一、编译安装
1、解决依赖关系
安装httpd 2.4.4时首先需要解决依赖关系,httpd 2.4.4需要较新版本的apr和apr-util。升级方式有两种,一种是通过源代码编译安装,一种是直接升级rpm包。本文选择第一种方法来进行升级。在这里我们下载 apr-1.4.8.tar.bz2与apr-util-1.6.0.tar.bz2版本。为了以后不必要的麻烦,在这里一定要保证系统时间正确,不正确的(data自行修改)。
apr和apr-util的下载路径为:http://archive.apache.org/dist/apr/
编译安装apr
[root@proxy ~]# tar -xf apr-1.6.2.tar.bz2
[root@proxy ~]# cd apr-1.6.2/
[root@proxy apr-1.6.2]# ./configure
[root@proxy apr-1.6.2]# make
[root@proxy apr-1.6.2]# make install
[root@proxy apr-1.6.2]# rpm -q apr
apr-1.4.8-3.el7.x86_64
编译安装apr-util
出现的错误:xml/apr_xml.c:35:19: error: expat.h: No such file or directory
安装expat库:yum install expat-devel
[root@proxy ~]# tar -xf apr-util-1.6.0.tar.gz
[root@proxy ~]# cd apr-util-1.6.0/
[root@proxy ~]#./configure --with-apr=/usr/local/apr
[root@proxy apr-1.6.2]# make
[root@proxy apr-1.6.2]# make install
[root@proxy apr-util-1.6.0]# rpm -q apr-util
apr-util-1.5.2-6.el7.x86_64
httpd-2.4.4编译过程也要依赖于pcre-devel软件包,需要事先安装。此软件包系统光盘自带,因此,找到并安装即可。
[root@proxy apr-util-1.6.0]#yum -y install pcre-devel
编译安装apache
原先的主机上有apache,先要卸载
[root@proxy ~]# rpm -e httpd
错误:依赖检测失败:
httpd-mmn = 20120211x8664 被 (已安裝) php-5.4.16-36.el7_1.x86_64 需要
[root@proxy ~]# rpm -e php
[root@proxy ~]# rpm -e httpd
[root@proxy ~]# tar -xf httpd-2.4.27.tar.gz
[root@proxy ~]# cd httpd-2.4.27/
[root@proxy ~]#/configure --prefix=/usr/local/apache - --enable-so --enable-mpms-shared=all:prefork、worker、event --with-mpm=event --enable-ssl --enable-cgi --enable-cgid --enable-modules=most --enable-mods-shared=most --enable-mpms-shared=all --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util
解释:
--enable-so:支持动态共享模块,如果支持php将不能与apache一起工作。必须要有
--enable-ssl:启用ssl功能,如果不启用将无法使用https
--enable-mpms-shared=all:prefork、worker、event
--with-mpm=event:event为默认
--enable-rewrite:支持URL重写
--enable-cgi :支持cgi
--enable-cgid:httpd使用event或者worker得启用被线程方式访问
--enable-modules=most :启用大多数模块
--enable-mods-shared=most:启用大多数共享模块
[root@proxy apr-1.6.2]# make
[root@proxy apr-1.6.2]# make install
[root@proxy apr-util-1.6.0]# rpm -q apr-util
setenforce 0 关掉selinux。(临时关闭)
永久关闭 vim /etc/selinux/config
遇到的错误
root@proxy httpd-2.4.27]# /usr/local/apache2/bin/apachectl start
AH00557: httpd: apr_sockaddr_info_get() failed for proxy
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
解决:
只要在:vi /usr/local/apache2/conf/httpd.conf中ServerName(或vim/etc/httpd/conf/httpd.conf)前面的“#”拿掉就好了
二、三种不同的web虚拟主机
基于不同域名
[root@proxy ~]# cat /usr/local/apache2/conf/httpd.conf
<VirtualHost *:80>
ServerName www.a.com
DocumentRoot /var/www/html
</VirtualHost>
<VirtualHost *:80>
ServerName www.b.com
DocumentRoot /var/www/web
</VirtualHost>
[root@proxy ~]# /usr/local/apache2/bin/apachectl restart
[root@Client ~]# curl http://www.b.com
aaa
[root@Client ~]# curl http://www.b.com
bbb
基于不同端口
[root@proxyt ~]# cat /usr/local/apache2/conf/httpd.conf
<VirtualHost *:80>
ServerName www.a.com
DocumentRoot /var/www/html
</VirtualHost>
<VirtualHost *:81>
ServerName www.a.com
DocumentRoot /var/www/web
</VirtualHost>
[root@proxy ~]# cat/usr/local/apache2/conf/httpd.conf
Listen 80
Listen 81
[root@@proxy ~]# /usr/local/apache2/bin/apachectl restart
[root@Client ~]# curl http://www.a.com:81
bbb
[root@Client ~]# curl http://www.a.com
aaa
基于不同ip
[root@proxy ~]# cat /usr/local/apache2/conf/httpd.conf
<VirtualHost 192.168.4.100:80>
ServerName www.a.com
DocumentRoot /var/www/html
</VirtualHost>
<VirtualHost 192.168.2.101:80>
ServerName www.a.com
DocumentRoot /var/www/web
</VirtualHost>
[root@proxy ~]# /usr/local/apache2/bin/apachectl restart
[root@Client ~]# curl http://192.168.4.100
aaa
[root@Client ~]# curl http://192.168.2.101
Bbb
三、网页内容访问控制
客户机地址限制
使用<Directory>配置区段
--每个文件夹自动集成其父目录的ACL访问权限
--除非针对子目录有明确设置
<Directory 目录的绝对路径>
Require all denied|granted
Require ip IP或网段地址
</Directory>
SELinux策略保护
标准的web目录
用semanage工具可查看(semanage命令是用来查询与修改SELinux默认目录的安全上下文)
[root@proxy~]# semanage fcontext -l |grep httpd_sys_content
/srv/([^/]*/)?www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
/var/www(/.*)? all files
新建标准web目录时对的初始化(restorecon)
[root@proxy ~]# mkdir /web
[root@proxy ~]# mv /web/ /var/www/
[root@proxy ~]# ls -Zd /var/www/web/ //显示安全上下文
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /var/www/web/
[root@proxy ~]# restorecon -R /var/www/web/ //恢复SELinux文件属性即恢复文件的安全上下文
[root@proxy ~]# ls -Zd /var/www/web/
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/web/
增加新的web目录
方式一:参照标准目录,重设目录的属性
chcon [-R] --reference=模板目录 新目录
例子:
[root@proxy ~]# ls -Zd /var/www/html/ //模板目录
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
[root@proxy ~]# mkdir /web //新目录
[root@proxy ~]# ls -Zd /web/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /web/
[root@proxy ~]# chcon --reference=/var/www/html /web/ //重设目录属性
[root@proxy ~]# ls -Zd /web/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /web/
方式二:将新目录增加到预设的标准web目录范围
Semanage fcontext -a -t httpd_sys_content_t ‘新目录(/.*)?’
[root@proxy ~]# mkdir /web1 //新建根下的wbb1
[root@proxy ~]# semanage fcontext -a -t httpd_sys_content_t '/web1(/.*)?' //设置web1的属性
[root@proxy ~]# ls -Zd /web1 //查看没变化,这里要要用restorecon命令重设一下
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /web1
[root@proxy ~]# restorecon -R /web1 //重设后查看
[root@proxy ~]# ls -Zd /web1
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /web1
[root@proxy ~]# mkdir -p /web1/web2 //在其目录下创建子目录属性会继承
[root@proxy ~]# ls -Zd /web1/web2
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /web1/web2
四、安全的web服务
1、HTTPS
1.1. 什么是HTTPS
HTTPS(HypertextTransfer Protocol Secure)即安全的HTTP。HTTPS的安全基础是安全套接层(Secure Sockets Layer,SSL)。HTTP工作在应用层(OSI模型的最高层),SSL协议工作在一个较低的子层,位于TCP/IP协议和HTTP协议之间。在HTTP报文传输前对其加密,并在到达时对其解密。严格地讲,HTTPS并不是一个单独的协议,而是工作在SSL协议上的HTTP协议。
TLS对SSL进行了扩充,是SSL的继任者,但两者区别不大,以下讨论中不对TLS和SSL做严格区分。
HTTPS主要作用有两种:(1)确认通讯双方的身份,(2)建立安全通道,保证数据传输安全。
1.2. HTTPS的主要作用
1.2.1. 确认通讯双方的身份
HTTPS通讯中,通过签名技术通讯双方可以确认对方身份。身份认证分为单向认证和双向认证。单向认证中只有服务器端有证书,双向认证中服务器和客户端都有证书。一般的HTTPS站点只有服务器有证书,而客户端无证书。
单向认证是双向认证的简化版,本文讨论过程中如无特殊说明都认为是双向认证。
1.2.2. 建立安全通道,保证数据传输安全
基于SSL协议通讯双方可以协商一个用于对称加密的密钥,该密钥是一个难以破解的随机数,而且依赖通讯双方的证书、私钥等来协商。密钥协商好后,通讯双方用该密钥对数据进行加解密,从而保证数据安全。
1.3. HTTPS与HTTP协议的差异
(1)HTTP 的URL是以“http://”开始,HTTPS的URL是以“https://”开始;
(2)HTTP默认端口为80,HTTPS的默认端口为443;
(3)采用HTTPS的Web Server需要到CA申请证书;
(4)HTTPS由HTTP+SSL来实现,可进行加密传输、身份认证等,要比HTTP安全
(5)HTTP的信息是明文传输,而HTTPS的信息是加密传输
数字证书基础
PKI公钥基础设施
公钥:主要用来加密数据
私钥:主要用来解密数据
数字证书:证明拥有者的合法性/权威性
Certificate Authority,数字整数授权中心:负责证书的申请、审核、颁发、鉴定、撤销等管理工作
实现https加密的条件
HTTPs加密web通信(tcp 443端口)
--secure sockets layer ,安全套字层
--transport layer security ,安全传输层协议
实现条件
--启用ssl模块支持
--部署好加密素材:网站服务器的数字证书、网站服务器的私钥、根证书(CA管理机构的证书)
[root@lxy ~]# yum -y install mod_ssl.x86_64
部署证书、密钥相关文件
部署证书、密钥文件的部署路径
--/etc/pki/tls/certs/证书文件.crt
--/etc/pki/tls/private/私钥文件.key
调整web服务器的配置
配置要点
指定ssl虚拟站点的DNS名称、网页根目录
指定站点证书/根证书/站点密钥
[root@proxy ~]# vim /usr/local/apache2/conf/extra/httpd-ssl.conf
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
[root@proxy ~]# /usr/local/apache2/bin/apachectl restart
五、部署动态网站
部署WSGI动态环境
1、装包(httpd、mod_wsgi)
2、配置
3、启服务
<VirtualHost *:8909>
Listen8909
ServerName www.a.com
DocumentRoot /var/www/html
WSGIScripAlias / /var/www/html/.*.wsgi
</VirtualHost>
[root@proxy ~]# /usr/local/apache2/bin/apachectl restart
selinux策略保护
标准web端口
使用sanmanage工具可查看
[root@proxy ~]# semanage port -l |grep http_port
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
当尝试监听非标配端口时,selinux会阻止
调整允许开放其他web端口
使用semanage工具
[root@proxy ~]# semanage port -a -t http_port_t -p tcp 8909
[root@proxy ~]# semanage port -l |grep http_port
http_port_t tcp 8909, 80, 81, 443, 488, 8008, 8009, 8443, 9000