一、apache详解
1. 概述
apache是世界上使用排名第一的web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python/php等解释器编译到服务器中。
apache可以支持ssl技术,支持多个虚拟主机。apache是以进程为基础的结构,进程要比线程消耗更多的系统开支,不太适合于多处理器环境,故在一个apache web站点扩容时,通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器。
2. 工作模式
apache一共有三种稳定的MPM模式(MPM:多进程处理模块),他们分别是prefork、worker、event。
prefork工作模式
apache在启动之初,就预先fork一些子进程,然后等待请求进来。之所以这样做,是为了减少频繁创建和销毁进程的开销。每个子进程只有一个线程,在一个时间点内,只能处理一个请求。
优点:成熟稳定,兼容所有新老模块。同时,不需要担心线程安全的问题。
缺点:一个进程相对占用更多的系统资源,消耗更多的内存。而且,它并不擅长处理高并发请求。
worker工作模式
使用了多进程和多线程的混合模式。他也预先fork了几个子进程(数量较少),然后每个子进程创建一些线程,同时包括一个监听线程。每个请求过来,会被分配到一个线程来服务。线程比进程更轻量,因为线程通常会共享父进程的内存空间,因此,内存的占用会减少一些。在高并发的场景下,因为比prefork有更多的可用线程,表现更优秀一些。
优点:占据更少的内存,高并发下表现优秀
缺点:必须考虑线程安全的问题
event工作模式
和worker工作模式很像,最大的区别在于,它解决了keep-alive场景下,长期被占用的线程的资源浪费问题。event MPM中,会有一个专门的线程来管理这些keep-alive类型的线程,当有真实请求过来的时候,将请求传递给服务线程,执行完毕后,又允许它释放。这样增强了高并发场景下的请求处理能力。
HTTP采用keepalive方式减少tcp连接数量,但是由于需要与服务器线程或进程进行绑定,导致一个繁忙的服务器会消耗完所有的线程。event MPM是解决这个问题的一种新模型,它把服务进程从连接中分离出来。在服务器处理速度很快,同时具有非常高的点击率,可用的线程数量就是关键的资源限制,此时event MPM方式是最有效的,但不能在HTTPS访问下工作。
查看方式:
httpd -V |grep -i "server mpm"
指定方式:
在编译时,在选项中指定,--with-mpm=xxx。
3. 相关文件保存位置
配置文件位置:
源码包安装: PREFIX/etc/httpd.conf(主配置文件)
PREFIX/etc/extra/*.conf(子配置文件)
rpm包安装: /etc/httpd/httpd.conf
网页文件位置:
源码包安装: PREFIX/htdocs/
rpm包安装: /var/www/html/
日志文件位置:
源码包安装: PREFIX/logs/
rpm包安装: /var/log/httpd/
4. 配置文件详解
注:apache配置文件严格区分大小写
针对主机环境的基本配置参数
ServerRoot /usr/local/apache2 #apache主目录 Listen :80 #监听端口 LoadModule php7 #加载的相关模块 User Group #用户和组 ServerAdmin #管理员邮箱 ServerName #服务器名(没有域名解析时,使用临时解析。默认不开启) ErrorLog "logs/error_log" #服务器错误日志 CustomLog "logs/access_log" common #访问记录日志 DirectoryIndex index.html index.php #默认网页文件名,优先级顺序 Include etc/extra/httpd-vhost.conf #加载子配置文件中的内容
主页目录及权限
DocumentRoot “/usr/local/apache2/htdocs” #网页文件存放目录(默认) <Directory “/usr/local/apache2/htdocs”> #定义指定目录的权限 Options Indexes FollowSymLinks None #没有任何额外权限 All #所有权限(除去MultiViews以外) Indexes #浏览权限(当此目录下没有默认网页文件时,显示目录内容) FollowSymLinks #准许软连接到其他目录 MultiViews #准许文件名泛匹配(需要手动开启模块才有效negotiation) AllowOverride None #定义是否允许目录下.htaccess文件中的权限生效 None #.htaccess中权限不生效 All #文件中所有权限都生效 AuthConfig #文件中,只有网页认证的权限生效 Require all granted (denied) #访问控制列表 </Directory> <IfModule dir_module> #此标签用来指定访问到指定目录时自动加载哪个页面文件 DirectoryIndex index.php index.html #可写多个,但是有优先级之分 </IfModule>
5. 实验
1) apache的目录别名
当apache接受请求时,在默认情况下会将DocumentRoot目录中的文件送到客户端,如果想将某一不在DocumentRoot目录中的文件共享到网站上,并希望将它们留在本来位置而不需要进行移动的话,处理这种情况可以通过建立别名的方式将URL指向特定的目录
1. 编辑主配置文件
[root@localhost /usr/local/apache2/etc]# vim httpd.conf Include etc/extra/httpd-autoindex.conf #去掉注释,开启调用子配置文件
2. 编辑子配置文件
[root@localhost ~]# vim /usr/local/apache2/etc/extra/httpd-autoindex.conf Alias /icons/ "/usr/local/apache2/icons/" #结构:别名 “真实目录” #真实目录的结尾要有/,否则报错 <Directory "/usr/local/apache2/icons"> Options Indexes MultiViews AllowOverride None Require all granted </Directory> 根据模板编写一个自己需要的目录别名
2)apache用户认证
有时候,我们需要给一些特殊的访问设置一个用户认证机制,增加安全。比如我们的个人网站,一般都是有一个管理后台的,虽然管理后台本身就有密码,但我们为了更加安全,可以再设置一层用户身份认证。
1. 编辑配置文件
[root@localhost /usr/local/apache2/etc]# vim httpd.conf #在需要进行登录认证的目录标签中加入如下配置 <Directory "/usr/local/apache2/phpmyadmin/htdocs/phpmyadmin">#声明被保护的目录 Options Indexes FollowSymLinks AllowOverride All #开启权限认证文件.htaccess Require all granted </Directory>
2. 在指定目录下创建权限文件
切换到/usr/local/apache2/htdocs/phpmyadmin,创建 .htacess 文件,并添加以下内容
[root@localhost /usr/local/apache2/htdocs/phpmyadmin]# vim .htaccess AuthName "welcome" #提示信息 AuthType basic #加密类型 AuthUserFile /usr/local/apache2/htdocs/apache.passwd #密码文件,文件名自定义。(绝对路径) require valid-user #允许密码文件中所有用户访问
3. 建立密码文件,加入允许访问的用户。(此用户与系统用户无关)
[root@localhost /usr/local/apache2/htdocs/phpmyadmin]# ln -s /usr/local/apache2/bin/* /usr/local/bin/ [root@localhost /usr/local/apache2/htdocs/phpmyadmin]# htpasswd -c /usr/local/apache2/htdocs/phpmyadmin/apache.passwd test1 #-c 建立密码文件,只有添加第一个用户时,才能使用 -c [root@localhost /usr/local/apache2/htdocs/phpmyadmin]# htpasswd -m /usr/local/apache2/htdocs/phpmyadmin/apache.passwd test2 #-m 再添加更多用户时,使用-m 参数
注:htpasswd 命令是httpd的命令,需使用绝对路径
4. 重启apache服务
[root@localhost ~]# httpd -t
[root@localhost ~]# systemctl restart httpd
先检查配置是否正确,然后通过浏览器测试。
3)虚拟主机
虚拟主机,也叫"网站空间",就是把一台运行在互联网上的物理服务器划分成多个"虚拟"服务器。虚拟主机技术极大的促进了网络技术的应用和普及。同时虚拟主机的租用服务也成了网络时代的一种新型经济形式。
虚拟主机的分类:
基于 IP 的虚拟主机:一台服务器,多个ip,搭建多个网站
基于端口的虚拟主机:一台服务器,一个ip,搭建多个网站,每个网站使用不同端口访问
基于域名的虚拟主机:一台服务器,一个ip,搭建多个网站,每个网站使用不同域名访问
实验准备:
1. 域名解析:准备两个域名
www.sohu.com
www.sina.com
#使用本地hosts 文件进行解析
2. 在/htdocs/ 目录下分别创建 sohu 和 sina 两个目录,并在新建目录内分别创建index.html文件(写不一样的内容)
实验步骤:
1. 修改主配置文件开启文件关联
[root@localhost /usr/local/apache2/etc]# vim httpd.conf
Include etc/extra/httpd-vhosts.conf #取消此行的注释
2. 修改子配置文件,编写虚拟主机标签
[root@localhost /usr/local/apache2/etc/extra]# vim httpd-vhosts.conf #添加以下内容,有几个虚拟主机就写几组(添加之前先把原先的示例删除) <Directory "/usr/local/apache2/htdocs/sohu"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> #目录权限标签根据需要自行添加 <VirtualHost 192.168.80.131:80> #虚拟主机标签 ServerAdmin webmaster@sohu.com #管理员邮箱 DocumentRoot "/usr/local/apache2/htdocs/sohu" #网站主目录 ServerName www.sohu.com #完整域名 ErrorLog "logs/sohu-error_log" #错误日志 CustomLog "logs/sohu-access_log" common #访问日志 </VirtualHost> <Directory "/usr/local/apache2/htdocs/sina"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> <VirtualHost 192.168.80.131:80> ServerAdmin webmaster@sina.com DocumentRoot "/usr/local/apache2/htdocs/sina" ServerName www.sina.com ErrorLog "logs/sina-error_log" CustomLog "logs/sina-access_log" common </VirtualHost>
3. 重启服务,验证结果
Windows下:浏览器输入两个不同的域名验证网页内容(提前修改windows的hosts文件路径:C:WindowsSystem32driversetc)
Linux下:通过curl/elinks 命令验证:curl/elinks URL 地址(提前修改hosts文件)
4)域名跳转
一个站点难免会有多个域名,而多个域名总得有一个主次,比如我的网站可以用两个域名访问:www.sina.com和www.sohu.cn但大家发现不管我用哪个域名访问,最终都会跳转到www.sina.com上来。这个行为就叫做域名跳转,状态码:301是永久跳转,302是临时跳转,网站上一定要设置为301,这样对搜索引擎是比较友好的。
实验条件:
1. 虚拟主机能正常访问
2. 打开主配置文件开启重新模块
LoadModule rewrite_module modules/mod_rewrite.so #取消注释
实验步骤:
1. 修改虚拟主机配置文件
[root@localhost /usr/local/apache2/etc/extra]# vim httpd-vhosts.conf <Directory "/usr/local/apache2/htdocs/sohu"> Options Indexes FollowSymLinks AllowOverride All Require all granted </Directory>
2. 创建规则匹配文件
[root@localhost /usr/local/apache2/htdocs/sohu]# vim .htaccess #在指定的网站目录下创建文件,并添加以下内容 RewriteEngine on #开启rewrite功能 RewriteCond %{HTTP_HOST} ^www.sohu.com #把以www.sohu.com 开头的内容赋值给HTTP_HOST 变量 RewriteRule ^(.*)$ http://www.sina.com/$1 [R=permanent,L] #^(.*)$指代客户端要访问的资源 #$1 把.* 所指代的内容赋值到$1变量中 #R=permanent 永久重定向= 301 # L 指定该规则为最后一条生效的规则,以后的不再生效
3. 重启服务并测试
[root@localhost /usr/local/apache2/etc/extra]# httpd -t
Syntax OK
[root@localhost /usr/local/apache2/etc/extra]# systemctl restart httpd
通过测试,发现无论是sina 或 sohu 最终都是访问到 www.sina.com 域名上则实验成功。
5)apache+openssl实现https
HTTPS(全称Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,用于安全的HTTP数据传输。这个系统被内置于浏览器中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
1. 准备工作:
检查apache是否支持ssl,检查相应模块是否安装,若安装则将模块启用
模块存放目录:/usr/local/apache2/modules
检查模块是否启用:apachectl -M
2. CA证书创建
[root@localhost /usr/local/apache2/certs]# openssl genrsa -out apa.key 1024 [root@localhost /usr/local/apache2/certs]# openssl req -new -key apa.key -out apa.csr [root@localhost /usr/local/apache2/certs]# openssl x509 -req -days 365 -sha256 -in apa.csr -signkey apa.key -out apa.crt
注1:生成秘钥和证书文件后,将文件存放在apache的安装目录下的certs目录下
注2:在生产环境中必须要在https证书厂商注册(否则浏览器不识别)
3. 配置文件修改
3.1 调用ssl 模块,并启用ssl独立配置文件
[root@localhost /usr/local/apache2/etc]# vim httpd.conf LoadModule ssl_module modules/mod_ssl.so #取消注释 Include etc/extra/httpd-ssl.conf #取消注释
3.2 修改etc/extra/httpd-ssl.conf 配置文件,调用证书等文件
#添加SSL协议支持协议,去掉不安全的协议 SSLProtocol all -SSLv2 -SSLv3 #修改加密套件 SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM SSLHonorCipherOrder on #证书公钥配置 SSLCertificateFile "/usr/local/apache2/certs/apa.crt" #私钥 SSLCertificateKeyFile "/usr/local/apache2/certs/apa.key"
3.3 修改主配置文件,添加虚拟主机
<VirtualHost _default_:443> DocumentRoot "/usr/local/apache2/htdocs" ServerName localhost:443 SSLCertificateFile certs/apa.crt SSLCertificateKeyFile certs/apa.key SSLCertificateChainFile certs/apa.crt </VirtualHost>
4. 验证
[root@localhost /usr/local/apache2/etc]# httpd -t
Syntax OK
[root@localhost /usr/local/apache2/etc]# systemctl restart httpd
报错提示:
AH00526: Syntax error on line 78 of /usr/local/apache2/etc/extra/httpd-ssl.conf:
SSLSessionCache: 'shmcb' session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?).
解决办法:要么不调用此模块,要么让此模块加载上
5. 强制调整https
有时为了安全,网址不允许使用http 访问,仅允许使用https访问,目的是为了更加安全。
在http部分的目录权限标签中添加以下内容:
<Directory "/usr/local/apache2/htdocs"> ...... RewriteEngine on #开启转发规则 RewriteCond %{SERVER_PORT} !^443$ #检查访问端口只要目标不是443的 RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [R=301,L] #全都使用https重新访问 </Directory>
6)apache日志切割
我们每访问一次网站,那么就会记录若干条日志。如果日志不去管理,时间长了日志文件会越来越大,如何避免产生大的日志文件?其实apache有相关的配置,使日志按照我们的需求进行归档,比如每天一个新日志,或者每小时一个新的日志
1. 首先简单设置日志的路径名
[root@localhost /usr/local/apache2/etc]# vim httpd.conf #编辑添加以下内容 ErrorLog "logs/error_log" CustomLog "logs/access_log" common
指定了日志存放在/usr/local/apache2/logs目录下,分别为error.log和access.log,common为日志显示的格式,日志格式可以参考配置文件httpd.conf 中的格式,如下:
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined LogFormat "%h %l %u %t "%r" %>s %b" common
2. 设置apache日志分割
编辑配置文件 httpd.conf
ErrorLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/error_%Y%m%d.log 86400" CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/access_%Y%m%d.log 86400" combined
注:若开启了https,需要修改http-ssl.conf 配置文件中的日志记录条目
ErrorLog是错误日志,CustomLog是访问日志。|就是管道符,意思是把产生的日志交给rotatelog这个工具,而这个工具就是apache自带的切割日志的工具。-l的作用是校准时区为UTC,也就是北京时间。86400,单位是秒,正好是一天,那么日志会每天切割一次。而最后面的combined为日志的格式,在httpd.conf中有定义。
7) 不记录指定文件类型的日志
如果一个网站访问量特别大,那么访问日志就会很多,但有一些访问日志我们其实是可以忽略掉的,比如网站的一些图片,还有js、css等静态对象。而这些文件的访问往往是巨量的,而且即使记录这些日志也没有什么用,那么如何忽略不记录这些日志呢?
1. 配置日志不记录图片的访问
[root@localhost /usr/local/apache2/etc]# vim httpd.conf #相关配置为 SetEnvIf Request_URI ".*.gif$" image-request SetEnvIf Request_URI ".*.jpg$" image-request SetEnvIf Request_URI ".*.png$" image-request SetEnvIf Request_URI ".*.bmp$" image-request SetEnvIf Request_URI ".*.swf$" image-request SetEnvIf Request_URI ".*.js$" image-request SetEnvIf Request_URI ".*.css$" image-request CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs /access_%Y%m%d.log 86400" combined env=!image-request
在原来的访问日志配置基础上,增加了一些image-request 的定义,比如把gif、jpg、bmp、swf、js、css等结尾的全标记为image-request,然后在配置日志后加一个标记env=!image-request,表示取反。
8)apache配置静态缓存
所说的静态文件指的是图片、js、css等文件,用户访问一个站点,其实大多数元素都是图片、js、css等,这些静态文件其实是会被客户端的浏览器缓存到本地电脑上的,目的就是为了下次再请求时不再去服务器上下载,这样就加快了速度,提高了用户体验。但这些静态文件总不能一直缓存,它总有一些时效性,那么就得设置这个过期时间。
1. 配置静态缓存
[root@localhost /usr/local/apache2/etc]# vim httpd.conf <IfModule mod_expires.c> #此模块默认未启用,手动启用 ExpiresActive on ExpiresByType image/gif "access plus 1 days" ExpiresByType image/jpg "access plus 24 hours" ExpiresByType image/png "access plus 24 hours" ExpiresByType text/css "now plus 2 hours" ExpiresByType application/x-javascript "now plus 2 hours" ExpiresByType application/javascript "now plus 2 hours" ExpiresByType application/x-shockwave-flash "now plus 2 hours" ExpiresDefault "now plus 0 min" </IfModule>
或者使用 mod_headers 模块实现:该模块默认启用
<IfModule mod_headers.c>
<filesmatch ". (html|htm|txt)$">
header set cache-control "max-age=3600"
</filesmatch>
<filesmatch ". (css|js|swf)$">
header set cache-control "max-age=604800"
</filesmatch>
<filesmatch ". (ico|gif|jpg|jpeg|png|flv|pdf)$">
header set cache-control "max-age=29030400"
</filesmatch>
</IfModule>
要想使用这些模块,必须事先已经支持。查看是否支持:
apachectl -M
2. 重启服务并验证
httpd -t
systemctl restart httpd.conf
验证:
[root@localhost /usr/local/apache2/htdocs/image]# curl -x127.0.0.1:80 '192.168.80.131/image/wallpaper.jpg' -I HTTP/1.1 200 OK Date: Mon, 16 Dec 2019 15:50:27 GMT Server: Apache/2.4.7 (Unix) PHP/7.0.7 Last-Modified: Mon, 16 Dec 2019 15:13:04 GMT ETag: "28e63-599d3a5f44a96" Accept-Ranges: bytes Content-Length: 167523 Cache-Control: max-age=86400 Expires: Tue, 17 Dec 2019 15:50:27 GMT Content-Type: image/jpeg
9)禁止解析php
某个目录下禁止解析PHP,这个很有作用,我们做网站安全的时候,这个用的很多,比如某些目录可以上传文件,为了避免上传的文件有木马,所以我们禁止这个目录下面的访问解析PHP。
配置禁止解析php
<Directory /usr/local/apache2/htdocs/image> php_admin_flag engine off <filesmatch "(.*)php"> Order deny,allow Deny from all </filesmatch> </Directory>