"<DirectoryAllowOverrideNoneRequireallgranted<VirtualHost<VirtualHostRootServerName"<DirectoryAllowOverrideNoneRequireallgranted<VirtualHostRootServerName"<DirectoryAllowOverrideNoneRequireallgranted直接上面的參數(shù)到主配置文件(/etc/httpd/conf/httpd.conf)的末尾然后重apache服務(wù)程序?qū)⒎?wù)加入到開機(jī)啟動(dòng)項(xiàng)中:”systemctlenablehttpd[root@rhce[root@rhce~]#semanagefcontext-a-thttpd_sys_content_t----4SELinux ---- ----[root@rhce~]#[root@rhce~]#restorecon-Rv第5步:分別驗(yàn)證結(jié)基于端基于端的虛擬主機(jī)功能可以讓用戶通過服務(wù)器上面指定的端來找到想要的資源，而用apache配置虛擬主機(jī)功能中，基于端的httpdSELinux于新開設(shè)端的，占用服務(wù)器中、、類似的端是服但再去占用其他的端就會(huì)到SELinux服務(wù)的限制了，因此接下來的SELinuxSELinuxhttpd服務(wù)程序功能的管控。讓服務(wù)器開啟多個(gè)服務(wù)端口后讓用戶能夠通過服務(wù)器的指定端口來找到想要的。第1步:分別創(chuàng)建數(shù) [root@rhce~]#mkdir-p/home/wwwroot/6111[root@rhce~]#[root@rhce~]#mkdir-p/home/wwwroot/6111[root@rhce~]#mkdir-p[root@rhce~]#echo"port:6111"[root@rhce~]#echo"port:6111">/home/wwwroot/6111/index.html[root@rhce~]#echo"port:6222">第2步:在配置文件中描述基于端的虛擬主機(jī)[root@rhce~]#vim41[root@rhce~]#vim41#ListenListenListenListen第3步:在httpd服務(wù)的配置文件中大約114行處，分別追加寫入兩個(gè)基于端口號(hào)的虛擬主機(jī)參數(shù)，保存退出文件后記得要重啟httpd服務(wù)才能生效。<VirtualHost<VirtualHostRootRoot"/home/wwwroot/6111"<Directory"/home/wwwroot/6111">AllowOverrideNoneRequireall<VirtualHost<VirtualHostRoot"/home/wwwroot/6222"<Directory"/home/wwwroot/6222">AllowOverrideNoneRequireallJobforhttpd.servicefailed.Jobforhttpd.servicefailed.See'systemctlstatushttpd.service'and'journalctl-for因?yàn)镾ELinux服務(wù)檢測到6111和6222端口原本不屬于apache應(yīng)該需要了，我們可以用semanage命令查詢并過濾出所有與http協(xié)議相關(guān)的端SElinux允許列表：第4步:修改數(shù) 的SELinux安全上下[root@rhce~]#semanagefcontext[root@rhce~]#semanagefcontext-a-thttpd_user_content_t/home/wwwroot[root@rhce~]#semanagefcontext-a-thttpd_user_content_t[root@rhce[root@rhce~]#semanagefcontext-a-t[root@rhce~]#semanagefcontext-a-t[root@rhce~]#semanagefcontext-a-t[root@rhce~]#restorecon[root@rhce~]#restorecon-Rv第5步:SELinux允許http協(xié)議使用的端中默認(rèn)沒有包含我們的6111和6222，此設(shè)置后再重啟一下httpd服務(wù)程序就能看到網(wǎng)頁內(nèi)容了，如圖所示：[root@rhce~]#semanageport-l|grephttphttp_cache_port_ttcp8080,8118,8123,10001-10010http_cache_port_tudphttp_port_t[root@rhce~]#semanageport-l|grephttphttp_cache_port_ttcp8080,8118,8123,10001-10010http_cache_port_tudphttp_port_ttcp80,81,443,488,8008,8009,8443,pegasus_http_port_ttcppegasus_https_port_ttcp[root@rhce[root@rhce~]#semanageport-a-thttp_port_t-ptcp[root@rhce~]#semanageport-a-thttp_port_t-ptcpSELinux（已經(jīng)添加成功了[root@rhce~]#semanageport-l|grephttphttp_cache_port_t[root@rhce~]#semanageport-l|grephttphttp_cache_port_ttcp8080,8118,8123,10001-10010http_cache_port_tudphttp_port_t 6222,6111,80,81,443,488,8008,8009,8443,pegasus_http_port_ttcppegasus_https_port_ttcp[root@rhce~]#systemctlrestart[root@rhce~]#systemctlrestart5件而報(bào)錯(cuò)。六、Apache的控Order用于AllowDeny匹配原則為:按順序匹配規(guī)則并執(zhí)行，若未匹配成功則執(zhí)行后面的執(zhí)行OrderAllow,Deny代表先將客戶端與允許規(guī)則進(jìn)行對(duì)比，若Order用于AllowDeny匹配原則為:按順序匹配規(guī)則并執(zhí)行，若未匹配成功則執(zhí)行后面的執(zhí)行OrderAllow,Deny代表先將客戶端與允許規(guī)則進(jìn)行對(duì)比，若功基于主機(jī)名、IP地址以及客戶端特征做Apache網(wǎng)頁資源的控制，常用))第1步:例如我們可以先在服務(wù)端數(shù)據(jù) [root@rhce~]#mkdir[root@rhce[root@rhce~]#mkdir[root@rhce~]#echo"Successful">第2步:打開httpd服務(wù)程序的配置文件找到大約第129行左右，追加以下限制[root@rhce~]#vim129<Directory"/var/www/html/server">SetEnvIf[root@rhce~]#vim129<Directory"/var/www/html/server">SetEnvIfUser-Agent"Firefox"ff=1Orderallow,denyAllowfrom[root@rhce~]#systemctlrestarthttpd[root@rhce~]#firefox[root@rhce~]#systemctlrestarthttpd[root@rhce~]#firefox<Directory"/var/www/html/server">SetEnvIfUser-Agent"Firefox"<Directory"/var/www/html/server">SetEnvIfUser-Agent"Firefox"ff=1Orderallow,denyAllowfrom火狐瀏覽器成功除了匹配客戶端的瀏覽器標(biāo)識(shí)，我們還可以通過匹配客戶端的來源IP地址進(jìn)行控制，例如我們想只允許來自于0的主機(jī)我們的用本機(jī)（服務(wù)端IP地址為0）來的子就會(huì)提示根據(jù)來訪源地址，僅限0的主機(jī)本 主IPRHEL7RHEL7[root@rhce[root@rhce~]#vim129<Directory"/var/www/html/server">Orderallow,denyAllowfromOrderallow,denyAllowOrderallow,denyAllowfromenv=ie[root@rhce~]#systemctlrestarthttpd[root@rhce~]#firefox用Firefox瀏覽器嘗試頁面，因IP地址不符合要求而然后再使用主機(jī)（0）嘗試頁面，順利的成功了七、Apache2.4和Apache2.2控從Apache2.2升級(jí)到Apache2.4后，發(fā)現(xiàn)原來用來限制部分IP和網(wǎng)絡(luò)爬蟲的控制規(guī)則不起作用，查詢后才發(fā)現(xiàn)，Apache2.4中開始使用mod_authz_host這個(gè)新的模塊來進(jìn)行控制和其他的檢查。原來在的Require控制指令。requirenoeffectin<RequireAny>directive"。2.4控制AccessIn2.2,accesscontrolbasedon hostname,IPaddress,andothercharacteristicsofrequestswasdoneusingthedirectivesOrder,Allow,Deny,andSatisfy.In2.4,suchaccesscontrolisdoneinthesamewayasotherauthorizationchecks,usingthenewmodulemod_authz_host.Theoldaccesscontrolidiomsshouldberecedbythenewauthenticationmechanisms,althoughforcompatibilitywitholdconfigurations,thenewmodule patisprovided.2.2、控制基于客戶端的主機(jī)名，IP地址，以及客戶要求等特點(diǎn)，采用了指令，允許，，和滿足。2.4，這樣的控制是以同樣的方式為其他檢查，使用新的模塊 MixingMixingoldandnewMixingolddirectiveslikeOrder,AlloworDenywithnewoneslikeRequireistechnicallypossiblebutdiscouraged. patwascreatedtosupportconfigurationscontainingonlyolddirectivestofacilitatethe2.4upgrade.Pleasechecktheexamplesbelowtogetabetterideaaboutissuesthatmightarise.將舊指令如指令、允許或等新的要求混合在技術(shù)上是可能的，但不鼓勵(lì)pat2.42.2OrderDenyfrom2.4RequireallInthisexample,2.2OrderDenyfrom2.4RequireallInthisexample,thereisnoauthenticationandallrequestsare2.22.2OrderAllowfrom2.42.4Requireall2.2OrderDeny,AllowDenyfromallAllowfromInthefollowingexample,thereisnoauthentication2.2OrderDeny,AllowDenyfromallAllowfrom2.42.4RequirehostInthefollowingexample,mixingoldandnewdirectivesleadstounexpectedMixingMixingoldandnewdirectives:NOTWORKINGASRoot<Directory"/">AllowOverrideNoneOrderdeny,allowDenyfromall<Location"/server-status">SetHandlerserver-statusRequirelocalWhyhttpddeniesaccesstoservers-statuseveniftheconfigurationseemstoallow patdirectivestakeprecedenceoverthemod_authz_hostoneinthisconfigurationmergescenario.為什么服務(wù)器服務(wù)器的狀態(tài)即使配置似乎是允許？因patmod_authz_hostThisexampleconverselyworksasMixingMixingoldandnewdirectives:WORKINGASRoot<Directory"/">AllowOverrideNoneRequireall<Location"/server-status">SetHandlerserver-statusOrderdeny,allowDenyfromAllowFromaccess.log-GET/server-status200Soevenifmixingconfigurationisstillpossible,pleasetrytoavoiditwhenupgrading:eitherkeepolddirectivesandthenmigratetothenewonesonalaterstageorjustmigrateeverythinginbulk.Inmanyconfigurationswithauthentication,wherethevalueoftheSatisfywasthedefaultofALL,snippetsthatsimplydisabledhost-basedaccesscontrolareomitted:2.2OrderDeny,AllowDenyfromallAuthBasicProvider AuthName2.2OrderDeny,AllowDenyfromallAuthBasicProvider AuthNameRequireRequirevalid-2.42.4#No cementAuthBasicProvider AuthNameRequirevalid-Require例1：允許所有請(qǐng)<Directory<DirectoryRequireall例2：所有請(qǐng)<Directory<DirectoryRequireall例3：只允許來自特定主機(jī)的請(qǐng)求，其他請(qǐng)求將被<Directory<DirectoryRequire例4：只允許來自特定IP或IP段的請(qǐng)求，其他請(qǐng)求將被<Directory<DirectoryRequireip192.120192.168.100例5：允許所有請(qǐng)求，但來自特定IP或IP段的請(qǐng)求（或爬蟲網(wǎng)段的<Directory<DirectoryRequireallRequirenot Requirenot 網(wǎng)絡(luò)爬蟲mod_setenvifUser-Agent，并設(shè)置內(nèi)部環(huán)境變量BADBOT，最后BADBOT的請(qǐng)求。<Directory<DirectorySetEnvIfNoCaseUser-Agent"brandwatch"BADBOTSetEnvIfNoCaseUser-Agent"rogerbot"BADBOTRequireallgrantedRequirenotenvBADBOTRequirenotipRequireRequireallgrantedRequirealldeniedRequireenvenv-var[env-var]Requiremethodhttp-method[http-method]...#允許特定的HTTP方法RequireexprexpressiontrueRequireuseruseriduseridRequiregroupgroup-name[group-nameRequirevalid-user##允許，有效用戶Requireip192.100192.168.100IPIPIPIP（host控制）實(shí)驗(yàn)1-基于的虛擬主mkdir/var/www/qinmkdir/var/www/bingechoqin>/var/www/qin/index.htmlechobing>/var/www/bing/index.htmlDNSsystemctlrestartvim/usr/share/doc/httpd-2.4.6/httpd-vhosts.conf vim/etc/httpd/conf.d/0.conf<VirtualHost:80>Root"/var/www/html"ServerNameErrorLog"/var/log/httpd/-CustomLog"/var/log/httpd/-access_log"vim Root"/var/www/qin"ErrorLog -CustomLog-access_log"cpsystemctlrestarthttpd.confqin1qin2hAllowOverridenone Requireall qin1mkdirechoqin2deny>vim<VirtualHost*:80>Root/var/www/qinErrorLog -CustomLog -access_log"<Directoryorderallow,denyallowfromalldenyfrom <VirtualHost*:80>systemctlrestarthttpdqin2不可以/qin2deny，其他機(jī)器都可以 deny,allow//默認(rèn)充許所有主機(jī) //單獨(dú)Orderdeny,allowallowfromalldenyfromOrderdenyfromallowfromallOrderdenyfromallowfromallOrderallow,denyallowfromalldenyfromOrderallow,denydenyfromallallowfromOrderallowfromdenyfromallOrderallowfromdenyfromallOrderdeny,allowdenyfromallallowfromOrderOrderOrderdenyfromOrderdeny,allowdenyfromallallowfromallOrderdenyfromOrderdenyfromOrderallowfromOrderallowfrom基于主機(jī)控允許所有主機(jī)<Directory/var/www/html/private>Requireallgranted允許指定主機(jī)<Directory/var/www/html/private>Requireip0Requireip/24Requirehostwww只允許本機(jī)<Directory/var/www/html/private>Requirelocal僅某個(gè)主機(jī)<DirectoryRequireallgrantedRequirenotip僅某些網(wǎng)段<DirectoryRequireallgrantedRequirenotip3-ssl全驗(yàn)在qin1上制作用于認(rèn)證的和keycd/etc/pki/tls/certsmakeEnterpass VerifyingEnterpass Enterpassphrasefor CountryName(2lettercode) StateorProvinceName(fullname)[]: #輸入BEIJINGLocalityName(eg,city)[DefaultCity]: #輸入BEIJINGOrganizationName(eg, )[Default]: #輸入REDHATOrganizationalUnitName(eg,section)[]: #輸入WEBCommonName(eg,yournameoryourserver'shostname) #相當(dāng)于已經(jīng)有了CA中心并且CA中心已經(jīng)頒發(fā)了qin.crt，一般保存在cert文件夾下，密鑰保存在private文件夾下yuminstallymod_ssl.x86_64sslhttpdM|grep-imod_ssl#查看apache#如果報(bào)錯(cuò)AH00558:httpd:Couldnotreliablydeterminetheserver'sfullyqualifiedname,using.Setthe'ServerName'directivegloballytosuppressthismessage，一般是解析的錯(cuò)誤，可以添加hosts記錄，或者添加DNS記錄，并更改配置文件的ServerName內(nèi)容vimSSLEngine 的單獨(dú)引firewall-cmd--permanent--add-service=httpsfirewall-cmd--reloadmkdirechohtml>/var/www/html/index.htmlecho443>/var/www/443/index.htmlcat/etc/httpd/conf.d/ssl.conf|grep-i #尾部5vim<VirtualHostRoot/var/www/htmlvim/etc/httpd/conf.d/443.conf 用cat/etc/httpd/conf.d/ssl.conf|grep^SSL|tail-n5獲得<VirtualHostRoot #必須和輸入的一SSLEngine SSLProtocolallSSLv2 #除了-SSLv2SSLv3SSLCipherSuiteSSLFile #位SSLKeyFile/etc/pki/tls/private/qin.key#密鑰位qin1qin2vim/etc/hosts實(shí)驗(yàn)4-http自動(dòng)轉(zhuǎn)為qin1vim<VirtualHostRoot/var/www/qinRewriteEngine httpsRewriteRule^/(.*)https://%{HTTP_HOST}$1 <VirtualHostRoot/var/www/443SSLEngineSSLProtocolall-SSLv2-SSLv3SSLCipherSuiteHIGH:MEDIUM:!aNULL:!MD5SSLFileSSLKeyFileqin1qin2實(shí)驗(yàn)4-http網(wǎng)3站自動(dòng)轉(zhuǎn)為qin1vim<VirtualHostRoot/var/www/qinRewriteEngine httpsRewriteRule^/(.*)https://%{HTTP_HOST}$1 <VirtualHostRoot/var/www/443SSLEngineSSLProtocol