RH358配置Web服务器–使用Apache HTTPD配置基本Web服务器
第八章开始介绍Aapche Httpd相关的内容,做为基础学习,这章节安排不错。
RH358专栏地址:https://blog.csdn.net/qq_41765918/category_11532281.html
1. 安装Apache HTTP服务器
Apache HTTP服务器,有时被其用户非正式地称为“Apache”,提供了一个完全可配置和可扩展的web服务器。它的功能可以通过模块和小段代码扩展到web服务器的框架并修改其功能。
在Red Hat Enterprise Linux 8上,Apache HTTP Server是由AppStream存储库中的httpd包提供的。当前版本是2.4.37。您可以直接安装该包,它会自动从httpd的默认模块流中获取它
[root@host ~]# yum install httpd
或者,您可以安装该模块流的特定配置文件。httpd模块支持三个配置文件:
-
common:提供生产就绪部署(默认)
-
minimal:提供可以运行Apache web服务器的最小软件包集
-
devel:提供修改HTTPD所需的包
[root@host ~]# yum module install httpd:2.4/common
httpd包的依赖项之一是httpd-tools。这个包包括管理工具,可以操作Apache密码映射和数据库,将Apache日志文件中的IP地址解析为主机名,以及对web服务器进行基准测试和压力测试。
httpd-manual包在您的web服务器http://localhost/manual上安装Apache HTTP Server的文档。
2. 配置Apache HTTP服务器
Apache HTTP Server读取它的配置如下:
-
/etc/httpd/conf/httpd.conf 主配置文件。
-
/etc/httpd/conf.d/ 它提供了补充配置文件,包括在httpd.conf,且文件名以**.conf** 结尾。
-
/etc/httpd/conf.modules.d/ 提供了用于动态加载Apache模块的补充配置文件,且文件名以.conf结尾。
下面的示例是缺省httpd.conf文件的演示,其中删除了注释。如果只想启动一个基本的web服务器,不需要立即做任何改变。
配置文件httpd .conf每一行包含一个指令。指令的参数之间用空格隔开。行尾的反斜杠字符 ( \ ) 表示指令继续下一行。井号(#)右边一行中的所有内容都是注释。指令在默认情况下影响主服务器,除非你将它们嵌套在一个只应用于服务器部分的section指令中,比如。
文件的第一部分设置了一些服务器操作的基本参数:
ServerRoot "/etc/httpd" # 使用相对路径设置httpd用于存储配置中引用的任何文件的默认目录。
Listen 80 # httpd侦听新TCP连接的端口。语法Listen 1.2.3.4:80或Listen [2001:db8::1]:80可以用来限制httpd为一个特定的IP地址。允许多个Listen指令,但不能重叠。
Include conf.modules.d/*.conf # 在配置的这一点上,按照文件名的顺序包含这些文件。这个特定的设置仅用于加载Apache模块。
User apache # httpd以根用户身份启动,但随后放弃以这个用户身份运行的特权,以提高安全性。
Group apache # httpd作为这个组运行。
ServerAdmin root@localhost # 将此指令设置为有效的电子邮件地址,以帮助用户报告问题。不建议将此设置保留为默认的root@localhost。
文件的下一部分将设置应用到服务器的各个部分,影响从特定位置提供内容的方式,等等。
<Directory />
AllowOverride none
Require all denied
</Directory>
# <Directory>块设置了应用于指定目录及其子目录的配置指令。
# Allowoverride none忽略任何放置在这些目录中的.htaccess文件来覆盖这些设置。将此设置设置为任何其他设置都会造成性能损失,以及可能的安全后果。
# Require all denied导致web服务器拒绝提供来自此目录的内容,并返回一个HTTP/1.1 403 Forbidden错误给客户端。
# Require all granted授权客户端访问此目录中的内容。在普通内容树之外的目录上设置此选项可能会带来安全隐患。
# Options接受要为目录打开或关闭的选项列表。例如,如果目录被访问且没有index.html文件,Indexes选项将提供一个由目录内容列表组成的网页存在于该目录中。
DocumentRoot "/var/www/html"
# 网站所服务内容的基本目录。httpd必须能够读取这个目录,并且目录的< directory >块必须允许它提供内容。默认情况下是这样的。
<Directory "/var/www">
AllowOverride None
Require all granted
</Directory>
<Directory "/var/www/html">
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
<IfModule dir_module>
DirectoryIndex index.html
</IfModule>
# 如果Apache dir_module模块被加载(默认),那么应用这些指令。DirectoryIndex指令指定如果一个URL被请求指向一个目录和一个index.html文件存在于该目录中,将该文件提供给客户端。
<Files ".ht*">
Require all denied
</Files>
# <Files>的工作方式类似于<Directory>块,但是应用于单个文件。在这种情况下,它阻止httpd提供敏感文件,如.htaccess和.htpasswd
下面的指令配置httpd日志如何访问页面和错误。
ErrorLog "logs/error_log"
# 将所有 httpd 错误记录到此⽂件中。路径是ServerRoot(/etc/httpd)⽬录:/etc/httpd/logs,同时也是软链接到 /var/log/httpd
LogLevel warn
<IfModule log_config_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
<IfModule logio_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
</IfModule>
CustomLog "logs/access_log" combined # 对⽹站的所有访问都记录在此
</IfModule>
下面几个指令使目录能够运行 CGI 脚本来生成动态内容
<IfModule alias_module>
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
</IfModule>
<Directory "/var/www/cgi-bin">
AllowOverride None
Options None
Require all granted
</Directory>
最后几行配置 web 服务器可以为客户端提供内容的类型,以便客户端能够正确处理内容。最后一行加载 /etc/httpd/conf/conf.d中的其他配置文件,它们可以覆盖前面的配置
<IfModule mime_module>
TypesConfig /etc/mime.types
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml
</IfModule>
AddDefaultCharset UTF-8
<IfModule mime_magic_module>
MIMEMagicFile conf/magic
</IfModule>
EnableSendfile on
IncludeOptional conf.d/*.conf
重要:可以使用apachectl configtest来检查Apache配置文件的语法。
从自定义 DocumentRoot 目录提供 Web 内容
DocumentRoot指令控制httpd使用哪个目录来包含它的web内容。默认设置为/var/www/html。出于各种原因,可能希望将默认设置更改为系统上的另一个位置。如果这样做,请确保httpd可以访问新文档根目录的内容。
首先,确保常规文件系统权限允许apache用户或apache组读取该目录。但是,出于安全原因,两个用户都不能对该目录进行写入,这一点很重要。这种情况下的风险是,可能会使用非特权httpd进程的折衷来修改站点的内容。
其次,确保SELinux上下文允许httpd读取目录。通常,web内容应该用httpd _sys_content_t SELinux类型进行标记。(递归,及显式、隐式设置)
如果使用/var/www/html中的默认文件根目录,则使用/srv/www。或者在/srv中深一级的子目录中的www目录,比如/srv/directory/www,那么SELinux策略将为您正确地重新标记上下文。否则,您需要使用semanage fcontext向策略添加新规则。
[root@host ~]# semanage fcontext -a -t httpd_sys_content_t '/new/location(/.*)?'
可参考man semanage-fcontext
允许编辑Web内容
如果希望web开发人员能够直接编辑你的文档根目录的内容,你需要确保他们可以在这个目录下写文件。
一种方法是将这些用户放在web服务器上的一个组中,并授予该组对文档根目录及其内容的写权限。使用SGID权限来确保他们在该目录中创建的文件自动获得正确的权限。
[root@host ~]# mkdir -p -m 2775 /new/docroot
[root@host ~]# chgrp webmasters /new/docroot
另一种方法是设置该组,但在文档根上设置默认ACL,以授予它们写访问权限。
[root@host ~]# setfacl -R -m g:webmasters:rwX /var/www/html
[root@host ~]# setfacl -R -m d:g:webmasters:rwx /var/www/html
**重要:**大写的X位只在目录上设置可执行位,而不是目录和常规文件。这也适用于chmod,并且在递归地更改目录树的权限时非常有用
3. 启动Apache HTTP服务器
启动并启用系统服务httpd。
[root@host ~]# systemctl enable --now httpd
还需要确保客户端可以通过系统的防火墙联系httpd。对于基本的HTTP访问,确保防火墙服务HTTP是允许的,它打开了端口80/TCP。如果设置了一个启用tls的HTTPS站点(将在本课程后面介绍),请确保HTTPS服务也被允许,它将打开端口443/TCP。
[root@host ~]# firewall-cmd --permanent --add-service=http --add-service=https
[root@host ~]# firewall-cmd --reload
4. 课本练习
[student@workstation ~]$ lab web-basic start
-
要求在servera机器上配置一个基本的web服务器。
-
当URL为http://servera.lab.example.com/请求时,这个web服务器必须提供文本Hello Class!
-
默认错误页面必须包括一个mailto:对电子邮件地址的引用webmaster@example.com。
-
完整的Apache httpd手册必须在URL http://servera.lab.example.com/manual/
1. 安装httpd包和httpd-manual包。
[root@servera ~]# yum -y install httpd httpd-manual
2. 按要求修改各种
[root@servera ~]# vim /etc/httpd/conf/httpd.conf
ServerAdmin webmaster@example.com
[root@servera ~]# echo 'Hello Class!' > /var/www/html/index.html
[root@servera ~]# systemctl enable --now httpd
Created symlink /etc/systemd/system/multi-user.target.wants/httpd.service → /usr/lib/systemd/system/httpd.service.
[root@servera ~]# firewall-cmd --permanent --add-service=http
[root@servera ~]# firewall-cmd --reload
3. 测试访问
[student@workstation ~]$ curl http://servera.lab.example.com
Hello Class!
完成实验
[student@workstation ~]$ lab web-basic finish
总结
- 介绍Apache HTTP服务器。
- 讲解如何配置Apache HTTP服务器。
- 启动和简单演示。
- 若喜欢金鱼哥的文章,顺手点个赞。也可点个关注,因为后续会不断上干货。