HTTP服务基础
独立Web服务
Web通信基本概念
基于B/S
服务端提供网页
浏览器下载并显示网页
Hyper Text Markup Language (HTML)超文本标记语言
Hyper Text Transfer Protocol(http)超文本传输协议
RHEL7中的Web服务
软件包:httpd
系统服务:httpd
提供的默认配置
Listen:监听地址:端口(80)
ServerName:本站点注册的DNS名称
DcocumentRoot:网页根目录(/var/www/html)
DirectoryIndex:起始页/首页文件名(index.html)
一.搭建Web服务器
1.安装httpd软件
[root@server0 ~]# yum -y install httpd
2.启动httpd服务,并设置为开机自启
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd.service
3.书写网页文件
[root@server0 ~]# echo My First Web > /var/www/html/index.html
4.安装elinks软件,并使用elinks浏览Web网站
[root@desktop0 ~]# yum -y install elinks.x86_64
[root@server0 ~]# elinks -dump 172.25.0.11
My First Web
二.配置DNS解析
1.修改主配置文件内容/etc/httpd/conf/httpd.conf
[root@server0 ~]# vim /etc/httpd/conf/httpd.conf
/ServerName
...
ServerName server0.example.com:80 #95行
...
2.重启服务,并验证
[root@server0 ~]# systemctl restart httpd
[root@desktop0 ~]# elinks -dump server0.example.com:80
My First Web
三.网页根目录(/var/www/html)
查看主配置文件内容/etc/httpd/conf/httpd.conf
[root@server0 ~]# vim /etc/httpd/conf/httpd.conf
/Docu
...
DocumentRoot "/var/www/html" #119行
...
例如:
客户端访问路径:#elinks -dump server0.example.com/abc
服务端查找路径:/var/www/html/abc/index.html
虚拟Web主机
由同一台服务器提供多个不同的Web站点
区分方式
基于域名的虚拟主机
基于端口的虚拟主机
基于IP地址的虚拟主机(没有人用 )
配置一个虚拟站点
配置文件路径
/etc/httpd/conf/httpd.conf #主配置文件
/etc/httpd/conf.d/*.conf #从配置文件
[root@server0 ~]# vim /etc/httpd/conf/httpd.conf
...
# Load config files in the "/etc/httpd/conf.d" directory, if any.
IncludeOptional conf.d/*.conf
主配置文件最后调用所有从配置文件
目的:
为了配置方便
为了精简主配额文件
为每个虚拟站点添加配置
<VirtualHost IP地址:端口>
ServerName 此站点的DNS名称
DocumentRoot 此站点的网页根目录
</VirtualHost>
1.在帮助文档中找到虚拟站点配置文件模版
[root@server0 ~]# vi /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf
2.建立配置文件 test01.conf
[root@server0 ~]# vi /etc/httpd/conf.d/test01.conf
<VirtualHost *:80>
DocumentRoot /var/www/test
ServerName www0.example.com
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /var/www/nsd
ServerName webapp0.example.com
</VirtualHost>
2.建立目录及相应的网页内容
[root@server0 ~]# mkdir /var/www/test
[root@server0 ~]# mkdir /var/www/nsd
[root@server0 ~]# echo 'wo shi test' > /var/www/test/index.html
[root@server0 ~]# echo 'wo shi nsd' > /var/www/nsd/index.html
3.重启httpd 服务
[root@server0 ~]# systemctl restart httpd.service
4.用elinks验证
[root@desktop0 ~]# elinks -dump www0.example.com
wo shi test
[root@desktop0 ~]# elinks -dump webapp0.example.com
wo shi nsd
启用虚拟Web主机,所有的站点都必须用虚拟Web主机来实现
保证 server0.example.com可以访问
1.修改从配置文件
[root@server0 ~]# vim /etc/httpd/conf.d/test01.conf
<VirtualHost *:80>
DocumentRoot /var/www/test
ServerName www0.example.com
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /var/www/nsd
ServerName webapp0.example.com
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /var/www/abc
ServerName server0.example.com
</VirtualHost>
2. 重起httpd服务
httpd服务访问控制
客户集地址限制
使用<Directory>配置区段
每个文件夹自动继承其父目录的ACL访问权限
除非针对子目录有明确设置
<Directory 目录的绝对路径>
.. ..
Require all denied|granted
Require ip IP或网段地址
</Directory>
例:
Require all denied #禁止任何客户机访问
Require all granted #允许任何客户机访问
Require ip 172.0.0.1 ::1 172.25.0.11 #仅允许部分客户机访问
实现客户集地址限制
1.创建目录与网页文件
[root@server0 ~]# mkdir /var/www/abc/private
[root@server0 ~]# echo 'xiao ke duo zhao 妈妈'> /var/www/abc/private/index.html
2.建立新的配置文件
[root@server0 ~]# vim /etc/httpd/conf.d/test02.conf
<Directory "/var/www/abc/private">
Require ip 172.25.0.11 172.0.0.1 #仅允许本机访问
</Directory>
3.重启httpd服务
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# elinks -dump server0.example.com/private
xiao ke duo zhao 妈妈
[root@desktop0 ~]# elinks -dump server0.example.com/private
Forbidden
You don't have permission to access /private on this server.
思路:客户端是否能够访问服务端资源
1.防火墙是否限制
2.服务本身的访问控制
3.SELinux 是否限制
SELinux策略保护
1.安全上下文(标签)
SELinux 会为文件打上标签
[root@server0 ~]# semanage fcontext -l #查看SELinux给所有文件打的标签
例:
[root@server0 ~]# ls -Zd /var/www/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/
使用自定义Web根目录
题目: 调整Web站点http://server0.example.com的网页 使用/webroot,作为此站点新的网页目录
1.修改配置文件
[root@server0 ~]# vim /etc/httpd/conf.d/test01.conf
...
<VirtualHost *:80>
DocumentRoot /webroot
ServerName server0.example.com
</VirtualHost>
...
2.创建目录与网页文件
[root@server0 ~]# mkdir /webroot
[root@server0 ~]# echo 'wo shi webroot'> /webroot/index.html
3.修改访问控制配置文件
[root@server0 ~]# vim /etc/httpd/conf.d/test02.conf
...
<Directory "/webroot">
Require all granted
</Directory>
...
4.修改SELinux标签值
[root@server0 ~]# chcon -R --reference=/var/www /webroot/
#将/var/www 的文件标签 给 /webroot 文件目录
[root@server0 ~]# ls -Zd /webroot/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /webroot/
5.重启httpd服务验证
[root@server0 ~]# systemctl restart httpd.service
[root@desktop0 ~]# elinks -dump server0.example.com
wo shi webroot
安全Web服务
https 安全的超文本协议 端口号:443
数字证书基础
PKI公钥基础设施 Public Key Infrastructure
公钥:主要用来加密数据
私钥:主要用来解密数据(与相应的公钥匹配)
数字证书:证明拥有着的合法性/权威性(单位名称,有效期,公钥,颁发机构及签名)
Certificate Authority (CA) 数字证书授权中心:负责证书的申请/审核/颁发/鉴定/撤销等管理工作
//本文使用的数字证书 ,公钥,私钥 均为网上下载
//如果想要了解如何搭建 CA服务器 可以浏览 http://blog.51cto.com/13558754/2057718
搭建https
可以访问https://server0.example.com
1.安装mod_ssl软件包
[root@server0 ~]# yum -y install mod_ssl.x86_64
2.部署网站的证书
[root@server0 tls]# cd /etc/pki/tls/certs/A
[root@server0 certs]# wget http://172.25.254.254/pub/tls/certs/server0.crt
3.部署网站的根证书
[root@server0 tls]# cd /etc/pki/tls/certs/
[root@server0 certs]# wget http://172.25.254.254/pub/example-ca.crt
4.部署私钥
[root@server0 certs]# cd /etc/pki/tls/private/
[root@server0 private]# wget http://172.25.254.254/pub/tls/private/server0.key
5.修改配置文件
[root@server0 private]# vim /etc/httpd/conf.d/ssl.conf
...
DocumentRoot "/webroot" #59行
ServerName server0.example.com:443
...
SSLCertificateFile /etc/pki/tls/certs/server0.crt #100行
...
SSLCertificateKeyFile /etc/pki/tls/private/server0.key #107行
...
SSLCACertificateFile /etc/pki/tls/certs/example-ca.crt #122行
...
6.重启服务
[root@server0 private]# systemctl restart httpd.service
7.验证
[root@desktop0 ~]# firefox https://server0.example.com
//如果想要了解更多关于 搭建https服务的知识可以浏览 http://blog.51cto.com/13558754/2057837
部署动态网站
部署并测试WSGI站点
题目: 为站点webapp0.example.com配置提供动态Web
要求:
此虚拟主机监听在端口8909
测试网页为webinfo.wsgi
从浏览器访问 http://webapp0.example.com:8909 可以接收到动态生成的Web界面
1.安装mod_wsgi软件
[root@server0 /]# yum -y install mod_wsgi.x86_64
2.切换到相应/var/www/nsd目录下下载动态页面
[root@server0 /]# cd /var/www/nsd/
[root@server0 nsd]# wget http://172.25.254.254/pub/materials/webinfo.wsgi
[root@server0 nsd]# cat webinfo.wsgi
3.在Desktop0上查看,可以看到源代码
[root@desktop0 ~]# firefox webapp0.example.com/webinfo.wsgi
4.server0上修改
[root@server0 nsd]# vim /etc/httpd/conf.d/test01.conf
...
<VirtualHost *:80>
DocumentRoot /var/www/nsd
ServerName webapp0.example.com
wsgiscriptalias / /var/www/nsd/webinfo.wsgi
</VirtualHost>
...
5.重启服务,验证
[root@server0 nsd]# systemctl restart httpd.service
[root@desktop0 ~]# elinks -dump webapp0.example.com
UNIX EPOCH time is now: 1509700659.44
#UINX 时间戳:自1970-1-1 0:0:0 到达当前所经过的秒数
6.修改webapp0.example.com端口号8909
[root@server0 nsd]# vim /etc/httpd/conf.d/test01.conf
Listen 8909
<VirtualHost *:8909>
DocumentRoot /var/www/nsd
ServerName webapp0.example.com
wsgiscriptalias / /var/www/nsd/webinfo.wsgi
</VirtualHost>
7.重启服务,(发现不能启动)
[root@server0 nsd]# systemctl restart httpd.service
Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.
SELinux策略保护
标配Web端口
使用semanage工具可查看
当尝试监听非标配端口时,SELinux会阻止
导致httpd 服务启动失败
查看/var/log/messages文件中会有记录
8.SELinux限制8909端口
[root@server0 nsd]# semanage port -l | grep http #查看http允许的端口
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@server0 nsd]# semanage port -a -t http_port_t -p tcp 8909 #添加8909端口加入http允许端口中
[root@server0 nsd]# semanage port -l | grep http
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 8909, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@server0 nsd]# systemctl restart httpd.service #重启成功
验证
[root@desktop0 ~]# elinks -dump webapp0.example.com:8909
UNIX EPOCH time is now: 1509767472.39
关于web服务器 在RHCE7的考试中有这么5道题 :
实现一个Web服务器
为 http://server0.example.com 配置 Web 服务器:
从URL地址 http://classroom.example.com/pub/materials/station.html 下载一个主页文件,并将该文件重命名为 index.html
将文件 index.html 拷贝到您的 web 服务器的 DocumentRoot 目录下
不要对文件 index.html 的内容进行任何修改
[root@system1 ~]#yum -y install httpd
[root@system1 ~]#vim /usr/local/share/
[root@system1 ~]#vim /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf #寻找虚拟主机模版
[root@system1 ~]#vim /etc/httpd/conf.d/test01.conf
<VirtualHost *:80>
DocumentRoot /var/www/html
ServerName server0.example.com
</VirtualHost>
[root@system1 ~]#wget -O /var/www/html/index.html http://classroom/pub/materials/station.html
[root@system1 ~]#systemctl restart httpd
[root@system1 ~]#systemctl enable httpd
[root@system2 ~]# curl http://server0.example.com
配置安全Web服务
为站点 http://server0.example.com 配置TLS加密:
一个已签名证书从 http://classroom.example.com/pub/tls/certs/server0.crt 获取
此证书的密钥从 http://classroom.example.com/pub/tls/private/server0.key 获取
此证书的签名授权信息从 http://classroom.example.com/pub/example-ca.crt 获取
[root@system1 ~]# yum -y install mod_ssl.x86_64
[root@system1 ~]# cd /etc/pki/tls/certs/
[root@system1 ~]# wget http://classroom/pub/example-ca.crt
[root@system1 ~]# wget http://classroom/pub/tls/certs/server0.crt
[root@system1 ~]# cd ../private/
[root@system1 ~]# wget http://classroom/pub/tls/private/server0.key
[root@system1 ~]# vim /etc/httpd/conf.d/ssl.conf
<VirtualHost _default_:443>
# General setup for the virtual host, inherited from global configuration
DocumentRoot "/var/www/html"
ServerName www.example.com:443
...
SSLCertificateFile /etc/pki/tls/certs/server0.crt
SSLCertificateKeyFile /etc/pki/tls/private/server0.key
SSLCACertificateFile /etc/pki/tls/certs/example-ca.crt
[root@system1 ~]# systemctl restart httpd
[root@system2 ~]# firefox https://server0.example.com
实现一个Web服务器
为 http://server0.example.com 配置 Web 服务器:
从URL地址 http://classroom.example.com/pub/materials/station.html 下载一个主页文件,并将该文件重命名为 index.html
将文件 index.html 拷贝到您的 web 服务器的 DocumentRoot 目录下
不要对文件 index.html 的内容进行任何修改
[root@system1 ~]# mkdir /var/www/virtual
[root@system1 ~]# wget -O /var/www/virtual/index.html http://classroom/pub/materials/www.html
[root@system1 ~]# vim /etc/httpd/conf.d/test01.conf
<VirtualHost *:80>
DocumentRoot /var/www/virtual
ServerName www0.example.com
</VirtualHost>
[root@system1 ~]# useradd fleyd
[root@system1 ~]# setfacl -m u:fleyd:rwx /var/www/virtual/
[root@system1 ~]# systemctl restart httpd
[root@system2 ~]# curl www0.example.com
配置Web内容访问
在您的 server0 web服务器的 DocumentRoot 目录下创建一个名为 private 的目录,要求如下:
从 http://classroom.example.com/pub/materials/private.html 下载一个文件副本到这个目录,并且命名为 index.html
不要对这个文件的内容做任何修改
从 system1 上,任何人都可以浏览 private 的内容,但是从其他系统不能访问这个目录的内容
[root@system1 ~]# wget -O /var/www/html/private/index.html http://classroom/pub/materials/private.html
[root@system1 ~]# vim /etc/httpd/conf/httpd.conf #寻找模版
[root@system1 ~]# vim /etc/httpd/conf.d/test02.conf
<Directory "/var/www/html/private">
Require ip 127.0.0.1 ::1 172.25.0.11
</Directory>
[root@system1 ~]# systemctl restart httpd.service
[root@system1 ~]# firefox http://server0.example.com/private
[root@system2 ~]# firefox http://server.example.com/private
实现动态Web内容
在system1 上配置提供动态Web内容,要求如下:
动态内容由名为 webapp0.example.com 的虚拟主机提供
虚拟主机侦听在端口 8909
从 http://classroom.example.com/pub/materials/webinfo.wsgi 下载一个脚本,然后放在适当的位置,无论如何不要修改此文件的内容
客户端访问 http://webapp0.example.com:8909 可接收到动态生成的 Web 页
此 http://webapp0.example.com:8909/必须能被 example.com 域内的所有系统访问
[root@system1 ~]#mkdir /var/www/webapp0
[root@system1 ~]#cd /var/www/webapp0
[root@system1 ~]#wget http://classroom/pub/materials/webinfo.wsgi
[root@system1 ~]#vim /etc/httpd/conf.d/test01.conf
listen 8909
<VirtualHost *:8909>
DocumentRoot /var/www/webapp0
wsgiscriptalias / /var/www/webapp0/webinfo.wsgi
ServerName webapp0.example.com
</VirtualHost>
[root@system1 ~]#yum -y install mod_wsgi
[root@system1 ~]#semanage port -l | grep http
[root@system1 ~]#semanage port -a -t http_port_t -p tcp 8909
[root@system1 ~]#vim /etc/httpd/conf.d/test01.conf
[root@system1 ~]#systemctl restart httpd
[root@system2 ~]# firefox http://webapp0.example.com:8909
